本文の内容は、2025年7月29日に Ryan Davis が投稿したブログ(https://sysdig.com/blog/fix-what-matters-faster-how-sysdig-and-semgrep-are-unifying-security-without-silos-from-code-to-runtime)を元に日本語に翻訳・再構成した内容となっております。
今日、セキュリティチームは、緊急性、リソースの減少、そしてますます複雑化するクラウド環境の中で、より多くの業務を求められるため、一分一秒が重要です。このプレッシャーは、根強い課題によってさらに深刻化しています。セキュリティチームが重大な問題を発見したとしても、適切な開発チームが迅速に問題を解決できるよう、どのように支援すればよいのでしょうか?
Sysdig は、ランタイムの可視化は不可欠であると考えていますが、それだけでは不十分だとも認識しています。そこで私たちは、ビルドタイムおよび開発者中心のセキュリティ分野でリーダーである Semgrep と提携し、コードからクラウドまで一貫したセキュリティを提供します。
このパートナーシップにより、セキュリティチームが本当に必要としていた能力──すなわち、ランタイムで発生した脅威をコード上の原因に直接たどり着き、それを迅速かつ確実に解決できるチームへ実用的なインサイトとして提供すること──を実現します。
双方向コンテキストによるランタイムとビルドタイムの橋渡し
これまで、ランタイムおよび静的アプリケーションのセキュリティに関する発見事項はサイロ化されていました。SOCが本番環境で実行されている脆弱性を報告しても、適切な修正方法(コード、ファイル、所有者)の特定には数日かかることもありました。その一方で、SASTスキャンやSCAスキャンによるビルド時の発見事項には、どの問題が本番環境で実際に悪用される可能性があるかをより深く理解するために必要なコンテキストや優先順位付けが欠けていることがよくありました。
そこがこのパートナーシップが違いを生むところです。
Sysdig のランタイム脅威検出とポスチャーの洞察を Semgrep の静的分析およびソフトウェア構成分析 (SCA) と統合することで、現在悪用可能なものとコードベース内で発生した場所との間の点を結び付けています。
つまり、次のことが可能になります。
- ランタイムアラートを特定のパッケージ、ファイル、リポジトリまで追跡する
- 脆弱なコードを所有者の開発者に接続する
- ランタイムのコンテキストで静的な検出結果を優先順位付けする
- 脆弱性を根本から修正するために正確なパッケージアップグレードを推奨する
このパートナーシップによるその他のお客様の利益は次のとおりです。
症状だけでなく根本原因を特定する
SysdigとSemgrepの強力な組み合わせにより、セキュリティチームは検出だけに留まらず、問題の発生源と修正担当者を正確に説明できるようになります。本番環境でリスクが発見された場合、「何か問題がある」と報告するだけでなく、問題を引き起こしたリポジトリ、チーム、そしてコードパスを特定します。
複数のツールやチームにまたがって情報を追いかけるのではなく、迅速に回答を得ることができます。
これにより、セキュリティ リーダーはコンテキストと自信を得て、効果的に優先順位を決定でき、開発者は自分のコードが現実世界のリスクにどのように影響するかを理解できるようになります。
すぐに対応できる修正を提供する
アクションプランのないセキュリティ発見は単なるノイズに過ぎません。この統合により、どのパッケージバージョンが安全か、既知の脆弱性を修正できる箇所など、具体的で信頼できる修正推奨事項を開発者やアプリケーションチームに提供できるようになります。
単に問題を割り当てるのではなく、チームに問題解決の明確さと方向性を与えます。
それが、問題を指摘することと、実際に解決を可能にすることとの違いです。
セキュリティと開発の橋渡し
最も重要なのは、この統合により、開発チームとアプリチームの両方にとってより良いパートナーになれることです。SysdigのランタイムインサイトとSemgrepのコードおよびオーナーシップコンテキストを組み合わせることで、抽象的なアラートではなく、実際のファイル、関連するコミット、優先度の高いリスクを指摘し、彼らの言葉で話せるようになります。
発見した問題をそのまま投げ捨てるのではなく、問題を解決できる人々と協力します。
この調整により、摩擦が軽減され、効率性が向上し、監視ではなく信頼できる協力的なパートナーシップに根ざしたセキュリティ文化が構築されます。
サイロのないセキュリティ
本当のメリットは、技術的な強化だけではなく、チームのダイナミクスが変化する点にあります。
- セキュリティ運用は、より深いインサイトと高いシグナル対ノイズ比を得られるようになります。
- アプリケーション チームは、明確で修正可能なパスを含む対象を絞ったアラートを受け取ります。
- 所有権、リスク、修復に関する共通言語により、部門横断的なワークフローが改善されます。
Sysdig と Semgrep のパートナーシップにより、誰もが統一されたシグナルにアクセスできるようになるため、組織はセキュリティのボトルネックから安全な速度へと移行できます。
Sysdigの優位性:Semgrepと連携してクラウドセキュリティを適切に提供
長い間、クラウドのセキュリティは侵害を前提として構築されてきました。
チームは、ノイズだらけのアラート、分断されたツール群、孤立したワークフローを「仕方のないコスト」だと受け入れるよう求められてきました。悪用可能かどうかも分からない静的な検出結果をそのままリリースしたり、開発者に対応不能な問題を大量に投げつけることが当たり前とされてきたのです。これが「十分な」セキュリティの姿だとされてきましたが、それではもはや不十分です。
Semgrep との連携により、Sysdig はセキュリティチームに「成功の定義」を再構築する力を与え、正しいクラウドセキュリティを実現します。
これは単なる統合ではありません。
「セキュリティはスピードの妨げではなく加速装置であるべきだ」
「量よりも文脈(コンテキスト)が重要である」
「ランタイムとビルド時のインサイトが結びつくことで、単にリスクを検知するだけでなく、本当に重要な問題を修正できる」
という、共通の信念とマインドセットの体現です。
Sysdig と Semgrep は、コードとクラウドの可視性を統合することで、ノイズを減らし、本質的な課題を解決できる体制をチームにもたらします。