本文の内容は、2025年5月20日に David Huckaby が投稿したブログ(https://sysdig.com/blog/closing-the-cloud-security-gap-with-runtime-security/)を元に日本語に翻訳・再構成した内容となっております。
クラウド環境を民間航空機に例えてみましょう。飛行機は飛行前に、安全規制を遵守するために厳格な整備スケジュール、テスト、飛行前点検を受けます。これらの措置は、ポスチャベースのセキュリティ対策に似ており、クラウド環境が適切に構成され、既知の脆弱性がなく、ベストプラクティスに準拠していることを保証します。
しかし、航空安全は滑走路上で終わるわけではありません。パイロットは、目的地に向かう飛行機が安全であることをただ祈るだけではありません。気象状況、他の航空機の航空交通、飛行経路、そして飛行機の性能を監視するシステムが設置されています。これらは、あらゆる問題の発生をリアルタイムで監視する空の目として、ランタイム制御機能を提供します。同様に、クラウド資産のランタイム保護機能は、見落とされた脅威を検出し、対応者が迅速に行動できるようにします。
ポスチャベースのセキュリティといった従来のアプローチは、長年クラウドセキュリティの基盤であり、強力なクラウドセキュリティ戦略を確立するための典型的な第一歩となっています。しかし、クラウド環境は常に急速に拡張され、複雑性が増す動的な性質を持つため、予防のみのアプローチでは安全性を確保することはできません。攻撃者がセキュリティの隙間を突いた場合に備えて、攻撃を軽減する手段がチームには必要です。
ポスチャーベースのセキュリティの課題
ポスチャベースのセキュリティは、環境内に存在する可能性のある多くの設定ミスや脆弱性を可視化する上で役立ちます。しかしながら、すべての問題を解決できる簡単な解決策ではありません。DevOps、セキュリティ、製品といった複数のチーム間の連携と、成熟したシフトレフト型のガードレールの確立が必要です。こうしたガードレールは重要ですが、大きな複雑さを招き、チームが適応していく過程で開発サイクルを遅延させる可能性があります。こうしたガードレールの導入には、綿密な調整、共有責任の明確な理解、そして何よりも重要な、全員の賛同が必要です。
成功するセキュリティプログラムを構築する上で最も困難な側面の一つは、しばしば相反する優先事項を抱えるチーム間の連携と支援です。セキュリティは技術的な課題だけでなく、文化的な課題でもあります。強力なリーダーシップによる支援、トレーニングへの時間投資、そして開発者に負担をかけることなく既存のプロセスにセキュリティを統合するための継続的な取り組みが必要です。特に、業務手順の調整やコードのデプロイ前の手順の追加などが必要となる場合、チームに新しいセキュリティ対策を主体的に実施するよう説得するのは、繊細なバランス感覚を要します。
Sysdigのようなソリューションは、開発者にとって使いやすく優先順位付けされた修復ガイダンスを提供し、チームが既に使用しているツールやワークフローにシームレスに統合することで、こうした負担を軽減します。こうしたサポートは、単に摩擦を軽減するだけでなく、セキュリティ対策がボトルネックではなく、共同作業となるよう促します。
ポスチャー管理だけに頼ることのリスク
ポスチャー管理に頼りすぎると、たとえどれほど強固なものであっても、たった一つの設定ミスや脆弱性のリスクにさらされることになります。アクセス制御の設定ミス、APIキーのスコープ設定の不適切さ、あるいはセキュリティ保護されていない共有認証情報は、本来は安全なシステムであっても、弱点となる可能性があります。攻撃者は、たった一つの欠陥を特定するだけで足掛かりを得て、環境内を横方向に移動することで、堅牢な防御をすり抜けてしまうことがよくあります。
ポスチャーベースのセキュリティでは対処できないギャップ
ほぼ完璧なセキュリティ体制を実現している組織であっても、このアプローチには依然として限界があります。たとえすべての設定ミスや既知の脆弱性に対処したとしても、特定の種類の攻撃は これらの予防策をすり抜けてしまう可能性があります。以下の脅威は、従来のセキュリティ体制に基づくセキュリティチェックをすり抜け、環境に目に見えない隙間を生み出す可能性があります。
- ゼロデイ脆弱性: ポスチャベースのシステムでは検知できない未知の欠陥を狙ったエクスプロイト ( Log4Shell、IngressNightmare、Leaky Vessels )。
- サプライチェーン攻撃:ポスチャー管理では見逃される可能性のあるサードパーティコードや依存関係によるリスク。コードの大部分がオープンソースであるため、サプライチェーン攻撃は重大なリスクをもたらします(tj-actions/changed-files)。
- パッチ適用不可能な脆弱性:サードパーティ製コードやレガシーコードが原因でパッチを適用できない欠陥。Vulncheckの2024年エクスプロイトレポートによると、これらは悪用された脆弱性全体の24%を占めています。
- 個人情報の侵害と内部脅威:認証情報の盗難や悪意のある内部関係者によるリスク。クラウドにおける新たな境界として個人情報が位置づけられる中、これらの脅威はクラウドベースの攻撃における初期アクセス経路のほぼ半分を占めています。
これらの脅威が悪用された場合、その影響は甚大になる可能性があり、多くの場合、ポスチャーベースのセキュリティでは阻止できません。Log4ShellやLeaky Vesselsといったゼロデイ脆弱性は、ポスチャーチェックを完全に回避し、防御側が何を探すべきかを知る前に、攻撃者が密かにシステムに侵入することを可能にしていました。サプライチェーン攻撃はパイプライン全体を侵害し、信頼されたコードを通じてリスクを拡散させる可能性があります。パッチ適用不可能な脆弱性は従来の方法では解決できず、防御に永続的な脆弱性を残します。一方、侵害されたIDや内部脅威は、正当な認証情報を悪用することでポスチャ制御をすり抜ける可能性があります。これらのケースでは、可視性だけでは不十分です。組織は、これらの進化するリスクから真に防御するために、ランタイム保護とリアルタイム検知が必要です。
ランタイムセキュリティの利点
ランタイムセキュリティは、脅威の発生を未然に防ぐだけでなく、発生時に脅威を検知・軽減する動的かつリアルタイムなアプローチです。このセキュリティアプローチは、システム上で実行されるアクションの設定を単に報告するだけでなく、詳細な可視性を提供します。ポスチャーベースのセキュリティで何かが欠落している場合、ランタイムセキュリティは最後の防御線として介入し、アクティブな攻撃からシステムを保護し、データ侵害や不正アクセスの脅威を軽減します。
クラウドセキュリティの取り組みが成熟段階にある組織にとって、ランタイムセキュリティは環境を保護するための最も効果的な第一歩となることがよくあります。クラウドセキュリティプラットフォームの他の要素とは異なり、ランタイムセキュリティは追加の作業を発生させることはありません。環境を積極的に保護します。開発者やエンジニアリングチームに修復を依頼する必要がないため、セキュリティチームはすぐに導入・管理できます。これにより、シフトレフトプラクティスの実装や脆弱性のバックログへの対応といった他のプロセスが開発中であっても、ランタイムセキュリティは迅速かつ包括的な保護を提供できます。ランタイムセキュリティは、初期段階から強固なセキュリティ基盤を確立します。
成熟したセキュリティ体制のメリット
より成熟したセキュリティ体制を持つ組織は、ランタイムセキュリティを追加することで大きなメリットを得ることができます。ゼロデイ脆弱性、ID侵害、サプライチェーン攻撃など、体制ベースのチェックをすり抜ける可能性のある既存の防御のギャップに対処すると同時に、新たな脆弱性や不適切な構成が修正される際にも、保護のベースラインを提供します。ランタイムセキュリティは攻撃を完全に可視化するため、組織は攻撃の範囲を評価し、攻撃が継続中かどうかを判断し、将来のインシデントを防ぐための是正措置を講じることができます。
ポスチャーベースとランタイムセキュリティの組み合わせ
包括的なクラウドセキュリティ戦略は、ポスチャベースのセキュリティとランタイムセキュリティの両方を組み合わせ、多層防御を構築します。ポスチャベースのセキュリティは、適切な構成の確保、既知の脆弱性の緩和、ベストプラクティスの遵守を通じて強固な基盤を構築します。ランタイムセキュリティは、セーフティネットとしてこれを補完し、セキュリティの隙間をすり抜ける脅威を迅速に封じ込めることで、攻撃による潜在的な影響を最小限に抑えます。この組み合わせたアプローチは、即時かつ包括的な保護を提供するだけでなく、新たな脅威に合わせてセキュリティプロセスを進化させ、クラウド環境のセキュリティを確保します。
Sysdig: ランタイムセキュリティをリード
Sysdigは、先進的かつリアルタイムなランタイムセキュリティを備えた包括的なCNAPPプラットフォームにより、ランタイム保護の分野をリードしています。Sysdigは、オープンソースであるFalcoを基盤として構築されており、世界のFortune 500企業の60%以上がクラウド環境の保護に活用しています。Sysdigがどのようにお客様のクラウド環境のセキュリティを強化できるのか、ぜひパーソナライズされたデモをお申し込みいただき、貴社のニーズに即したソリューションをご体験ください。