Sysdig Kraken Hunter ワークショップ参加レポート

 はじめにこんにちは！KINTO テクノロジーズ セキュリティ・プライバシー グループのたなちゅーです！普段は、SIEM を活用したログ監視・分析や監視体制構築、SCoE グループ（SCoE グループとは？）の一部プロジェクトに参画してクラウド周りのセキュリティ業務に従事しています。自己紹介はこちら。
本ブログでは、2025年3月26日に名古屋駅近くにあるコラボスタイルさんのイベントスペースで開催された『Sysdig Kraken Hunter ワークショップ』の参加レポートをお届けします。
 イベントスペースの様子
 KINTOテクノロジーズの Sysdig Secure 活用KINTO テクノロジーズでは、Sysdig Secure を主に、Cloud Security Posture Management（CSPM）と Cloud Detection Response（CDR）に利用しています。詳細については、こちらのブログにまとまっていますので、是非、ご覧ください。
KTC クラウドセキュリティエンジニアのとある一日
 『Sysdig Kraken Hunter ワークショップ』とは？まずSysdigとは、ネットワークキャプチャツールで有名な Wireshark の共同開発者である Loris Degioanni 氏が創業した企業で、同社が開発したクラウドネイティブ脅威検知のオープンソース標準である Falco を軸に、クラウドやコンテナ向けのセキュリティソリューションを提供しています。弊社では、クラウド環境の権限設定やアカウント/リソース作成などのアクティビティを監視するために Sysdig Secure 使用しています。
『Sysdig Kraken Hunter ワークショップ』では、Amazon EKSのデモ環境に対して擬似的な攻撃を行い、Sysdigで検知や調査、対応などの一連の操作をモジュールに分けて体験するワークショップです。また、ワークショップ後の試験に合格すると、Kraken Hunter の認定バッジが付与されます。
本ブログでは、特に興味深かった3つのモジュールについて紹介します。
 モジュール１：擬似攻撃とイベント調査ここでは、実際に Amazon Elastic Kubernetes Service（Amazon EKS）のデモ環境へ擬似的な攻撃を行い、Sysdig Secureで検知や調査を行いました。
まず、提供されたドキュメントの手順に沿って、Amazon EKS のデモ環境へリモードコード実行（RCE）をシミュレートした以下のような擬似的な攻撃を行いました。
システム上の任意のファイルの内容を取得/書き込み/実行
システム上へファイルをダウンロード
擬似的な攻撃を行った後、ブラウザで Sysdig Secure のコンソールへアクセスし、攻撃を行った対象リソースの状態を見ると、攻撃に関連するイベントを検知していることを確認できます。
 参照：sysdig-aws workshop-instructions-JP
さらに調査を進めると、先ほどの攻撃を Sysdig Secure がリアルタイムで検知していることが確認できます。
 参照：sysdig-aws workshop-instructions-JP
このような流れで、擬似的な攻撃をして、Sysdig Secure のコンソールでどのように調査できるのか、攻撃を検知するのかを体験していきました。
自分で攻撃しながらどのように Sysdig Secure で調査できるのかを体験できるため、「Sysdig Secure でなにができるのか」を理解しながら進めることができたように感じました。
 モジュール２：ホストとコンテナの脆弱性管理このモジュールでは、ホストとコンテナの脆弱性管理に関する Sysdig Secure の機能を体験しました。弊社で開発しているプロダクトも、コンテナを使用してマイクロサービス化しているため、関心の高い内容です。
Sysdig Secure は脆弱性管理機能として、「ランタイム脆弱性スキャン」や「パイプライン脆弱性スキャン」、「レジストリ脆弱性スキャン」があるそうです。
「ランタイム脆弱性スキャン」では、過去15分以内に監視対象環境で実行されたすべてのコンテナとSysdig Secure の Agent がインストールされているすべてのホスト/ノードがリストされます。使用中の脆弱性の数と重要度に基づいて、自動的に重要度順にソートされて表示されるため、最も対応が必要なリソースを簡単に確認できます。
 参照：sysdig-aws workshop-instructions-JP
また、リストされたリソースをクリックしてドリルダウンすることで、脆弱性の詳細を確認できます。
 参照：sysdig-aws workshop-instructions-JP
「パイプライン脆弱性スキャン」では、コンテナイメージがレジストリや実行環境に置かれる前に脆弱性をスキャンします。また、「レジストリ脆弱性スキャン」では、レジストリ内のイメージの脆弱性をスキャンします。このように、コンテナイメージの開発/運用フェーズごとに脆弱性の有無をチェックすることができます。
脆弱性を管理するセキュリティ製品はさまざま存在しますが、Sysdig Secure のコンソールは UI が洗練されており、直感的に操作できそうだなと思いました。
 モジュール３：コンテナのポスチャー/コンプライアンスの管理ここでは、クラウド環境のポスチャー/コンプライアンスを管理する Sysdig Secure の機能について体験しました。みなさんもよく見聞きしている通り、クラウド環境の設定ミスに起因するセキュリティインシデントは多数報告されているため、フルクラウド環境でプロダクトを開発している弊社にとっても人ごとではないと考えており、注目している機能の一つです。
ポスチャー/コンプライアンス管理機能として、Sysdig Secure では、自社環境が CIS、NIST、SOC 2、PCI DSS、ISO 27001 などの一般的な規格に準拠しているか確認できます。
 参照：sysdig-aws workshop-instructions-JP
また、規格に準拠していないリソースをリストし、どのように修正すべきかの手順を確認することもできます。すべてのシチュエーションで実用性の高い手順を確認できるかは未知数ですが、修正手順を調査する工数を削減できることは、管理者としてありがたい配慮だなと感じました。
 参照：sysdig-aws workshop-instructions-JP
 Kraken Hunter 認定試験Kraken Hunter 認定試験では、試験専用のWebページで30〜40問ほどの問題が出題されました。ワークショップ内で紹介された事柄が出題されるため、真面目に取り組んでいれば合格を狙えると思います。
ワークショップの冒頭に紹介された細かな内容があり苦戦しましたが、なんとか認定試験に合格することができました！
以下は合格者に付与される認定バッジです。
 Kraken Hunter 認定バッジ
 今後の Sysdig Secure の利用弊社では Sysdig Secure を使い倒すべく、以下の利活用を検討・推進しています。
CSPM については、弊社ガバナンスルールに沿った独自ポリシールールを Rego で作成し、弊社ガバナンスに沿ったクラウドセキュリティの担保
CDR については、Falco による独自ルールを作成し、弊社環境に則した脅威検知対象の拡大
コンテナワークロードのセキュリティ担保のために、CWP（Cloud workload protection）の検証と導入
 まとめ今回の Sysdig Kraken Hunter ワークショップでは、Amazon EKSのデモ環境に対して擬似的な攻撃を行い、Sysdig Secure で検知や調査、対応などの一連の操作を体験しました。
弊社では Sysdig Secure の一部の機能のみ使用しているため、今回のワークショップで紹介された機能は、初めてのものばかりで操作に不慣れな部分もありましたが、Sysdig Secure で何ができるのかを理解する良い機会となりました。
また、オフラインのワークショップに参加することで、他の企業が抱える課題や取り組みなど、生の声を聞くことができました。このような機会を作ってくださった運営のみなさまに感謝いたします。
 さいごに私の所属するセキュリティ・プライバシー グループやこのワークショップに一緒に参加した SCoE グループでは、一緒に働いてくれる仲間を募集しています。クラウドセキュリティの実務経験がある方も、経験はないけれど興味がある方も大歓迎です。お気軽にお問い合わせください。
詳しくは、こちらをご確認ください。