Sysdig Agent の進化

By 清水 孝郎 - APRIL 13, 2025
Topics: クラウド セキュリティ

SHARE:

本文の内容は、2025年4月11日に Radhika Puthiyetath が投稿したブログ(https://sysdig.com/blog/the-evolution-of-the-sysdig-agent/)を元に日本語に翻訳・再構成した内容となっております。

過去6年間、私は Sysdig Agent の進化に貢献し、それを目の当たりにするという貴重な機会に恵まれてきました。テクニカルライターとして、Sysdig のお客様が最大限の価値を引き出せるよう、教育コンテンツの作成に携わっています。

もともとはシステムコールを調査する単純なスニッファーとして始まった Sysdig Agent は、今やサイバー脅威や脆弱性から守る強力な防御ツールへと変貌を遂げ、地域を越えて—さらには潜水艦の中という水中環境においてさえ—ワークロードを保護しています。すごいですよね?この変革の一端を担うことができたのは本当に素晴らしい旅であり、最前列でその過程を見守れたことに感謝しています。

Sysdigでの私の旅

私は2019年3月にSysdigに入社しました。これは、システムの詳細な可視性を提供するために設計されたオープンソース監視ツールSysdigの開発から6年後のことです。Sysdigはこの基盤を基に、2016年にランタイムセキュリティに重点を置き、クラウドネイティブ環境における異常な動作を検知するオープンソースプロジェクトであるFalcoを発表しました。

Sysdigでのキャリアは、 Sysdig Agentのドキュメント作成から始まりました。当時、このエージェントの主な役割は、Linuxホスト、コンテナ、オーケストレーションプラットフォームの健全性とパフォーマンスをチームが監視できるように、メトリクス、ラベル、イベントを収集・報告することでした。テクニカルライターとして、私は同様のプロセスに従いました。製品機能のテスト、使用状況の把握、顧客からのフィードバックの反映を通じて重要な情報を収集し、真に重要なものを発見し、抽出することを目指しました。

2020年までにSysdigエージェントは大きく進化し、Prometheusとの完全な互換性を実現し、クラウドネイティブアプリケーションの様々なエクスポーターから洞察を収集できるようになりました。エージェントの役割は、単純な監視から、メトリクスの収集、システムコールのスニッフィング、重要なセキュリティイベントの検知といった詳細なデータ収集へと拡大しました。 

包括的なセキュリティのための深いシステム可視性の活用

一方、Sysdigは監視・可観測性プラットフォームから、ランタイム脅威検知を中核とする包括的なセキュリティプラットフォームへと移行しました。これは重要な転換点でした。FalcoとSysdig Secureは、Sysdigの監視機能の自然な進化として登場し、システムコールの詳細な可視性がセキュリティにいかに活用できるかを示しました。 

当初は、ランタイム検知だけでセキュリティ上の懸念への対応は十分でした。しかし、サイバー脅威が高度化するにつれ、顧客はプロアクティブなセキュリティ対策を求めるようになりました。その結果、以下の開発が行われました。

  • コンテナ イメージのスキャン: 脆弱性が悪用される前に特定します。
  • Kubernetes セキュリティ ポスチャー管理 (KSPM): 攻撃者が悪用する前に誤った構成を検知します。

業界の進化に伴い、顧客の期待も変化しました。企業はもはや断片化されたセキュリティツールを求めず、統合されたセキュリティアプローチを求めるようになりました。この変化が、ランタイムセキュリティ、脆弱性スキャン、ポスチャー管理を統合したソリューションであるクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)の台頭につながりました。Sysdigのランタイム検知における強みは、CNAPPの重要な部分となり、リアルタイムのインサイトを活用して、アクティブな使用状況に基づいてセキュリティリスクの優先順位付けを可能にしました。

Sysdig の体験をシンプルに

エージェントのコンポーネントや機能が拡張されるにつれ、ドキュメントの複雑さも増していきました。たとえば、セキュリティに特化した設定をどこに記載すべきかという課題に直面しました——エージェントのドキュメントに載せるべきか、それとも Sysdig Secure ガイドに載せるべきか?また、Sysdig SecureSysdig Monitor の両方を購入したお客様や、特定の機能のみを購入したお客様に対して、インストールの手順をいかに簡素化できるかという課題もありました。

私たちの目標は明確になりました。

  • インストールの複雑さを最小限に抑えます。
  • 構成のオーバーヘッドを削減します。
  • ユーザーと情報の全体的なエクスペリエンスを簡素化します。

これを実現するために、当社はセキュリティ サービスを 2 つの主要コンポーネントに統合しました。

  • Host Shield: ホスト上で実行され、ワー​​クロードを直接保護するコンポーネント
  • Cluster Shield: ホスト上で実行せずにクラウド環境のデータを活用するコンポーネント

Cluster ShieldとHost Shieldの導入により、Sysdigコンポーネントのインストールと管理がお客様にとってより容易になりました。Cluster Scanner、KSPM Collector、Secure Admission Controller、K8s Audit LoggingはCluster Shieldに統合されました。同様に、Runtime Threat Detection、Host Vulnerability Scanning、KSPM for the Host、Rapid ResponseもHost Shieldに統合されました。このアプローチにより、インストール、アップグレード、設定が簡素化され、ドキュメント作成を含め、お客様の作業負担が軽減されます。

 

Sysdigでの6年間を振り返り、今後の展望について

Sysdig で過ごした時間を振り返ると、その変化は私たちのテクノロジーの進化と重なります。テクニカルライターとして、私はもはや個々の機能を単に文書化するだけではありません。今では、ユーザー視点で製品の挙動を分析しています。それはまるで、Sysdig のツールがリアルタイムでシステムコールを監視するかのようです。各機能の背後にある「なぜ」を理解することで、それぞれの機能がどのように包括的なセキュリティ戦略に組み込まれているかを示すユーザーストーリーを強調することができました。

Host Shield と Cluster Shield が Sysdig の CNAPP 戦略の中核へと進化していくのを目の当たりにしてきたことは、非常にやりがいのある経験でした。このような優秀なチームとともに、クラウドセキュリティをよりシンプルで効果的にするドキュメントを作成できたことは光栄です。そして今、これからに対してかつてないほどの期待を抱いています。一流のクラウドセキュリティを求めているお客様であれ、最先端のテクノロジーを構築したいエンジニアであれ、Sysdig はまさにその場所です。