本文の内容は、2025年6月13日に Marla Rosner が投稿したブログ(https://sysdig.com/blog/runtime-is-the-real-defense-not-just-posture/)を元に日本語に翻訳・再構成した内容となっております。
動く標的を、静止画像だけを頼りに防御しようとする状況を想像してみてください。今日のクラウドセキュリティ戦略のほとんどがまさにそれです。設定ミスをスキャンしたり、ポリシーの整合性をチェックしたりするツールは役立ちますが、リアルタイムで何が起こっているかを把握することはできません。そしてクラウドでは、リアルタイムこそが全てなのです。
セキュリティチームは、しばしば後方対応のツールを用いて将来を見据えた防御を構築するよう求められます。今こそ、その流れを逆転させ、ランタイムセキュリティから始めるべき時です。
ランタイム セキュリティが回復力のあるクラウド防御戦略の基盤となる理由を包括的に理解するには、ホワイト ペーパー全体をダウンロードしてください。
クラウドは変化しており、セキュリティスタックも変化する必要がある
クラウドネイティブアプリケーションは、インフラのルールを書き換えました。コンテナは数秒で起動し、Kubernetesは1日に数百万件の変更をオーケストレーションし、サーバーレスコンピューティングリソースは数ミリ秒で消滅する可能性があります。こうした俊敏性はイノベーションを推進する一方で、盲点も生み出します。
従来のエンドポイント検知・対応(EDR)ツールは物理マシン向けに構築されていました。クラウドセキュリティポスチャー管理(CSPM)ツールは、基本的なクラウド可視化を目的として構築されていました。どちらも、動的で一時的な環境をリアルタイムで監視できるようには設計されていませんでした。
変更点は以下のとおりです:
- 一時的なワークロード: コンテナとサーバーレスファンクションはスキャンされるのを待ってはくれません。
- 自動化された攻撃: 脅威の攻撃者は AI と自動化を利用して、かつてないほど迅速に行動します。
- 攻撃対象領域の拡大: API、マイクロサービス、マルチクラウド環境により複雑さが増し、リスクも増大します。
脅威アクターが 10 分以内に偵察を自動化し、脆弱性を悪用するため、セキュリティ戦略は静的スキャンよりも迅速に進める必要があります。
静的ポスチャーでは不十分な理由
多くの組織は、クラウドセキュリティの取り組みをCSPMと「シフトレフト」の取り組み、つまり基本的な設定ミスのスキャンとコンプライアンスの強化から始めます。これらは不可欠なプラクティスですが、実際に何が問題になるかではなく、何が問題になる可能性があるかに焦点を当てています。
ポスチャー主導の戦略では実際の脅威を阻止するのが難しい理由を分析してみましょう。
- CSPM はリアルタイムの動作を確認できません。危険な構成は捕捉できますが、アクティブなエクスプロイトや横方向の移動は捕捉できません。
- EDR はクラウドに適合しません。従来の EDR では、短命のコンテナや分散サービスに対する可視性が欠けています。
- シフトレフトは初期段階に過ぎません。サービスが稼働すると、新たなリスクが発生します。その多くは元のコードとは無関係です。
ランタイムセキュリティ:欠けている部分
ランタイムセキュリティとは、現在何が起こっているかを可視化することです。これは、ライブ攻撃を検知し、異常な振る舞いを警告し、迅速な対応を促す唯一の方法です。
クラウドネイティブのコンテキストにおけるランタイムとは実際には何を意味するのでしょうか?
- 継続的な監視: すべてのワークロード、すべてのユーザーアクション、すべてのシステム変更などをすべてリアルタイムで確認できます。
- 脅威の相関関係: ID、ワークロード、ネットワーク信号を組み合わせて、疑わしいパターンを明らかにします。
- 自動応答: 事後ではなく、悪意のある行為が起こった時点でブロックします。
ランタイム セキュリティは、潜在的な失敗をスキャンするのではなく、コンテナ内での権限の昇格であれ、クラウド アカウント間での横方向の移動であれ、攻撃者が実際に何を行っているかを示します。
攻撃を阻止する
攻撃者がゼロデイ脆弱性を悪用し、Kubernetesポッドへのアクセスを取得したとします。従来のツールでは、この侵害は数時間も検知されない可能性があり、そもそも検知されない可能性もあります。
ランタイム セキュリティが導入されている場合は、代わりに次のことが起こります。
- 初期検知: 攻撃者の異常なコマンドは即座にフラグが付けられます。
- コンテキスト調査: セキュリティでは、ユーザー ID、影響を受けるリソース、攻撃パスを確認します。
- 自動応答: 侵害されたコンテナは隔離され、認証情報がローテーションされます。
これは仮説ではありません。最新のクラウドネイティブ・アプリケーション保護プラットフォーム(CNAPP)は、攻撃をリアルタイムで阻止し、平均検出時間(MTTD)と平均対応時間(MTTR)を数時間または数日から数分に短縮します。
ランタイムのROI
効果的なセキュリティは、成果を上げるセキュリティです。ランタイムセキュリティを最優先にすることで、ビジネス上のメリットは明白になります。
- より高速な検知: 脅威は毎週のスキャン時ではなく、発生した時点で特定されます。
- コストの削減: 数分でインシデントを解決できるため、コストのかかるダウンタイムや侵害の回復を回避できます。
- より適切なリソース割り当て: 実際の脅威がノイズよりも優先されるため、チームは重要なことに集中できます。
実際、ランタイム駆動型の CNAPP を使用している企業は、検知時間を数秒に短縮し、侵害に関連するコストを数十万ドル節約しています。
過去を振り返るのはやめ、今起こっていることを確実にする
はっきりさせておきましょう。ポスチャー管理と予防はなくなることはありませんし、なくなるべきでもありません。しかし、もはや強力なセキュリティプログラムの中心ではなく、脇役に過ぎません。
クラウドを真に防御するには、クラウドの仕組み(高速、動的、そして常に進化)を戦略に反映させる必要があります。
まずはランタイムから。次にポスチャーを重ねます。
この階層化されたランタイムファーストのアプローチは、攻撃を阻止するだけではありません。クラウドへの移行に合わせて拡張できる、回復力に優れた将来を見据えたセキュリティプログラムを構築します。
クラウドでは、一秒一秒が重要です。静的スキャンと事後対応型のセキュリティでは、組織は待ち時間のない脅威に対して脆弱になります。ランタイムセキュリティは、リアルタイムの可視性とコントロールを提供することで状況を一変させ、被害が発生する前に検知して対応できるようにします。
ランタイムファースト戦略の実装方法について詳しく知りたいですか?