オープンソース:現代のイノベーション基盤
概要
オープンイノベーションは、防御側にとって大きな力を倍増させる存在です。草の根的な協力から生まれたツール、研究、検知技術が、今日最も効果的なセキュリティ実践の基盤を築きました。そして現在、オープンソースがもたらす信頼と透明性は、運用に欠かせない要素となっています。攻撃者がツールや手法を共有し、協力し合う以上、防御側も同じように協調しなければなりません。実務者やベンダーの継続的な貢献のおかげで、オープンソースのセキュリティツールはより高速かつ精緻になり、脅威の進化を先取りして実際の運用において効果を発揮しています。オープンイノベーションこそが、現代のセキュリティチームを強靭にし、常に一歩先を行かせる原動力なのです。
データ主権時代におけるオープンソースの重要性
欧州連合(EU)、オーストラリア、カナダなどの国々では、データがどこに保存され、どのように処理され、誰がアクセスできるのかを規定する法律や規制が存在します。2025 年 9 月 12 日に施行されるEUデータ法(EU Data Act) は、デバイスが生み出すデータに対するコントロールを与えるものです。
こうした国々で事業を展開する組織にとって、データ主権は交渉の余地のない必須要件となっています。
オープンなセキュリティツールには、煙幕やトリックは存在しません。
ツールの内部を確認すれば、その動作がすべて分かります。なぜなら、それらは本質的に透明性をもって構築されているからです。さらに、これらのツールは EU インフラ内でセルフホストでき、オンプレミス、プライベートクラウド、またはソブリンクラウド環境に展開することが可能です。加えて、テレメトリーを自社管理できるため、外部にデータが送信されることはなく、データに対する法的および運用上の権限を維持できます。EUでは、 Microsoft や Google が規制圧力に対応する形でソブリンクラウドの提供を拡大しており、オーストラリアでは Splashtopが同様の取り組みを進めています。
Falco: オープンに構築され、コミュニティの実運用によって磨き上げられています
CNCF のオープンソースランタイム脅威検知エンジンである Falco は、オープンクラウドネイティブセキュリティのグローバルスタンダードです。今年に入ってからだけでも約 1,000 万回、累計で 1 億 5,000 万回以上ダウンロードされています。Fortune 500 の 60%の企業が、そして世界中のスタートアップや個人ラボに至るまで、環境の規模や範囲を問わず、すべてのセキュリティ実務者に Falco のユースケースが存在します。
Falco の進化は、クラウドセキュリティ業界におけるトレンドや変化を映し出してきました。
- 侵入検知システム(IDS)ツールから、リアルタイムのランタイム脅威検知・対応へ
- 2018 年にはカーネルモジュールから eBPF プローブへ移行
- 単純なアラートから、ワークフロー統合へ発展
コミュニティの支援により、 Falco Actions は Falco の機能を CI/CD パイプラインに拡張し、ソフトウェアライフサイクル全体で脅威を検知・封じ込める 「シフトレフト&シールドライト」戦略 を支援しています。Falco Talon は CI/CD における自動ポリシー適用をサポートし、セキュア・バイ・デザインの理念と整合しています。 Falcosidekick は、Falco のアラートを必要な場所へと配信します。
さらに Falco は、リアルタイム検知やコンプライアンス対応を満たすだけでなく、オープンソースであるがゆえに、組織ごとに検知ルールやコンプライアンスポリシーを自社のニーズに合わせてカスタマイズ可能です。これにより、特に金融、政府、医療といった分野で高い有用性を発揮しています。
Falco: Built in the open, battle-tested by the community
Falco, the CNCF’s open source runtime threat detection engine, is the global standard for open source cloud-native security, with nearly 10 million downloads since the beginning of the year, and more than 150 million total downloads. From 60% of Fortune 500 companies to startups and home labs across the globe, there’s a Falco use case for every security practitioner, regardless of the size or scope of their environment.
Falco’s evolution has mirrored the trends and shifts in the cloud security industry:
- From an intrusion detection system (IDS) tool to real-time runtime threat detection and response.
- From kernel modules to eBPF probes in 2018.
- From simple alerts to workflow integrations.
Thanks to the community’s support, Falco Actions extends Falco’s capabilities into CI/CD pipelines, supporting the “shift left and shield right” strategy to detect and contain threats at every part of the software life cycle. Falco Talon supports automated policy enforcement in CI/CD and aligns with the secure-by-design philosophy. And Falcosidekick sends Falco alerts wherever they need to go.
Furthermore, Falco not only checks the real-time detection and regulatory compliance boxes, but because it’s open source, organizations can tailor detection rules and compliance policies to their unique needs. That makes it especially useful to those in the finance, government, and health care sectors.
The dawn of Falco
2016
First Falco commit
2018
eBPF
2018
Joins the CNCF Sandbox
2019
Falcosidekick introduced
2020
Moves to Incubation, the next CNCF stage
2021
Falco plugins introduced
2021
Sysdig makes the largest eBPF libraries donation
2022
falcoctl
2023
eBPF CO-RE
2024
Falco graduates the CNCF
この図は、セルフマネージド型のオープンソース Falco エコシステムの一例を示しています。これはクラウドネイティブ環境における脅威検知と対応のための強力なツールキットを備えています。十分なリソースを持つチームであれば、この高機能なプラットフォームを構築することは可能です。しかし、エンタープライズ規模でこのような導入を実現し、維持していくためには相応の運用コストと投資が必要であることも認識しておくことが重要です。
オープンソースから始まる道のり
オープンイノベーションは、セキュリティの出発点であり、サンドボックスからエンタープライズへとセキュリティを拡張していく方法でもあります。オープンソースツールは強力ですが、同時に限界も存在します。スケーラビリティの課題に直面したり、より高度な機能を求めたり、エンタープライズサポートを必要とする場合、多くの組織はランタイム検知における Falco や、コンテナのトラブルシューティング・調査における Sysdig OSS から、エンタープライズグレードのツールである Sysdig へと移行する道を選びます。
これは多くの場合、信頼を基盤とした自然な進化のプロセスです。チームは初期費用なしでハンズオンの経験を積み、やがて事業運用上のニーズが拡大するにつれて、Sysdig が提供するエンタープライズプラットフォームを通じて、同じオープンソースの基盤を活かしながら中断なくスケールを実現できるのです。
共創的なイノベーションの継続
2025 年 1 月にリリースされた Stratoshark は、Wireshark の強力なパケット解析機能と Falco の堅牢なランタイムセキュリティを組み合わせ、迅速なトラブルシューティング、確実なインシデント対応、そしてクラウドネイティブな柔軟性を実現しました。これにより Sysdig がオープンソースコミュニティへの取り組みを揺るぎないものとしていることが証明されました。
Wireshark は 1998 年 7 月にリリースされ、現在も月間 150 万件のダウンロードを誇ります。同じレトロなユーザーインターフェースを採用した Stratoshark もすでに 4 万件のダウンロードを記録し、週あたり 6,000 人の訪問者を集めています。
オープンイノベーションは、信頼とコラボレーションの基盤であり、セキュリティにおけるコンプライアンス、検知、防御を支えます。そしてクラウドネイティブエコシステムがますます複雑化し、規制も進化し続ける中で、オープンイノベーションの重要性はさらに高まる一方です。すでにオープンソース AI の発展と普及が、そのことを如実に示しています。
「私は Sysdig がオープンソース活動にとても積極的である点を気に入っています。Sysdig にはセキュリティとモニタリングの両方に対応したオープンソースプロジェクトがあり、組織はそれらを導入して無料で利用できます。そして、オープンソースツールを使い込んでいく中で、より適した形で活用できるエンタープライズ版も用意されています。さらに機能や特長が必要になれば、Sysdig が支えてくれます。良きコミュニティメンバーであり、推進役であることは私にとってとても重要です。」
– Worldpay社、プリンシパル・コンテナエンジニア
Sysdig 顧客事例
Syfe は、顧客の資産管理や投資、さらにはグローバル取引の仲介を支援する国際的なデジタル投資プラットフォームです。同社はクラウドネイティブでセキュアなインフラを基盤に運営されています。
Syfe はセキュリティ基盤として Falco の利用を開始し、カスタムポリシーを構築してリアルタイムアラートを Slack チャンネルに送信していました。Sysdig の脅威調査チーム(TRT)は毎週 Falco コミュニティに検知ルールを提供しており、Syfe もそれらを活用していましたが、組織や環境が急速にスケールするなかで、それらを更新・維持するために多くの貴重な時間を費やしていました。
やがて Syfe は Falco から Sysdig へ移行しました。同社は次のように述べています。
「Sysdig脅威リサーチチームは最新の攻撃動向を把握する上で最も優れたチームのひとつです。その知見によって Sysdig 内の検知が継続的に改善・更新され、私たちは常に攻撃者より一歩先を進むことができます」
この移行は方向転換ではなく、信頼に根ざし、運用規模の拡大によって自然に導かれた進化でした。現在も Syfe はルールを必要に応じてカスタマイズできるため、リスクポスチャをコントロールし続けています。
しかし、もはや Falco の脅威検知エンジンを自ら維持管理する必要はなくなりました。
