4月17日に、Sysdig のワークショップイベント「CNAPP IMMERSION DAY」が開催されました。
AWS と弊社アイレットもサポートし、前半は3社による講演、後半はハンズオンという構成で実施されました。

会場はアイレット東京オフィスにほど近い、KDDI デジタルゲート。今回は30人という参加上限のあるワークショップでしたが、大きなスクリーンのあるかなり広い会場です。

過去に開催した AWS re:Invent 2023 re:Cap presented by iret などでもお世話になった会場です。
会場の隅には、3D ホログラムやドローン、アプリのデモ動画、電子回路などなど、興味を惹かれるものも多々展示されていましたが、それはさておき、イベント内容をレポートしたいと思います。

CNAPP とは

イベント名にある「CNAPP」は、ガートナーが提唱しているクラウド・ネイティブ・アプリケーション保護プラットフォームのことで、「開発から本番稼動までのクラウドネイティブなアプリケーションをセキュアに保護するために設計された、一体型の緊密に統合されたセキュリティとコンプライアンス機能のセット」と定義されています。

今回のテーマとなる Sysdig は、Sysdig 社が提供する CNAPP ソリューションであり、ランタイム脅威検知や脆弱性管理、クラウドの設定不備検知など、様々な機能を備えています。

講演1: スペシャリストが語る AWS コンテナサービス集中講座

AWS のコンテナスペシャリストソリューションアーキテクトである林 政利 様による、コンテナの基礎から AWS のコンテナサービスの一通りの把握までできる集中講座でした。

コンテナとは何か?というお話から始まり、コンテナオーケストレーションや AWS のコンテナサービスの歴史を短時間でご紹介いただきました。

Amazon Elastic Container Service (ECS) は、コンテナオーケストレータを用意して欲しい、という声を受けて 2014 年にリリースされた、AWS のコンテナサービスの中で最も古くからあるものです。(なんと今年で10周年ですね)
コンテナの自動復旧や分散配置、スケーリング、AWS のサービスとシームレスな連携ができて、全世界で 22.5 億のコンテナが毎週起動しているサービスです。

2015年にリリースされた Kubernetes を EC2 やオンプレミスで動かしていた時代を経て、マネージドで Kubernetes で動かしたいという声を受けてAmazon Elastic Kubernetes Service (EKS) が 2018年に GA になっています。
その後、オンプレミスなどでも EKS と同様の Kubernetes クラスター管理を可能にする EKS Anywhere もリリースされました。

ECS や EKS を利用する際に課題になるのはマシンのリソース管理です。
コンテナ稼働のためのリソースが不足しないように、大きなマシンを用意してしまうと、無駄なコストが発生してしまいます。
そこで登場したのが AWS Fargate であり、コンピューティングリソースをオンデマンドで利用できます。
スケーリング、サイズ選択、ノードのイメージアップデートなどが不要で、コンテナごとにカーネルが用意されるので、セキュリティ面でもメリットがあります。

紹介しきれなかったコンテナサービスもあるものの、今回紹介した内容も参考に適切なサービスを選択してください、とのことでした。

講演2: コンテナと CNAPP 技術で目指すプラットフォームエンジニアと CISO 職への道

続いては、Sysdig Japan の Mac Kawabata 様による、様々なフィールドでのご経験を踏まえての、これから求められるのはどういうエンジニアや人でしょうか、というお話でした。

昨今、エンジニアの採用は大変で、良い開発者に来てもらうには、コードだけ書けば動いてくれる環境であったり、無駄なテストやセキュリティ対応が無いような、理想の開発環境を用意する必要があります。
このような複雑な作業のないプラットフォームは Internal Developer Platform (IDP) と呼ばれており、Backstage や Sysdig などを組み合わせて構成することができます。(Sysdig には Backstage との統合プラグインがあります)
オンプレも経験してきたようなエンジニアであれば、プラットフォームエンジニアとしてインフラ知識や開発知識、調整能力などを活かして IDP を構築することで、採用力強化にも繋げられます。

続いて Sysdig 関連の話題です。
Sysdig は CNAPP ソリューションの一つであり、Falco というオープンソースのツールがベースとなっています。
主に、脆弱性管理、設定ミスの管理、権限管理、ランタイム脅威検知 の4つで構成されています。

日本にはまだ CISO として組織のセキュリティ管理を行う責任者は少なく、今後更に重要性が増すポジションです。しかし、いきなり CISO の責務を担うのは難しいことから、まずは CNAPP を活用してセキュリティ管理を始めてみることを推奨されていました。

昨今の攻撃は、偵察〜侵入〜情報窃取などの被害が出るまでが非常に早いため、検知と対応の速さのベンチマークとして、Sysdig は 5/5/5 Benchmark を提唱しています。これは、5秒以内に検知、5分以内にトリアージ、5分以内に対応というものです。
これを実現するためには、ランタイム脅威を早く検知する必要があり、CNAPP である Sysdig を活用できます。

講演3: Japan AWS Top Engineers (Security)が語る MITRE ATT&CK コントロールからみたコスパの良い AWS セキュリティサービスと Sysdig の関係性

AWS の皮(服)を被った弊社の廣山によるセッションでした。
まず始めに、MITRE ATT&CK (サイバー攻撃を分類したナレッジベース)を AWS サービスにマッピングして調査し、コスパを評価した結果を紹介しました。こちらの記事と類似するため詳細は割愛しますが、GuardDuty と Config は、是非入れておきたいサービスです。

コスパの良いセキュリティサービスが既にあるのであれば、Sysdig のようなサードパーティサービスは不要なのでは?と思う方もいるかもしれませんが、マルチクラウド対応であったり、マルチクラウド環境の大量の脆弱性の優先順位付けであったり、自由な検知ルールのカスタマイズであったり、Sysdig などのサードパーティ製品を利用するメリットがあります。

ハンズオン: AWS 環境を活用した CNAPP のハンズオンワークショップ

休憩を挟んでから、ハンズオンワークショップの開始です。
Sysdig のエージェントがインストールされた EKS 環境に対して、攻撃を模したスクリプトを実行し、検知や防御状況、イベント履歴などを Sysdig 画面で見ていくという流れです。

Sysdig は、検知された脅威の多い環境をグラフィカルに表示できたり、脅威を検知した際にスクリプトの実行をブロックしたり、コンテナを Kill する機能なども備えています。
また、Pod で利用している Image の脆弱性や、EKS クラスターの設定チェック結果(CIS Benchmark への準拠状況)なども見ていきました。

私はハンズオンのサポートに入っていましたが、最新機能も踏まえたハンズオンシナリオだったため、逆に勉強になることも多々ありました。
なお、今回は EKS 環境でのハンズオンでしたが、コンテナのない EC2 環境や、ECS (Fargate) 環境にも Sysdig は対応しています。

クロージング AWS Marketplace のご紹介

最後に、AWS より、AWS Marketplace の活用についてのお話がありました。
AWS Marketplace で製品やサービスを調達すると、AWS 料金と支払を一本化できるなどのメリットがあります。Sysdig も Marketplace 経由で購入可能となっています。

おわりに

本レポートは、Kraken Hunter の村上がお届けしました。
弊社アイレットも、販売パートナーとして Sysdig を提供しています。
Sysdig を使ってみたいけれど、初期設定が大変そう、運用も含めてお任せしたい、といったお客様向けに、導入・運用保守込みのサービスも提供しています。
ぜひお気軽にお問い合わせください。