本文の内容は、2023年4月25日に DURGESH SHUKLA が投稿したブログ(https://sysdig.com/blog/sysdig-secure-and-servicenow)を元に日本語に翻訳・再構成した内容となっております。
今日、セキュリティチームと開発チームは、脆弱性に溺れています。ほとんどのセキュリティツールは問題を特定しますが、信頼性の高い優先順位付けや修復の簡素化を提供しません。これらの課題を解決するために、SysdigのCloud Native Application Protection Platform(CNAPP)の一部であるSysdigランタイム脆弱性管理は、eBPFプローブと組み合わせたランタイムイメージスキャナーを提供し、コンテナの動作を分析して、ランタイムで使用されている脆弱なパッケージを特定します。この機能(Runtime Insightsと呼んでいます)は、ユーザーが実際のリスクを表す脆弱性の修復に優先順位をつけるのに役立ちます。
Sysdigは現在、この成功した脆弱性管理の哲学をエコシステムのパートナーに提供し、共通のお客様により良いサービスを提供しようとしています。これは、既存のお客様のワークフロー(インシデント対応、アラートトリアージなど)と統合し、ServiceNowのような愛着のあるプラットフォーム内で同様のメリットを提供することです。
私たちの共通のお客様の一人の言葉を引用します: 「Sysdigを自動調整することで、最も緊急性の高い問題に焦点を当て、ルールをフィルタリングし、アラート疲労の負担を軽減することができます。最初の数週間で、セキュリティを犠牲にすることなく、アラートの30%削減を達成しました。」
ServiceNow CVRにおけるSysdig Secure
Sysdigのチームは、前述の哲学をさらに発展させ、脆弱性の検出と優先順位付けにとどまらず、お客様の脆弱性管理ライフサイクル全体に直接的な影響を与えたいと考えました。ServiceNow Container Vulnerability Response and Configuration Compliance for Containersアプリケーション、通称ServiceNow Container Vulnerability Response(CVR)は、脆弱性のトリアージ、応答、トラブルシューティングの自動化を可能にするため、まさにこの機会を提供します。
ServiceNow CVRには様々な機能がありますが、重要なのはコンテナ関連のメタデータを受信して処理する機能です。コンテナはインスタンス化されたイメージであるため、CVRアプリケーションでは、コンテナと対応するベースイメージやレジストリとの相関をとることができます。また、パッケージやバージョンなどのコンポーネントの管理も容易になります。また、National Vulnerability Database(NVD)のCVEやその他の構成管理データベース(CMDB)資産と要素を相関させることができます。
Sysdigは、Sysdig SecureとServiceNow CVRを統合するための公式CVRコネクターアプリを作成し、お客様がコンテナワークロードに関するインサイトを、きめ細かいクラウドネイティブのコンテキストと使用中のパッケージの詳細とともにServiceNowプラットフォームに送信できるようにしました。
Sysdig SecureをServiceNow CVRで利用するメリットTOP3
アラートトリアージは、セキュリティアラートの評価と優先順位付けを行い、脅威の深刻度とインシデントレスポンスにエスカレートさせるべきかどうかを判断する活動です。セキュリティエンジニアやアナリストは、無関係な脅威データが含まれていたり、コンテキストや理解を提供するツールが不足しているために、大量のアラートに直面することがよくあります。
この統合の核となるSysdig独自のRuntime Insights機能は、ServiceNow CVRのユーザーが、実際にメモリにロードされ、実行時にリスクにさらされる使用中の脆弱なパッケージの修復を優先することを可能にします。これにより、より迅速で効果的な優先順位付けが可能となり、修正すべき脆弱性の数を最大95%削減することができます。
SysdigとServiceNow CVRを統合することで得られる主なメリットは以下の通りです:
- 脆弱性の優先順位付け: Sysdigから送られてくる “in-use” のセキュリティ・コンテキストに基づいて、ServiceNowプラットフォーム内で脆弱性修正の優先順位を決め、悪用可能性、重要度、CVE報告日などの重要な脆弱性パラメータと組み合わせます。
- トリアージと割り当てプロセスの高速化: Sysdigが検出したコンテナ脆弱性をCVI(コンテナ脆弱性項目)としてServiceNowのコンテナ脆弱性データモデルに取り込み、トリアージ、コンテクスト化、割り当てなどのタスクを自動化します。
- より迅速で正確なインシデントレスポンス活動を実現: 脆弱性の詳細を資産管理、セキュリティワークフローオーケストレーション、自動化、可視化、対応に活用することで、最終的に解決までの総時間を短縮することができます。
さらに、ServiceNowのCMDB(構成管理データベース)において、イメージやレジストリなどSysdigで保護された資産をマッピングし、リスクをより包括的に理解できるようになるというメリットもあります。
Sysdigのテクノロジーアライアンス担当副社長であるBryan Smoltzは、「ServiceNow CVRとの統合により、お客様はServiceNowのインターフェースで直接脆弱性の詳細情報を入手することができます」と説明します。これらの脆弱性の優先順位付けにSysdigを利用することで、セキュリティチームと開発チームは、実際の脅威に素早く対処し、MTTRを高速化することができます。”
統合のセットアップ方法は?
開始するには、Sysdig CVRアプリのページにあるドキュメントとインストールガイドを参照することができます。なお、Sysdigの統合コネクターは無償で利用できますが、ServiceNow CVRアプリを購入する必要があります。詳しくはショップにお越しいただくか、ServiceNowの担当者やパートナーにご相談ください。
さらに、ServiceNowにCVEs情報をインポートして、脆弱性の露出をよりよく理解するために、ServiceNow NVD統合モジュールが推奨されます。
ServiceNowにプラグインをインストールする方法の詳細については、「ServiceNowプラグインアクティベーションの概要」を参照してください。開始するには、ServiceNowインスタンス内の管理者ユーザーロールが必要です。
脆弱性の優先順位付けと修復
コンテナのランタイム脆弱性はSysdig Secureが検知し、“in-use” であればUIにフラグを立てます
統合により、これらの脆弱性は、任意の間隔(例:毎日)で定期的にServiceNowプラットフォームに取り込まれ、ServiceNow上で「コンテナ脆弱性アイテム」として表現されるようになります。
ServiceNowのユーザーは、その後、修復ワークフローを開始するなどのさらなるアクションを取ることができます。さらに重要なのは、脆弱なパッケージが使用されている場合、コンテナ脆弱性項目の深刻度が上昇することです。これにより、ランタイムリスクをもたらす可能性のある重要な脆弱性を優先的に修復することができます。
Sysdig SecureとServiceNowのユーザーであれば、ぜひこの統合を試してみてください。プラグインの改良と改善を続けていきますので、ぜひフィードバックをお願いします!Sysdigのアプリ内チャット、サポートチーム、カスタマーサクセス担当者を通じてご連絡ください。
その他のリソース
- SysdigとServiceNowのパートナーシップの詳細については、Sysdig + ServiceNowの統合ページをご覧ください。
- ServiceNow Container Vulnerability Responseのドキュメントを読む
- Sysdigのお客様ではありませんか?無料トライアルをお試しください