ランタイム:真の脅威だけをリアルタイムで阻止
概要
ランタイム検知は単なる受動的な防御レイヤーではなく、戦略的な優位性です。クラウド環境ではワークロードは短命で、攻撃対象領域は常に変化しており、侵害が現実化してしまえば防御側に「二度目のチャンス」はありません。ランタイムセキュリティは、リアルタイムでの可視性とコンテキストに基づいた検知を提供し、被害が発生する前に攻撃者を阻止できるようセキュリティチームを支援します。
2025 年のクラウド脅威の状況は、攻撃者が CI/CD(継続的インテグレーション/継続的デリバリー)ワークフロー、AI、そしてオープンソースソフトウェアを標的としていることを示しています。ランタイムは最後の防衛線ではありませんが、時には脅威を照らし出す唯一かつ最初のシグナルとなる場合もあります。
わずか 60 秒で消滅、ランタイムこそが鍵
コンテナの短命性は開発者にとって長年の魅力でしたが、セキュリティチームにとってはしばしば諸刃の剣となってきました。短命なコンテナは永続性を低減し、攻撃者のラテラルムーブメントを制限してきましたが、その一方で可視性も失わせました。ログが収集されていなければ、インシデント調査は困難だったのです。
現在では、コンテナの60%が 1 分以内に消滅し、AI/ML ワークロードの半数以上が Kubernetes 上で構築されています。この状況において、ランタイム検知はもはや選択肢ではなく基盤となる要件です。攻撃の時間的なウィンドウは狭まったものの、攻撃者はすでに適応しています。彼らは短命なインフラの特性やクラウド環境の仕組みを理解し、AI を活用して横方向の移動を自動化し、プロセスが終了する前に攻撃を進めています。
言い換えれば、攻撃者は瞬きする間にコンテナに侵入し、抜け出すことが可能なのです。
のコンテナは寿命が1分以内
一瞬の隙も許されない
攻撃者はクラウド環境において、従来と同じプレイブックには従いません。いったん境界が突破されれば、セキュリティチームに残された時間は数分しかありません。2023年、Sysdigの脅威リサーチチームはクラウド攻撃が平均 10 分で進行することを初めて報告しました。攻撃のスピード、コンテナの短命性、そして悪意ある AI の利用が相まって、従来の対応モデルは通用しなくなっていたのです。そこで Sysdig は、顧客、業界アナリスト、そして Sysdig TRT と協力し、セキュリティチームがこのテンポに対応できるよう クラウドの検知と対応における5/5/5ベンチマーク を策定しました。このベンチマークは、迅速な検知だけでは不十分であり、脅威を検知するまでに 5 秒、調査に 5 分、対応に 5 分という指標を示しています。クラウドにおいては、スピードこそが「制御」と「被害」を分ける決定的要因なのです。
手動によるボトルネックを削減できたセキュリティチームは、侵害が確定してからではなく、リアルタイムで現実の脅威に対応できる体制を構築できます。
Sysdig顧客事例のご紹介
定期メンテナンスの最中、急成長中の大手オンライン小売業者向け e コマース SaaS プロバイダーは、ダウンタイムの可能性を懸念し、最悪のタイミング――ホリデーシーズン後の返品ラッシュ期――にランタイム防御を無効化してしまいました。すると攻撃者は Kubernetes の設定ミスを突き、暗号通貨マイニングのルートキットを展開しました。
Sysdig の脅威調査チーム(TRT)は、深夜直後に鳴り響いた重要アラートを顧客が確実に確認できるよう、直ちに連絡を取りました。そして20 分以内に、同社のエンジニアは検知から封じ込めへと移行し、ダウンタイムやブランドへの毀損から企業を守ることに成功しました。
もし静的スキャンやリアルタイムでない検知しか行われていなければ、大規模な侵害、評判への深刻なダメージ、長時間の停止に至っていた可能性があるでしょう。
ランタイムコンテキストにより脆弱性の優先順位付けを再定義
セキュリティチームが膨大な脆弱性に埋もれている状況は驚くことではありません。一方、その膨大な脆弱性のうち即座にリスクとなる脆弱性がいかに少ないか、は注目に値します。重大および高リスクの脆弱性のうち、実際に本番環境で稼働しているものは 6%未満であり、この割合は 2023 年以降さらに減少し続けています。これは、「理論上のリスク」から実際のランタイム脆弱性に視点を移すことで、ノイズを削減し、リスクを低減できていることを示しています。実際、このアプローチにより 脆弱性数を 75% から 99% 削減できている組織も存在します。セキュリティチームは“亡霊”を追いかけるのではなく、真に重要な問題――正しい方法でのセキュリティ――に集中できるのです。
ランタイムインサイト、すなわち 実行時に何が稼働しているかをリアルタイムで可視化する能力は、リスク検知を支援するだけではありません。ソフトウェア開発ライフサイクル全体にわたって、より適切な意思決定を可能にします。脆弱性管理においては、ランタイムコンテキストが組織に理論上のリスクを後回しにさせ、実際に稼働中のコンテナが読み込んでいる脆弱なパッケージの修正に集中させます。これにより、「パッチ適用リスト」に基づく対応から、証拠に基づく優先順位付けへの転換が可能となり、セキュリティチームはエンジニアリング部門とより良い協力関係を築き、信頼性を高め、アラートノイズを削減できます。
さらに、ランタイムの優先順位付けは脆弱性管理の一部に過ぎません。Sysdig Sageの支援により、セキュリティチームはレポートの自動生成、チケットの作成、修正が必要な箇所の特定を行い、基盤イメージレベルでのセキュリティ改善を進められます。しかも開発者にとって理解しやすいコンテキストが添えられるため、チーム間の認識齟齬や往復のやり取りを減らし、協力的で有益な関係を促進します。
ランタイムに基づく脆弱性管理は、摩擦を減らし、信頼を築き、本当に重要なことに集中することで、貴重な時間を節約するのです。
重大および高深刻度の脆弱性
理論上のリスクではなく実際のランタイム脆弱性に注目することで、組織は脆弱性を 75%〜99% 削減しています。
これまでに確認された新たな脅威
2025 年前半には、オープンソースの脆弱性や CI/CD に関連する不具合が相次ぎました。セキュリティにおけるオープンイノベーションはますます普及しており、AI ツールもまたオープンな環境で利用されています。自動化されたワークフローが一般化し、さらに相互に接続されていく中で、攻撃対象領域が拡大するのは避けられません。
しかし、悲観するのではなく、それぞれの事例をセキュリティ実践の進化に向けた教訓と捉えるべきです。ここでは、今年これまでに確認された注目すべき脆弱性をいくつか振り返ります。いずれの事例も、開発者の自動化ワークフローが持つ複雑性と相互依存性を浮き彫りにしています。
- Guestack-uiリポジトリの脆弱性:gluestack の GitHub リポジトリに存在した重大な脆弱性により、シークレットの流出、不正なリポジトリ内容の改ざん、さらには関連する NPM パッケージの侵害が可能となっていました。
- Pull_request_targetの悪用: pull_request_target の不適切な利用により、シークレットが漏洩し、リポジトリ全体が乗っ取られる事態を招きました。武器化されたビルドを検知・封じ込めるためには、ランタイムでの監視が不可欠です。
- Harden-Runnerバイパス:CI/CD の強化を目的としたセキュリティレイヤーを回避する手法が発見されました。
- IngressNightmare: Kubernetes インフラにおける複数の設定ミスにより、サービスが外部に露出し、セキュリティ制御が回避されました。デプロイ後に残された唯一の防御はランタイムの可観測性です。
- tj-actions/changed-files: 広く利用されている GitHub Action に悪意あるコミットが仕込まれました。これは2024年のXZ Utilsの事例を想起させるものです。ランタイム監視であれば、こうした不審なプロセス挙動を拡散前に検知できます。
2025 年、CI/CD パイプラインは主要な攻撃対象となっています。その理由は、特権的で動的でありながら、従来のセキュリティツールでは見落とされがちだからです。CI/CD はクラウドインフラの重要な構成要素であり、開発者のワークフローに不可欠ですが、デフォルトのセキュリティ制御では十分でないことが明らかになっています。
ランタイム可視性の中心にあるのはFalco です。 Falco は CNCF の卒業プロジェクトであり、ホスト、コンテナ、Kubernetes、クラウド環境における脅威検知の事実上の標準となっています。Falco Actions を活用することで、セキュリティチームは CI/CD ワークフローのレベルでランタイムの可視性と検知能力を得ることができ、ソフトウェアサプライチェーン攻撃に対抗できます。
Falco については、この後のオープンソースセクションでさらに掘り下げて解説します。
ランタイムセキュリティの推奨事項
4.
