AmebaのFalco活用事例から見る、継続可能なセキュリティ運用
Mac Kawabata (共同登壇者: 株式会社サイバーエージェント 石川 雲)
Sysdig Japan合同会社
2021年12月より、クラウドネイティブ技術を活用したインフラへのセキュリティとモニタリングを提供するSysdigに、パートナーとアライアンス担当の国内責任者として入社し、日本のお客様が安心してクラウドネイティブ技術を活用できるようにするために、日々奔走している。直近はAWSにてストレージスペシャリストとして活躍。常に一歩先のテクノロジーを見て活動するよう心がけている。
セッション概要
大規模なKubernetesクラスタを運用する中で、実行時のセキュリティを確保しつつ、開発体験を損なわない仕組みを整えることは、運用の安定性と開発スピードを両立させるための重要な課題です。AmebaではFalcoを導入し、Auditログに基づく独自ルールの整備や、Slack通知・Talonによる初動対応の自動化を含む、SOARプラットフォーム連携を見据えた継続的なセキュリティインシデント対応基盤を構築してきました。 本セッションでは、サイバーエージェントでの導入当初に直面した課題や運用に定着させるまでの工夫、検知と対応のバランスの取り方など、現場での具体的な取り組みをもとに、現実的なDevSecOpsの進め方を共有します。SysdigからはFalco検知ルールの継続的アップデートが可能になるFalco Feedsや商用版SysdigならではのAIとの連携等、オープンソースと共存できる新しい形でのセキュリティを紹介いたします。
AI要約
コンテナ環境におけるランタイムセキュリティは、従来の静的な防御手法だけではカバーしきれない脅威への対策として、今や重要な課題となっています。本セッションでは、サイバーエージェントのアメーバプラットフォームにおけるOSSツール「Falco」の導入から実運用までの実践知が共有されます。
前半では、セキュリティ評価で明らかになった課題—未報告の脆弱性を入り口とする攻撃や内部からの不正な操作—に対し、Falcoをどのように構成・展開したかが解説されます。特に注目すべきは、3万件ものノイズを1日5件まで削減した運用の実際です。「小さく始めて段階的に拡張する」「シナリオベースでルールを厳選する」「恐れずアラート運用に向き合う」といった、泥臭くも再現性の高いベストプラクティスが語られます。
後半では、Falcoの生みの親であるSysdig社により、商用版とOSS版の機能差が整理されます。脅威リサーチチームによるルールの継続的チューニング、システムコールキャプチャによる証跡確保、AI支援による関連イベントの束ね機能など、運用負荷を軽減する実践的な選択肢が示されます。
OSSの限界と可能性、そして現場で継続できるセキュリティ運用のリアルを知る上で、貴重な知見が詰まったセッションです。