本文の内容は、2025年2月27日に Paolo Polidori が投稿したブログ(https://sysdig.com/blog/streamline-incident-response-in-the-cloud-with-inline-response-actions/)を元に日本語に翻訳・再構成した内容となっております。
脅威対応はクラウドセキュリティの基盤ですが、その起源はアンチウイルスソフトウェアの黎明期に遡ります。当時の脅威対応は比較的単純で直線的なものでした。悪意のあるプロセスを停止し、隔離し、必要に応じて削除または除去し、そのまま次へ進むといった流れでした。しかし、現代のクラウド環境は脅威の動作を一変させ、この領域がいかに大きく変化したかを明確に示しています。
今日の検知・対応技術は、より強力な検知能力と柔軟な対応を備えるよう進化していますが、一方で攻撃者も手口を高度化させています。彼らの攻撃手法はますます多様化し、複雑で持続的になり、封じ込めることが一層困難になっています。
Sysdig のインライン レスポンス アクションでアナリストを支援
クラウドセキュリティアナリストにとって、この課題は攻撃対象領域の大幅な拡大によってさらに複雑になります。もはや干し草の山の中から針を見つける、では足らず、無数の干し草の山の中から針を見つけるような状況です。クラウドの発展に伴い、脅威の種類や手法も飛躍的に進化しており、検知、調査、対応の戦略も劇的な変革を求められています。
さらに、アナリストが干し草の山の中から脅威を検知できたとしても、対応プロセスの複雑さにより摩擦が生じることが少なくありません。たとえば、影響を受けたリソースへのアクセス権がなかったり、対応ワークフローの実行に関する知識が不足していたりするケースがあります。こうした課題の多くは、本番環境への影響を懸念することから生じます。しかし、この対応の遅れは、脅威の潜伏時間を延ばし、最終的には被害を拡大させる可能性があります。
Sysdigのインラインレスポンスアクションは、アナリストが独自のクラウド環境に適したオプションとコントロールを持てるようにし、迅速かつ適切な対応を可能にします。
クラウドセキュリティには、包括的なポスチャー管理と検知・対応が不可欠
攻撃対象領域の拡大により、セキュリティチームはより広範な視点を採用する必要に迫られています。ポスチャー評価や脆弱性管理などの予防的アプローチが重要視されるようになり、セキュリティ対策の「シフトレフト」が進んでいます。これらの手法は、リスクが顕在化する前に積極的に軽減するという点で非常に有効です。しかし、これらは検知と対応の代替ではなく、「侵害を前提としたポスチャー」を補完するものです。
なぜなら、すべてのリスクを事前に特定・修正できるわけではないからです。設定ミス、未修正の脆弱性、高度な脅威などは迅速な対応を必要としますが、セキュリティチームは膨大なアラートや時間のかかる複雑なプロセスに追われ、対応が遅れることで見逃しや侵害につながる可能性があります。さらに、シフトレフトの手法では予測も防止も困難な攻撃も存在します。例えば、攻撃者がソーシャルエンジニアリングを利用して認証情報や鍵を盗むケースです。このようなギャップが悪用された場合、強力な対応メカニズムの必要性が一層明確になります。
クラウドにおけるインシデント対応の課題
セキュリティ侵害やインシデントが発生すると、クラウドセキュリティを管理する担当者は一躍注目の的となります。セキュリティチームが24時間体制で対応を迫られ、関係者を招集し、迅速に対応戦略を実行することは珍しくありません。こうした対応は、瞬く間に混乱した「作戦司令室(ウォールーム)」へと発展し、複雑な回避策に頼らざるを得ない状況に陥ることもあります。本来、このような事態は日常的に発生すべきではありませんが、多くのセキュリティチームにとっては避けがたい現実となっています。
このような「火消し作業」は極めて重要であり、一つの判断ミスが深刻な影響を及ぼす可能性があります。アナリストは、限られた情報の中でリスクとリワードを天秤にかけ、難しい判断を下さなければなりません。過剰に反応すれば、本番環境に不要な混乱をもたらす可能性があります。一方で、対応が不十分であれば組織が脅威にさらされるリスクが高まります。
クラウド環境で検出と対応を管理するセキュリティチームには、迅速かつ決定的な対応を可能にするツールが必要です。エンジニアリングチームがすべての判断に時間をかけて関与するのではなく、数秒以内に自律的に行動できる手段が求められています。
CDRとCNAPPにとって対応が不可欠な理由
Sysdig では、対応能力が包括的なCDRおよびCNAPPソリューションの重要な柱であると考えています。予防が理想的な状態ですが、すべての脅威が現実化する前に排除することは事実上不可能です。このため、多くのセキュリティ組織は、ゼロ トラストの考え方でクラウド セキュリティポスチャーに取り組んでいます。ゼロ トラストの考え方が正しいことが証明されれば、大きな赤いボタン (シンプルで効果的なインライン対応メカニズム) を持つことが、反撃するための貴重な武器になります。
Sysdig の対応アクションを使用すると、イベントから直接アクションを実行し、悪意のあるプロセスを強制終了したり、侵害されたコンテナを停止、一時停止、強制終了するなどの封じ込め対策を実行できます。
イベントや脅威に応じて利用可能な対応アクションは、動的で予測が難しいシナリオに役立ちます。最近の CUPS CVE は、これらのシナリオが私たちが信じるよりも一般的であることを示しています。
例えば、アナリストが検知されたセキュリティイベントの通知を受け取ったとします。リバースシェルが生成され、攻撃者が侵害されたシステムへのリモートアクセスを取得し、データ流出の準備が進行中です。この場合、アナリストは、関連する悪意のあるプロセスを特定して停止し、必要に応じてそのプロセスをホストしているコンテナも終了させることで、攻撃者のアクセスを遮断し、さらなる悪用を防ぐことができます。
このような事態が発生する可能性を考えれば、セキュリティチームが迅速にプロセスやコンテナを停止し、攻撃を阻止できる手段を持つことは理にかなっています。こうしたアクションにより、セキュリティチームはリアルタイムで脅威を無力化でき、追加のリソースを投入する必要なく、修正作業の遅延を防ぐことができます。
自動化と手動制御のバランス
自動化により、ポリシー主導のアクションが可能になり、インシデント対応が変革しました。たとえば、Sysdig のポリシー アクションを使用すると、定義済みのしきい値に達したときに自動的に対応をトリガーできます。ただし、自動化が常に適切なソリューションであるとは限りません。シナリオによっては、自動対応によって、企業の Web サイトや支払いポータルがダウンするなどの追加のリスクが生じる可能性があり、ほとんどの組織はそのようなリスクを受け入れる準備ができていません。そのため、きめ細かな手動制御が重要になります。
Sysdig のインラインレスポンスアクションを使用すると、セキュリティアナリストは、正しい行動であると確信したら、数回クリックするだけで封じ込め対策をきめ細かく制御できます。レスポンスアクションをインラインに保つことで、アナリストは現在の思考プロセスに関与し続け、他のシステムに切り替えることなく効果的に実行できます。自動化と人間の意思決定のこのバランスは、インシデント対応者が不必要なリスクを軽減しながら効果的に行動できるようにするために重要です。
クラウドインシデント対応者向けのツールボックスの拡張
インシデント対応者に必要なのは、封じ込めツールだけではありません。コンテキストも必要です。効果的な対応は調査から始まります。Sysdig は、この分野で革新を続けています。フォレンジックおよび調査フローを強化し、高度な検知機能を導入し、アクティブなデータ収集メカニズムを統合することで、Sysdig はセキュリティチームに強力な武器を提供します。
たとえば、Sysdig のシステムコールストリームの基盤は、システムアクティビティに対する詳細なフォレンジックレベルの可視性を提供します。このカーネルレベルのデータは、インシデントの根本原因を明らかにして攻撃の範囲を理解するために必要です。Sysdig のビジョンは、最新のクラウド セキュリティ脅威のあらゆる側面を網羅する、より広範なCNAPP 対応フレームワークを作成することです。
CNAPP対応の将来
Sysdig の対応戦略は、次の 3 つの主要な柱に基づいています。
- 1 クリック レスポンスの有効化:侵害、構成ミス、脆弱性など、セキュリティ チームは迅速かつ効果的に行動するためのツールを備えている必要があります。これには、手動と自動の両方のレスポンスメカニズムが含まれます。
- 封じ込めによるリスクの最小化:インシデント対応は、アクティブな脅威に対処することだけではなく、より広範なリスク環境を軽減することです。封じ込めアクションと詳細な調査機能を組み合わせることで、セキュリティ チームは過剰な修正を行うことなくリスクを軽減できます。
- 柔軟な対応:自律性が鍵となります。セキュリティアナリストには、オンデマンドで対応を実行する能力と、独自の環境に応じた時間とリソースを節約するための日常的なアクションを自動化する能力が必要です。
これらの柱は、組織が絶えず進化する脅威からクラウド ネイティブ環境を保護できるように設計された、より広範な対応フレームワークの基盤です。
まとめ
クラウドセキュリティの業務はこれまで以上に過酷になっています。攻撃対象領域の拡大、イベントの増加スピード、そしてクラウドネイティブ環境の複雑さに対応するためには、適切なツールを備えることが不可欠です。Sysdigのレスポンスアクションの強化は、強力な検知・調査・予防機能と組み合わさることで、セキュリティチームが脅威アクターに対抗する力を備えることを可能にします。
侵害されたコンテナへの対応や悪意のあるプロセスの停止など、どのような脅威にも対応できるSysdig Secureのクラウドレスポンス機能が、あなたのセキュリティチームを強力にサポートします。
Sysdig の動作を確認するにはデモをリクエストしてください。
