本文の内容は、2025年5月22日に Crystal Morin が投稿したブログ(https://sysdig.com/blog/cloud-hasnt-killed-the-agent-a-realtime-reality-check/)を元に日本語に翻訳・再構成した内容となっております。
「クラウドはエージェントを駆逐するのか?」と初めて問いかけた時、セキュリティ業界ではエージェントレスソリューションが話題になっていました。それから3年経った今でも、エージェントレスとエージェントベースのセキュリティをめぐる議論は依然として続いています。
Sysdigでは、両方のアプローチが不可欠であると考えています。AIの台頭と、物質的なクラウド攻撃の速度の上昇に伴い、クラウドセキュリティエージェントは不可欠であることを改めて強調します。
エージェントレススキャンは、クラウドの規模と速度によって爆発的に普及しましたが、クラウドによってエージェントが消滅したわけではありません。クラウドネイティブセキュリティによって、エージェントはさらに不可欠なものとなりました。
エージェントレスは迅速なオンボーディングに最適で、特にクラウドワークロード保護やクラウドセキュリティポスチャー管理(CSPM)スキャン(資産検出、既知の脆弱性を特定、コンプライアンスポリシーに基づくリソース構成のチェックなど)に効果的です。しかし、クラウドセキュリティ環境の進化に伴い、さらに多くのことが求められています。このフォローアップでは、新たな視点からこの議論を再考します。
エージェントが依然として重要な理由
クラウドはあらゆるものを加速させました。だからこそ、多くの組織が迅速なビジネスオペレーションとイノベーションのためにクラウド環境を活用しているのです。エージェントはこのスピードに合わせて設計されており、リアルタイムかつ継続的なシステムコールレベルの可視性、プロセス監視、ファイルシステム追跡、コンテナドリフト検知を提供します。
2018年以来、私たちはコンテナのエフェメラリティ(短命性)についてレポートしてきました。Sysdigの2025年クラウドセキュリティおよび利用状況レポートでは、コンテナの60%の生存時間が1分以下であると報告しています。クラウド攻撃者は、実行されたコンテナが強制終了される前に永続性を確保するために、環境内を素早く移動する必要があります。定期的なエージェントレススキャンは、多くの場合30分から24時間間隔で実行されるため、このような動きを捉えることができません。
Sysdigは長年にわたりランタイムセキュリティの重要性を説いてきましたが、他のセキュリティベンダーはつい最近になってようやくこの考えに追いつきました。エージェントレススキャンこそがクラウドセキュリティの未来の姿であるという考えに固執しているベンダーもいますが、ランタイムセキュリティには、エージェントだけが提供できるリアルタイムかつ詳細なコンテキストが求められます。
エージェントレスソリューションはマップを提供しますが、クラウドセキュリティにはリアルタイムのフィードが必要です。エージェントレススキャンは一時的な攻撃を検知できないだけでなく、カーネルエクスプロイト、プロセスインジェクション、ファイルレスマルウェアといった、ますます蔓延する攻撃者の戦術、手法、手順(TTP)を見逃してしまいます。さらに、エージェントレススキャンは、コンテナ構成のドリフトのようなリアルタイムの変化も見逃します。ランタイムのコンテナが元のイメージとは異なる動作を始めた場合、その動作を識別できるのはエージェントだけです。攻撃者は静的なイメージに触れることなく、実行中のコンテナを侵害することが多いため、エージェントベースのセキュリティが不可欠です。
エージェントはAI革命を推進する
AIを活用した攻撃が脅威の状況を変え、脅威検知と対応の高度化を迫ったように、Sysdig Sage™のようなAIツールもクラウドセキュリティを変革しています。しかしながら、エージェントレステレメトリはGenAIを活用した効果的なセキュリティを実現するには遅すぎて、その精度も低すぎます。
AI駆動型攻撃への対応とGenAIを用いたクラウドセキュリティの強化には、リアルタイムで豊富なランタイムデータが必要です。エージェントは、プロセスアクティビティ、ファイル変更、ネットワーク挙動、コンテナドリフトに関する詳細なデータを提供し、必要なコンテキストをGenAIセキュリティツールにリアルタイムで継続的に提供することで、より迅速かつ正確な意思決定を可能にします。
Sysdig Sageは、ランタイムデータを用いて多段階的な推論とコンテキスト認識を強化し、脅威への対応を迅速化し、複雑なクラウド環境におけるプロアクティブなセキュリティプロセスを簡素化します。エージェントによって収集されたデータを統合することで、Sysdig Sageは、人間よりもはるかに高速なコンテキスト認識に基づく推奨事項に基づき、リアルタイムの調査と対応手順を促進します。
エージェントとエージェントレスの併用でより良い結果を実現
どちらか一方を選ぶ必要はありません。可能な場合はエージェントレス、不可能な場合はエージェントを使用します。スマートクラウドセキュリティは、エージェントレスによるポスチャスキャンと、エージェントを活用したランタイム検知・対応を組み合わせます。エージェントレスのオンボーディングから始め、資産インベントリ、構成ミスと脆弱性の特定、IAM分析などのコンプライアンスチェックを含むポスチャー管理を迅速に実現します。次に、エージェントをレイヤー化して、ランタイム検知、インシデント対応、脅威ハンティング、GenAI強化セキュリティプロセスに必要なデータを取得します。両方のアプローチを組み合わせることで、クラウドセキュリティの幅広いニーズに対応する包括的なカバレッジを実現します。
Sysdigの実戦で実証されたアプローチ
Sysdigは10年以上にわたり、Kubernetes、サーバーレス機能、マルチクラウド環境といった、高度な可視性が重要となる領域の急速な普及に合わせて、継続的な進化と革新を続けてきました。Sysdigエージェントは、こうした現実に適応するために構築されました。
Sysdigのエージェントは、Fortune 500 企業の 60% 以上を含む数百万の組織から信頼されているコンテナ ランタイム セキュリティのオープン ソース スタンダードであるFalcoをベースに構築されています。Kubernetes、ECS、EKS、GKE などのプラットフォーム間でスケーリングしながら、CPU とメモリの使用コストを最小限に抑える軽量かつ効率的なエージェントです。
Sysdigエージェントは、その信頼性で高く評価されています。「ただ動く」ため、運用を遅延させたりコストを増加させたりすることなく、高密度環境でも自動的に拡張できます。その機能は数千の顧客環境で検証されており、数百万のノードとワークロードを保護しています。
クラウドの静的スナップショットでは、真のセキュリティを偽装することはできません。エージェント、エージェントレス、AIが真のクラウド防御にどのように連携するのかご興味がありますか?Sysdigの独自のアプローチをご覧ください。