// シス担のミカタ
クラウドセキュリティ

Sysdig しすでぃぐ

コンテナセキュリティKubernetesランタイムセキュリティFalcoクラウドネイティブ脅威検知
Sysdigについて教えて

簡単に言うとこんな感じ!

Sysdigはコンテナ(小分けにしたアプリの箱)の中で何が起きているかをリアルタイムで監視・記録するセキュリティツールだよ。「誰が何のファイルを開いたか」「変なコマンドが実行されていないか」を常に見張ってくれる、クラウドの監視カメラみたいな存在なんだ!

Sysdigとは

Sysdigは、コンテナ・Kubernetes・クラウド環境向けのセキュリティ監視プラットフォームです。2013年に設立されたSysdig社が開発し、Linux カーネルのシステムコール(OS の中心部への命令) をリアルタイムで傍受・記録することで、コンテナ内部の動きを可視化します。

従来のセキュリティツールは「入口」(ファイアウォール脆弱性スキャン)の守りが中心でしたが、Sysdigは「実際に動いている最中(ランタイム)に何が起きているか」検知する点が特徴です。攻撃者がコンテナに侵入して悪意あるプロセスを実行した瞬間を検知できるため、事後対応だけでなくリアルタイムの脅威対応が可能になります。

Sysdigには商用プラットフォーム(Sysdig Secure / Sysdig Monitor)と、OSSの脅威検知エンジン Falco(後述)の両輪があります。Falcoは現在CNCFのプロジェクトとして独立しており、Sysdigはその商用サポートと拡張機能を提供するエコシステムの中心的存在です。

Sysdigの主な機能と構成

機能カテゴリ内容ビジネス上の意味
ランタイムセキュリティ実行中コンテナの異常な動作を即時検知侵入後の被害を最小化
脆弱性スキャンコンテナイメージ・実行中環境の既知脆弱性検出「穴」を事前に塞ぐ
コンプライアンス確認PCI DSS・CIS・SOC2などへの準拠状況チェック監査対応の自動化
インシデント調査過去のシステムコールを遡って原因を分析「何が起きたか」を証明
クラウド設定監査AWS/GCP/Azureの設定ミスを検出(CSPMクラウドの設定漏れを防ぐ

OSSコア「Falco」との関係

Sysdig プラットフォーム(商用)
├── Sysdig Secure  … 脅威検知・コンプライアンス・フォレンジック
├── Sysdig Monitor … パフォーマンス監視・メトリクス
└── [コア技術]
     └── Falco(OSS / CNCF プロジェクト)
          ├── カーネルモジュール / eBPF ドライバ
          └── ルールエンジン(YAMLで脅威ルールを記述)

Falco はLinuxカーネルのイベントをフックし、ルールに違反する挙動(例:コンテナ内でのシェル起動、機密ファイルの読み取り)をアラートします。Sysdig社はFalcoをCNCF(Cloud Native Computing Foundation)に寄贈し、現在はCNCFのIncubatingプロジェクトです。

Sysdigが検知するイベントの例

シナリオ検知内容なぜ危険か
コンテナ内でのbash起動shell spawned in container攻撃者が対話操作している可能性
/etc/passwd の書き換えwrite below /etc権限昇格・バックドア設置の手口
予期しない外部通信新規アウトバウンド接続データ持ち出し(C2通信)の兆候
特権コンテナ起動privileged containerホストOS への脱出リスク

歴史と背景

  • 2013年 Sysdig社をLoris Degioanni(Wiresharkの共同開発者)が設立。Linuxのシステムコールを可視化するOSSツール「sysdig」をリリース
  • 2016年 コンテナ向けセキュリティ・監視のSaaS「Sysdig Cloud」を提供開始
  • 2018年 リアルタイム脅威検知エンジン Falco をOSSとして公開。コンテナセキュリティの標準ツールとして急速に普及
  • 2018年 KubernetesをCNCFが卒業プロジェクトとして認定し、K8s普及が加速。Sysdigの需要も急増
  • 2020年 FalcoをCNCF Sandboxプロジェクトとして寄贈
  • 2021年 Falco がCNCF Incubatingプロジェクトに昇格。業界標準の地位を確立
  • 2022年 Sysdig社の評価額が約25億ドルに到達。エンタープライズ向けCNAPPクラウドネイティブアプリ保護プラットフォーム)として機能を拡張
  • 2023〜現在 AI/ML を活用した自動リスク優先順位付けや、クラウド検知応答(CDR)機能を強化

競合・類似ツールとの比較

Sysdigと同じ「クラウドネイティブセキュリティ」領域には複数のツールが存在します。

クラウドネイティブセキュリティ ツールマップ (横軸:スコープ 縦軸:検知タイミング) ← コンテナ特化 クラウド全体 → 事前(シフトレフト)↑ ↓ リアルタイム/事後 Sysdig ランタイム検知 + 脆弱性 スキャン + CSPM Prisma Cloud マルチクラウド対応 CNAPP 統合プラットフォーム Falco(OSS) Sysdigのコア技術 ランタイム検知のみ Aqua Security コンテナ特化 DevSecOps 統合 OSS化 基盤

主要ツール機能比較

ツールランタイム検知脆弱性スキャンCSPM価格体系
Sysdig商用SaaS(ノード数課金)
Falco××無料OSS
Prisma Cloud商用(クレジット制)
Aqua Security商用(コンテナ数)
AWS GuardDutyAWS従量課金

関連する規格・RFC

規格・標準内容
CIS Kubernetes BenchmarkKubernetesの安全な設定基準。Sysdigはこれへの準拠チェックを自動化
NIST SP 800-190コンテナセキュリティガイド。Sysdigの機能設計の参照基準

関連用語

  • Kubernetes — コンテナを自動管理するオーケストレーションプラットフォーム
  • コンテナ — アプリをパッケージ化して動かす軽量な実行単位
  • Falco — Sysdig社が開発しCNCFに寄贈したOSSのランタイム脅威検知エンジン
  • eBPF — Linuxカーネルを安全に拡張する仕組み。Sysdigのドライバ技術の基盤
  • CSPM — クラウドの設定ミスを検出・修正するセキュリティ管理手法
  • CNAPP — クラウドネイティブアプリ全体を一元保護するセキュリティプラットフォーム
  • DevSecOps — 開発・運用・セキュリティを統合したアプローチ
  • ゼロトラスト — 「何も信頼しない」前提でアクセスを常に検証するセキュリティモデル