Security Online Day 2024 秋の陣レポート（AD）

2年で従業員数5倍の企業が直面した課題　「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは

コンテナ環境を強固に　Sysdigが実現する「マルチステップ会話形式」の新たなセキュリティ対策

2024/11/20 10:00

通知

　ログラスではセキュリティ強化に向け、クラウド上の顧客データ保護にSysdigのコンテナランタイムセキュリティを採用している。これにより、リアルタイムで脅威を検知するインフラ基盤の強化を実現した。2024年9月25日、「Security Online Day 2024 秋の陣」にはログラスの勝丸真氏とSysdig Japanの竹内洋氏が登壇。導入背景とその成果を語った。

通知

組織規模が急拡大するスタートアップ、直面したセキュリティ課題

　勝丸氏が所属するログラスは、予実管理の改善を主とする経営企画向けのクラウドシステムを提供している。2023年度の予実管理SaaS市場ではNo.1シェア（富士通キメラ総研調べ）を獲得し、システムの累積導入者数は2年間で6倍以上、従業員数も5倍になるなど、事業も組織も現在進行形で成長中の企業だ。

　しかし勝丸氏は、同社のシステム開発において「ログラスのプロダクトは、速いスピードで開発が進んでいます。特に、急激な顧客の増加やマルチプロダクト化への対応により、仕様の見直しや新機能の開発がさらに増え、現在の仕組みをアップデートしなければいけない時期に来たと考えました」と明かす。加えて、その課題を解決すべくセキュリティ人材を増やすにしても、採用活動からチームの立ち上げには年単位の時間が必要だ。同氏は「事業の成長にともない、セキュリティの組織体制も一層の強化が求められる段階にきています」と語った。

株式会社ログラス開発本部 Enabling & Platform部 Engineering Manager 勝丸真氏

　従来、現場で生じたセキュリティ課題については、特定のツールを用いてクラウド設定を監視するという形で対応していたが、実際には不要なアラートも多く、現場の負担になっていたという。ライブラリのアップデートに関しても、GitHubの「Dependabot」で脆弱性やアップデートの有無を検知し、可能な限り最新バージョンへの更新を目指してはいたが、どのライブラリを優先すべきか適切な順位付けができていなかった。コンテナのセキュリティに関しては、主に「AWS Fargate」を活用しているが、システムコールレベルでの挙動が理解できていない現状にあったと勝丸氏は語る。

　経営視点で見れば、スタートアップの希少なリソースを、いかなるタイミングでセキュリティ領域に投資すべきかは非常に難しい判断だろう。

　「とはいえ、何らかの問題が発生してからでは手遅れです。経営陣の多くが、いかに適切にセキュリティに対応すべきか模索していました」（勝丸氏）

　こうした様々な課題の解決に向けて、同社では外部のセキュリティソリューション導入を決定。同時に、セキュリティにおけるゴールを以下のように定義した。

検知できる範囲の拡大、加えて検知が行き届いていなかった箇所も検知対象に含める。また検知した事実に基づき、優先度を決定しつつ対応を進める

ロードマップを提示し、経営陣も現場も現在の状況が明確にわかるような環境にする

顧客に対して、セキュリティチェックシートの回答根拠をより強固なものにする

「無尽蔵のリソースでは解決しない」堅牢なクラウドセキュリティ実現までの道程

　ゴールを定義した後、同社は「Sysdig」のPoCを1ヵ月間実施し、導入を決定した。Sysdigは、Kubernetesなどのコンテナ環境に強みを持つセキュリティプラットフォーム。リアルタイムにクラウド環境の脅威を検知し、AIを活用して対策を講じることができるという。

　「Sysdig導入後、さっそく社内では複数の変化が生まれ、セキュリティへの効果を感じました」と勝丸氏。最初に成果を得られたのは、アカウントの棚卸しだという。同社では、複数のAWSアカウントやGoogle Cloudアカウントを運用しているが、「Sysdigが複数のアカウントを横断的に分析し、未使用のアカウントを提案してくれました」と勝丸氏は語る。具体的には、他部署から要求されながらも本番運用には至らなかったアカウントや、過剰に付与されていたアカウントを発見し、一斉に整理できたとのことだ。

　加えて、同社ではセキュリティ検知できる範囲の拡大を目指し、インターネットフェイシングではない内部サーバが攻撃の踏み台とならないよう、脅威検知システムを導入。検知時にはアラートが発生するようにした。コンテナのセキュリティに関しては、「従来以上に安心感を持つことができました。今後は、Sysdigエージェントによるコンテナの不正挙動検知と停止機能の導入を検討したいです」とセキュリティの向上に期待を寄せた。

　また、開発チームでは、朝会でSysdigの情報を確認する習慣が身につき、コミュニケーションが活性化。Sysdigを開発チームとのハブとして活用することで、現状の問題点を共有しつつ、優先度の高い課題に集中して対応できる体制を整えられた。今後は、経営陣の投資判断にもSysdigの情報を活用したいと、勝丸氏は展望を明かす。

　「セキュリティ領域は、無尽蔵のリソースが必要なものだと考えられがちですが、必ずしもそういうわけではないと思います。今後も経営陣に対して人員や予算は要求していきますが、Sysdigによって現状を可視化し、具体的なロードマップを提示することで、アカウンタビリティと実効性を意識していきたいです」（勝丸氏）

クラウド攻撃の高速化に対応する、「555ベンチマーク」とは

　勝丸氏の講演を受け、Sysdig Japanの竹内氏は、同社の最新ソリューションである「Sysdig Sage」を紹介した。

　「Sysdig Sageは、生成AIを介した“マルチステップの会話形式”で、顧客の課題解決を支援するクラウドセキュリティアシスタント。まるで、自社専属のセキュリティ専門家を雇用しているかのようなサービスです」（竹内氏）

　続けて、竹内氏はSysdig Sageの機能として「Sysdig Sage for CDR」を挙げた。CDR（Cloud Detection and Response）とは、クラウドシステムに襲いかかる脅威を検知し、その対応策を提示するもの。同機能では、脅威を検知した後、その内容や種類、対応についてSysdig Sageに質問できる。質問は深掘りも可能で、繰り返すほどより深い知見を得られるとのことだ。他にも、セキュリティイベントの統計情報をポリシー名、検知ルール、重大度などでグルーピングし、要約・表示することができる。

　「多くのセキュリティ製品は、単に出力を要約するだけにとどまっていますが、Sysdig Sageはその一歩先にいます。独自の自律型エージェントが稼働し、単なる要約を超え、問題解決に必要な情報を深掘りして提供できるのです」（竹内氏）

画像を説明するテキストなくても可 — 「Sysdig Sage for CDR」との対話で、対応策やセキュリティへの深い知見が得られる［画像クリックで拡大］

　また、同氏はSysdig Sageの主な機能として、次の3つを挙げた。

会話で対応を加速：生成AIの採用で、ITに詳しくない一般ユーザーでも簡単に質問できる。会話を重ねることで、セキュリティの調査や、洞察を得ることが可能

AI専門家チームによる防御の強化：専門の自律型AIエージェントとの連携で、セキュリティの課題解決を支援

あらゆるスキルレベルでのクラウドセキュリティ管理：Sysdig Sageに質問することで深い知見を得られるため、ITチームのセキュリティ知識が底上げされる

　上記の機能を総合すると、「555ベンチマーク」の実現が可能になるという。555ベンチマークとは、Sysdigが提唱した「5秒以内の脅威検知、5分以内のトリアージ、5分以内の対応」を目指すセキュリティ基準。最近はクラウドへの攻撃速度が加速しており、攻撃者が侵入からデータ窃取までにかかる時間はおよそ10分と言われている。そのため、スピード感を持った対応が必要となる。

多段階推論で導く、セキュリティリスク対処の術

　Sysdig Sageの機能は、これだけではない。竹内氏は、さらに以下3つの機能を紹介した。

多段階推論：初歩的な質問から始め、徐々に質問を深掘りしていくことで、より深い知見に基づいた回答を導き出す

コンテクストの理解：質問の文脈を理解するだけでなく、ユーザーが閲覧しているUIの状況も把握し、適切な返答ができる。ユーザーがSysdigのどの管理画面を見ているか認識し、その画面内で示された質問に対して回答するため、初歩的な質問でも精度の高い応答が可能

脅威検知後の対応支援：多数のアラートが発生する中、検知したセキュリティイベントにどう対応すべきか具体的に提示する

　続けて竹内氏は、Sysdig Sage for CDRによるデモンストレーションを通じ、その対応力を示した。SysdigはSaaS型のクラウドサービスとして提供されるため、アクセスする際はWebブラウザを用いる。管理画面には、対話形式での問い合わせが可能なインターフェースが用意されているとのことだ。

Sysdigの操作画面。右側にSysdig Sageチャット形式で対話するインターフェースがある［画像クリックで拡大］

　なお、質問は日本語で行える。たとえば「今日発生した重要なイベントは何ですか？」と尋ねると、AIがイベントを分析し、結果を表示。表示されたイベントにはリンクが付いており、それをクリックすることで関連イベント一覧を確認できる。イベントをクリックすると詳細情報が表示されるが、内容がわかりにくい場合は「なぜこれが危険なのか」と追加で質問することで、危険性についての説明が得られるのだ。

　また、検知されたイベントの対処法について質問すると、複数の対応パターンが提示される。他にも、「このコンテナに対して他に検知されたイベントはありますか？」と尋ねれば、対象のコンテナに関連するイベントがリストアップされるという。さらには、Sysdig Sageがその回答に至った経緯についても確認できる。

　Sysdig Sageは現在、ランタイムイベントの脅威検知領域において既に提供されている。今後、このシステムは他の領域にもエージェント型として展開され、総合的にセキュリティ全般を監視する機能として提供される予定だ。具体的には、クラウド環境の設定ミス検出や、コンテナイメージ、Linuxホストの重大なバグ発見、log4jのような脆弱性の早期発見と侵入者の攻撃経路遮断のほか、不要な権限が過剰に割り当てられていないか確認するアイデンティティ管理といったものが利用可能になるという。

　最後に、竹内氏はSysdig Sageの今後について、「様々なエージェントがAIの専門家チームのように連携し、顧客の環境における最もクリティカルなセキュリティリスクを、相関的に分析できるようにしたいです」と意気込んだ。

この記事は参考になりましたか？