本文の内容は、2025年7月31日に Greg Wiseman が投稿したブログ(https://sysdig.com/blog/data-security-findings-a-technical-deep-dive)を元に日本語に翻訳・再構成した内容となっております。
先日、私たちは新たに追加された Sysdig Secure Data security findings 機能について、その概要をご紹介しました。この機能がセキュリティリーダーにとって、データの露出を明らかにし、脅威に文脈を与えるうえでどのように役立つかを説明しました。前回の投稿では、この機能の「何」と「なぜ」に焦点を当てました。今回の投稿では、「どのように」機能するのかをより詳しく見ていきます。
オーバーヘッドを追加せずに強力なデータセキュリティを構築
有意義なデータセキュリティの洞察を得るには、多くの場合、追加のツールやエージェントが必要になったり、運用が複雑になったりするリスクが伴います。私たちは、この落とし穴を避けたいと考えました。お客様に、新しいエージェントを導入したり、機密データをクラウド環境から分析のために移動したりするような、独立したスタンドアロンのスキャン製品を導入してもらうのではなく、Bedrock Securityとの統合によって強化された機密データ検出機能により、Sysdig Secureプラットフォームの機能を拡張しました。このアプローチは、脆弱性、設定ミス、ランタイムイベントと並んで、データを第一級のセキュリティシグナルとして扱います。これにより、専門家が自信を持って優先順位付けと修復に使用できる統一されたリスクモデルが作成されます。
技術的な課題:データから知見へ
data security findings を発表した前回の投稿では、データの無秩序な拡散という課題について触れました。エンジニアにとって、これは単なる流行語ではなく、根深い技術的課題です。クラウドストレージは多くの場合、非構造化で、常に変化し、複数のサービスに分散されています。従来のスキャンソリューションは、処理速度が遅く、多くのリソースを消費する可能性があり、分析のために別のシステムにデータを抜き出す必要があります。これはコストの増加につながるだけでなく、セキュリティとコンプライアンスに関する新たなリスクをもたらします。
この問題を解決するため、お客様のクラウド環境内で直接動作するスキャンメカニズムを採用しています。Bedrock Securityとの提携により、AIを活用した分類と検出を活用し、機密コンテンツをアカウント外に移動することなく、データが保存されている場所(例えばS3バケット内)で分析を行います。分類結果とメタデータのみがSysdigに返され、構造化された検出結果として取り込まれ、お客様のクラウドセキュリティ体制の他の要素と相関分析されます。
アダプティブサンプリングを活用したこのサーバーレスアーキテクチャーは、大規模かつ絶えず変化するデータセットを効率的に分析するためにスケーリングします。費用対効果が高く、正確で、リフト&シフト型のデータ分析の落とし穴を回避します。最も重要なのは、機密データを適切な場所に保持しながら、Sysdigリスクモデルをデータドリブンインテリジェンスで強化できることです。
仕組み
新機能の背後にあるアーキテクチャーを理解することは、実務者にとって重要です。Sysdigのデータセキュリティ検出機能は、機密データを適切な場所に保持しながら、クラウドセキュリティ環境全体の可視性とリスクコンテキストを強化することで、最小限の摩擦と最大限のセキュリティで運用できるように設計されています。下の図は、クラウド環境内でのデータ検出からSysdig Secure Platformで実用的な洞察を得るまでの大まかなフローを示しています。
図に示すように、このプロセスはクラウド内で直接開始され、サーバーレステクノロジーを活用して、新しいエージェントを必要とせずに機密データを効率的にスキャンおよび分類します。環境内のアウトポストアナライザーによって分類結果とメタデータのみが生成され、その後、Bedrock SaaSプラットフォームに送信されてさらに処理された後、構造化された調査結果としてSysdig Secureプラットフォームに安全に送信されます。この「メタデータのみ」のアプローチは、機密情報が環境外に漏れないようにするための重要な設計上の選択です。Sysdig Secureに統合されると、これらの調査結果は既存のクラウドセキュリティ体制を即座に強化し、次に説明する強力な新しいユースケースを可能にします。
データをグラフに統合する
データセキュリティの検出結果の真の価値は、Sysdigのより広範なコンテキストとどのように結びつくかにあります。単一のデータ検出結果がリスクを示唆する場合もありますが、設定ミスや異常なランタイムアクティビティといった他のシグナルと組み合わせることで、対処可能な、優先度の高いセキュリティイベントへと変換されます。これにより、セキュリティチームがリスクを効果的に優先順位付けしたり、ビジネスクリティカルなデータにポリシーを適用したりするためのコンテキストが不足しているという問題に直接対処できます。
リスクエンジンの強化
Sysdig Secure の攻撃パスは、資産、設定、ID 全体にわたる潜在的な攻撃パスをマッピングします。データセキュリティの検出結果により、機密データはこのグラフの重要なノードとして表示されます。これは、適切なセキュリティ制御を適用し、リスクを最も低減する修正を優先する上で重要な情報を提供します。例えば、公開されている S3 バケットに個人情報(PII)が含まれている場合、グラフは設定ミスから機密データの漏洩に至る直接的なパスを強調表示できます。
実用的なSysQLクエリ
自動化を希望するチームやカスタムアラートを必要とするチーム向けに、SysQLを介してすべてのデータ検出結果をクエリできます。これにより、ツール間で検出結果を手動で相関させる必要がなく、高リスクのリソースを迅速に特定できます。
露出している環境や設定ミスのある環境で機密データをクエリすることで、セキュリティチームは最も重要な脅威を迅速に特定し、トリアージとポリシー適用を迅速化できます。これはデータ検出および対応(DDR)の原則に準拠しており、Sysdig Secureにおけるリスクをビジネスの優先事項に合わせて正確に調整できます。
たとえば、ステージング環境でクレジットカードデータを含む公開されたクラウド リソースを見つけるには、次のコマンドを実行します。
<code>MATCH CloudResource IN Zone
WHERE CloudResource.isExposed = true AND Zone.name IN ['pci-dev'] </code>Code language: HTML, XML (xml)<code>MATCH CloudResource CONTAINS SensitiveData
WHERE SensitiveData.dataClass IN ['Credit Card PAN']
RETURN DISTINCT CloudResource, Zone, SensitiveData
LIMIT 50;</code>Code language: HTML, XML (xml)あるいは、機密データにアクセスする AI 関連のワークロードが懸念される場合 (たとえば、トレーニングに関する懸念や、検索拡張生成による潜在的な漏洩など)、次のことを試してください。
<code>MATCH EC2Instance PACKAGE_INSTALLED_ON Package OVER RuntimeMetadata
WHERE Package.isAI = true
MATCH EC2Instance ASSOCIATED_WITH IAMInstanceProfile CONTAINS IAMRole HAS_ACCESS S3Bucket CONTAINS AS CONTAINS2 SensitiveData
RETURN DISTINCT EC2Instance, Package, IAMInstanceProfile, IAMRole, S3Bucket, SensitiveData
LIMIT 50;</code>Code language: PHP (php)統一されたユーザーエクスペリエンス
データセキュリティの検出結果はSysdig Secure UIに直接統合されます。リソースの詳細ビューには、脆弱性、設定ミス、その他の検出結果といった既存のコンテキストに加え、専用のデータ検出セクションが追加されました。チームはワークフローを中断することなく、必要な情報すべてを一箇所で確認できるため、インシデント対応においてより迅速かつ確実な意思決定が可能になります。
CNAPP をよりコンテキスト認識型にする
Data security findings は、単なる新たなシグナルを追加するものではなく、CNAPP プラットフォーム全体のインテリジェンスを強化します。「どこで」(クラウドリソース)、「どのように」(ランタイムのアクティビティや脆弱性)、そして今回新たに「何が」(機密データ)を結び付けることで、Sysdig Secure はビジネスリスクをより正確に可視化し、いくつかの主要なコンプライアンス要件の達成を支援します。
私たちの目標は、ノイズを減らし、最も重要な問題を強調し、チームが機密データをより迅速かつ確実に保護できるようにすることです。この継続的なフィードバックループは、機密データに関連するリスクの修復までの平均時間(MTTR)の短縮を直接的に支援します。この新機能をぜひご活用いただき、お客様の環境でのデータディスカバリー有効化については、アカウントチームまでご相談ください。
Sysdig Secureの実際の動作をご覧になりたいですか?今すぐデモをご依頼ください!