SysdigとSnykは、ランタイムインテリジェンスを用いて脆弱性のノイズを排除します

By 清水 孝郎 - FEBRUARY 16, 2022
Topics: Sysdig機能

SHARE:

本文の内容は、2022年2月15日にDaniella Pontesが投稿したブログ(https://sysdig.com/blog/sysdig-snyk-partnership/)を元に日本語に翻訳・再構成した内容となっております。

今日のクラウド環境における最大の課題の一つは、セキュリティ上の脆弱性に対応しながら迅速な開発サイクルを確保することです。SysdigとSnykは本日、パートナーシップを締結し、コードからコンテナのランタイムまで統合されたセキュリティを提供することを発表しました。このセキュリティは、脆弱性アラートのノイズを最大95%除去し、修正を最適化し、ランタイムを保護します。開発者は、セキュリティの障壁を取り除いた状態で、しかもセキュリティを犠牲にすることなく、高速に作業を進めることができます。

脆弱性の氾濫はセキュリティと生産性を低下させる

クラウドネイティブ開発の加速は、より速いイノベーションを可能にしていますが、それと同時に増加する脆弱性のバックログを残しています。開発者は、実際のリスクや修正作業の焦点をどこに置くべきかを知らないまま、脆弱性に圧倒されています。膨大な数の脆弱性を理解するためには、コーディングのための貴重な時間が必要です。もちろん、実際のリスクがないために重要ではない脆弱性に時間を割くことへのフラストレーションは言うまでもありません。

ランタイム環境を監視するセキュリティチームやオペレーションチームも、脆弱性アラートのノイズにあふれています。脆弱性のトリアージにリソースを費やすことは、高い代償を伴います。本当の脅威から目をそらすことになるからです。

Sysdig 2022 Cloud-Native Security and Usage Reportでは、パッチ適用可能な「高」または「重要」な脆弱性を持つコンテナの75%が本番環境で稼働していることが明らかになりました。脆弱性の過多は明らかに修復を手に負えないものにしており、その結果、組織は修復に平均約6カ月という不快な時間を費やさなければならなくなります。これにより、脅威となる人物が積極的に利用できる脆弱性にさらされる期間が危険なほど長くなってしまいます。

Patchabe vulnerabilitiesすべての脆弱性を修正することは非現実的な目標ですが、タイムリーな修正をあきらめることは危険な賭けです。優先順位付けが必要です。

ランタイムインテリジェンスでノイズを排除する

Snykは、開発者向けセキュリティのリーダーです。Snyk Containerでは、開発者は開発プロセスを通じてセキュリティのフィードバックを受け、より安全なベースイメージ上にコンテナを構築することができます。しかし、オープンソースやサードパーティ製のパッケージで作られたアプリケーションには、脆弱性が蔓延しているのが現状です。その結果、コンテナに含まれるパッケージに何万もの脆弱性が存在する環境になっています。

しかし、コンテナには、アプリケーションの実行時には使用されないコンテンツやパッケージが多く含まれています。そのため、重要なものとそうでないものを区別するための切り口を持たずに脆弱性の優先順位付けを行おうとすると、既存の優先順位付けアプローチと同じ結果になってしまいます。雑音が入り、雑音が消える。これが、脆弱性過多の苦しみが蔓延している理由です。そして、ここでSysdig Secureのコンテナ・ランタイム・セキュリティ・インテリジェンスが活躍します。

Sysdigは、クラウドとコンテナのセキュリティの標準を推進しています。私たちは、Kubernetes、コンテナ、クラウドにまたがる継続的なリスクと脅威の検出のためのオープンソースの標準であるFalcoを作成することで、クラウドネイティブなランタイムの脅威の検出と対応のパイオニアとなりました。本番環境のコンテナからSysdigのランタイム・リスク・インテリジェンスを適用することで、脆弱性のノイズを95%も削減することができます。このニーズの高いノイズの除去は、コンテナの実行時に実際に使用されるパッケージに影響を与える脆弱性に焦点を当てることで達成されます。これらのパッケージは、実際に悪用される危険性があるため、最初に修正すべきものです。

Runtime packages identified by Sysdig

統合された優先順位付けにより、最適な修復を実現

本番環境で発見される脆弱性の数が依然として多いことからもわかるように、これまでの優先順位付けのアプローチでは、脆弱性レポートは依然としてノイズで汚染されています。ランタイムのコンテキストがなければ、開発者はリスクの低い脆弱性や無関係な脆弱性に圧倒されてしまい、それらを修正するためのリソースを無駄にしてしまうかもしれません。さらに悪いことに、開発者は重要な脆弱性を見逃してしまい、パッチが適用されないまま放置され、それが侵入の原因になることもあります。

SysdigとSnykの統合により、開発者は集中することができます。ランタイム・コンテキストは、本番アプリケーションで有効な、悪用されやすいパッケージをピンポイントで特定します。開発者は、待っていられない数少ない問題を明確に把握することができるため、より迅速な修復に専念することができます。推測に頼らず、より多くのことを成し遂げることができます。

Snyk Container filtering running packagesSnyk Containerによるランタイムパッケージのフィルタリング

開発、セキュリティ、運用の間のギャップを埋める

私たちはSnykと提携できたことを非常に嬉しく思っています。なぜなら、Secure DevOps文化は、チーム全体にポジティブな影響を与えることで完全に受け入れられるからです。Snykとのパートナーシップにより、すべてのチームが安全なクラウドネイティブアプリケーションを開発・実行するために必要なものを手に入れることができ、より迅速なイノベーションの妨げとなっている障害を取り除くことができます。

コンテナセキュリティランタイムの統合は、ギャップを解消し、開発者、セキュリティ、運用に大きな価値を提供する良い例です。本番環境から開発者に向けてコンテナランタイムの可視性を提供することで、脆弱性のノイズを排除し、重要な問題をより早く修正することができます。リスクがより効率的に軽減されることで、SecOpsは組織のリスクエクスポージャーを改善し、脅威の初期兆候を検出することに集中できるようになります。さらに、開発者はコードを書くための時間を確保し、ビジネス目標を推進することができます。

SysdigとSnykは、脆弱性の管理からリアルタイムの脅威の検出と対応、さらにはクラウドネイティブ環境の監視とトラブルシューティングまで、最も包括的なセキュリティ・ソリューションを提供します。

  • コードからランタイムまでコンテナを保護する:安全なベースイメージから、脆弱性の優先順位付け、実行時のリアルタイムな脅威や新しい脆弱性の検出まで、コンテナやKubernetesのライフサイクルにセキュリティを統合します。
  • 最初から安全に構築する:本番環境で本当に必要なものに基づいて、脆弱性に対処し、ビルドプロセスの中で不要なパッケージを削除します。
  • ランタイムプロテクション:新しい重要な脆弱性や、ゼロデイエクスプロイトの標的となっている脆弱性が修正されるまで、脅威の検知が行われ、攻撃から保護されます。
  • 優先順位付けを統一する:ランタイムコンテキストと脆弱性チェックを組み合わせてリスクを統一的に把握し、重要なアラートに優先順位を付けます。開発者や運用担当者は、1週間後ではなく、今すぐ修正する必要があるものと、無視してもよい単なるノイズが何であるかを知ることで、管理しやすくなります。

SnykとSysdigは、開発者、セキュリティ、運用の3つのサイロを橋渡しする最初の企業です。セキュリティの向上が生産性の向上につながれば、イノベーション、成長、コスト削減、顧客満足のための完璧な条件が整います。

DevSecOpsを実現するための共通のビジョンと、この新しい統合の重要性について、Snykのブログ記事をご覧ください。

SysdigとSnykについてもっと知る

もっと詳しく知りたい、私たちのソリューションを実際に見てみたいと思いませんか?デモをリクエストするか、今後開催されるウェビナーにご参加ください: