企業や組織で利用が広がるクラウド環境のセキュリティがより重要となり、特にインフラやアプリケーションでは、セキュリティ状態の把握と問題や脆弱(ぜいじゃく)性などが発覚した際の迅速な対応が必須になる。このためのソリューションの1つとして注目されているのが、Cloud Native Application Protection Platform(CNAPP)だ。オープンソースのセキュリティツール開発者としても著名なSysdigの創業者で最高技術責任者(CTO)を務めるLoris Degioanni(ロリス・デジオアーニ)氏に、CNAPPの特徴や方向性などを聞いた。
Sysdig 創業者 最高技術責任者のLoris Degioanni氏
Degioanni氏は、世界中のセキュリティ研究者らが活用しているオープンソースのネットワーク分析ツール「Wireshark」やランタイムセキュリティツールの「Falco」の開発に長らく貢献し、Falcoの商用展開において2013年にSysdigを創業した。Sysdigは米国カリフォルニア州に本拠を置き、Falcoの商用版製品「Sysdig Secure」を展開する。Sysdig Secureのユーザーは、グローバル大企業を中心に約700社に上るという。Falcoは、2018年にCloud Native Computing Foundation(CNCF)へ寄贈され、コンテナーランタイムの標準的なセキュリティツールとして引き続きコミュニティーでの開発が続いている。
Degioanni氏は、「われわれは、クラウド環境に対する攻撃の高度化、拡大、高速化という問題の解決を目指している」と述べる。企業や組織のクラウド利用が広がり、多様な機密性の高いデータの処理も増えていることに加え、クラウドインフラがソフトウェアベースで構成されているという要素に影響しているという。
「従来の攻撃者は、まずデータセンターのハードウェアやソフトウェア、コンポーネントなど独自の構成要素を理解しなければ、攻撃を実行するのが難しかった。しかし、クラウドインフラは、ソフトウェアベースで標準化、均一化され、APIで統合され、攻撃者はスクリプトにより容易にさまざまなクラウド環境に対して迅速に攻撃を実行できるようになった」(Degioanni氏)
Degioanni氏によると、サイバー攻撃者の滞在時間は、オンプレミス環境では平均10日ほどだが、クラウド環境では10分未満だという。クラウド環境における主なセキュリティ問題は、脆弱性と設定ミス、権限の悪用の3つで、攻撃者はこれらの問題を巧妙に突きながら短時間のうちに攻撃を実行させる。
例えば、同社が調査分析した「SCARLETEEL」という攻撃では、攻撃者がクラウド環境に侵入して暗号通貨の採掘アプリ(クリプトマイナー)を設置し、リソースを掌握して認証情報を窃取。不正ログインを行い、ソフトウェアリポジトリーに侵入して、機密情報を窃取した。この攻撃プロセスに要した時間は10分以内だったといい、防御側は5分以内に攻撃者の動きを検知して、次の5分以内に行動を阻止する対応を実行しなければならない。
このように、クラウド環境に対する攻撃は極めて短時間に実行される。Degioanni氏は、従来のセキュリティツールではこの攻撃展開のスピードに対応することが難しく、多数のセキュリティツールの運用とそのアラートへの対応に追われている組織のセキュリティ担当者が本当にリスクの高い脅威へ対応することも困難を極めると指摘する。
このためFalcoの開発では、インフラの状態の高い可視性を確保すべく仮想マシンやコンテナーなどのワークロードから「extended Berkeley Packet Filter」(eBPF)などを利用して多様なデータを得るようにしている。コミュニティーには100以上のコントリビューターとITベンダーらが参加しており、エージェント型とエージェントレス型の2つの方法でデータを収集する。「エージェントレス型のツールも多いが、われわれは両方をバランス良く活用することが大切だと考えている。エージェントできめ細かくデータを収集すると同時に、エージェントレスでは幅広い対象のデータを容易に集めることができる」(Degioanni氏)
クラウド環境の状態データを収集する方法
次に、収集した膨大なデータの相関付けを行う。インフラの状態情報と、ワークロードで使用しているパッケージや認証、ファイルの実行といったランタイムを通じて得られる情報、脆弱性や脅威インテリジェンスなどの情報を組み合わせて、総合的なセキュリティリスクを分析し、管理者が優先的に対処すべき問題の特定と対応、修復のフローを提示する。
Degioanni氏は、「セキュリティ管理者が対応すべきリスクには、大きく動的なものと静的なものがある。当然ながら、脅威が顕在化して進行中の動的なリスクへの対応が優先されるので、われわれは管理者が最優先で対応すべくリスクや問題の提示に注力している」と述べる。
収集、集約したデータの相関分析を通じて対応優先度が高いリスクの特定と対応を示す
オープンソースとしてのFalcoは非常に高機能であり、使いこなすには、高度なスキルと経験を持つセキュリティ研究者などでないと難しい側面がある。このため商用版のSysdig Secureは、膨大なデータや情報、対応アクションなどを管理者へ分かりやすく提示するユーザーインターフェースやサポートを加えて提供しているという。「CNAPPはセキュリティ人材のためだけにあるわけではなく、経営層などセキュリティに詳しくない人材にも適切な情報を分かりやすく提供する必要がある。ポスチャー管理とランタイムセキュリティの組み合わせがクラウドのセキュリティ戦略において鍵になる」(Degioanni氏)
またDegioanni氏は、Sysdig Secureユーザー向けの支援機能として生成AIによるエージェント機能の「Sysdig Sage」も紹介した。ユーザーは管理画面内のチャットボックスから自然言語の文章で問い合わせると、生成AIのエージェントが質問に即した回答を提示する。将来的には、Sysdig Sageで問題修復の自動実行といった対応も行えるようにするという。
「今後はさまざまな分野で自然言語がユーザーインターフェースになり、生成AIのアシスタント機能を他社でも採用しつつあるのは、当然の流れといえる。われわれは、生成AIに早期から取り組み、投資を行っており、特にセキュリティ運用ではマルチドメインで利用できることが必須と考え、これからも開発を進めていく」(Degioanni氏)
