実例に学ぶ
クラウドネイティブセキュリティの勘所
2023年2⽉22⽇
Sysdig Japan 合同会社
Senior Director 川端 真
Source Run

⾃⼰紹介
2
職歴 職種
⼤王製紙 プラントエンジニア
ネットワンシステムズ ネットワークエンジニア
EMC ストレージエンジニア
Crossbeam Systems セキュリティエンジニア
Nutanix ⽇本法⼈⽴ち上げ
Nimble Storage ⽇本法⼈⽴ち上げ
HPE ストレージプリセールス⻑
AWS ストレージスペシャリスト
Sysdig チャネル＆アライアンス責任者
川端 真
Mac Kawabata
兵庫県尼崎市出⾝
⽝好き、餃⼦の王将好き

IBM Cloudに組み込まれたSysdig
3

Sysdigの起源: 技術の公平な活⽤への拘り
WireSharkの作者、Loris Degioanniにより2013年に創業
可視化、トラブルシューティング、セキュリティの向上を
より幅広い⼈々に届けるために、オープンな姿勢を貫くカルチャーの会社

ちょっと歴史の振り返り
5
1993 1998 2003 2008 2013 2018
tcpdump /
BPF
Ethereal falco
sysdig
Snort
Wireshark
Stateful Firewallの登場
Snort (IDS)の登場
WAFの登場
Docker OSS登場
Kubernetes登場
クラウド時代の始まり
境界がはっきりしていた時代

6
セキュリティの仕組みって
同じでいいの︖

Sysdig Japan合同会社
7
◇ 2018年10⽉設⽴、Yahoo! Japan、メルカリ、NTT Data CAFIS、その他多数のSysdigの世界的な代表
事例となられているお客様と⽇々、クラウドネイティブなセキュリティの仕組みを作り上げ続けています。
Sysdig Japan
ファミリー
⽇本地域技術責任者
Mr. TK

今までで良くあるパターン
8
⽇本地域技術責任者
Mr. TK
コンテナセキュリティ
って何だ︖
このTKって誰だ︖
①
②
③
ニッチな領域の⼤量ブログを
⽇本語でアップ
TKへDMしてみよう︕

積み重ねて来た実例
9
sysdig yahoo 検索 sysdig mercari 検索 sysdig iij 検索

ガートナー社が⾊んな⾔葉を創造
Information on this slide is confidential
出展︓Gartner
CWPP
CSPM
CIEM
CNAPP

11
なーんそれ︕

のコンテナが5分以下で消滅
SOCチームがインシデント
解析に必要な⼗分な情報の
取得がクラウドやコンテナ
では困難
72%
の割り当て済みクラウドパーミ
ッションが実際には使われてい
ない
クラウドアクセスに関
する権限の可視化が複
雑で困難
90%
の侵害がクラウドの設定ミスが
起因*
設定ミスがセキュリティと
コンプライアンスリスクの
要因に
15%
のコンテナイメージがhigh⼜
は critical の脆弱性を保有
リスク管理と開発者の負
荷軽減のバランスが課題
87%
実例に基づいた4つのポイント
脆弱性管理 設定管理
ID＆アクセス管理 脅威検知及び対応
Sysdig 2023 Container Security and Usage Report
*IBM 2022 Cost of a Breach report

VM、ホスト、Kubernetes、クラウドを隙間無く安全に
構成管理
Infrastructure as
Codeの検証 脆弱性管理 脅威検知
インシデント
対応
• CI/CDパイプライ
ン、レジストリ、
ホスト
• ランタイム脆弱性
に基づく優先順位
付け
• フォレンジック
のための詳細な
記録を取得
• 悪意のあるコン
テナ/プロセスを
ブロック
• CSPM / クラウド
の設定ミス
• クラウドインベン
トリー
コード ビルド 実行/Run 対応
サプライチェーンセキュリティ
コンプライアンス
• クラウドにおける
脅威検知
• ワークロード
ランタイム
セキュリティ
• ドリフト防止
• リスクの高い
Configをブロック
ID&アクセス管理
• CIEM / 最小特権
• ランタイム環境で
のパーミッション
に基づく優先順位
付け

14
これらの要件を
• 限られた⼈的、⾦銭的リソースの範囲で
• なるべく時間をかけずに
• 開発スピードを落とさないように回していく
事が重要

リスクの優先順位付けの⽀援
Permissions
Vulnerabilities
Kubernetes
Cloud
In-Use Vulnerabilities
In-Use Permissions
ランタイムで使われる脆弱性は全体のたった15%
“実際に使⽤されている脆弱性に注⼒する事により、脆弱性
毎に1.5時間もの時間を削減する事が出来ました”

コンテナ、ワークロード、
VM、ユーザー、クラウド
全体を跨いで可視化
数百万件のイベントから実
際のインシデントに関連付
け、コンテキストで詳細化
し、優先順位付けを実施
リアルタイム脅威検出
顕在化したリスク
コンテキスト付加による詳細化
ユーザーからプロセスに⾄る
全てのアクティビティの把握
Machine
Learning Detection
Sysdig Threat Research Team

豊富なコンテキストによる迅速な修正
ソースでの修復
IaC
Cloud
Kubernetes
Impacted services and dev teams
cluster, namespace, node,
deployment, aws region, etc
Context Enrichment
IAM

Sysdigの狙う⽅向性︓ランタイム情報を活⽤しノイズを徹底して除去
Platform
CI/CD/Production
Vulnerabilities 1000
Configuration 50
Permissions 100
K8s Network
Connections
5000
In-Use Risk
Exposure Filter
50
25
2
50
In-Use
Packages
In-Use
Config
In-Use
Permissions
In-Use Network
Connections
Top Risks
ToDo
Effective Prioritization
REST APIs

エージェントとエージェントレスのいいとこ取り
19
Serverless
Hosts
Container
Identity
Cloud Assets
Images
OPA Falco
AGENTLESS AGENT
Sysdigはランタイム情報収集が得意！

20
エージェントとエージェントレスのいいとこ取り

Cloud and Container Security
from Source to Run