Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
本文の内容は、2026年3月25日に Matt Kim が投稿したブログ(https://www.sysdig.com/blog/seeing-risk-isnt-stopping-it-why-visibility-alone-isnt-enough) を元に日本語に翻訳・再構成した内容となっております。
クラウドセキュリティは、基本的な可視性を超えて進化してきました。
長年にわたり、セキュリティチームは自社の環境に何が存在しているのかを把握することに注力してきましたが、多くの場合、すでにクラウドのスピードを受け入れていた開発チームの後を追う形になっていました。最大の課題が、急速に拡大するインフラストラクチャの制御を獲得することそのものであった時代には、そのアプローチは理にかなっていました。すべてを可視化できれば、リスクを低減できたのです。
しかし、現在の現実は変わりました。AIとクラウドネイティブ開発に後押しされ、アプリケーションは以前にも増して速く構築され、リリースされています。今や、コンテナとKubernetesは、収益を生み出す重要なサービスを支えています。同時に、攻撃者はAIを利用して攻撃を大規模化し、わずか数分で弱点を突いています。このような環境では、可視性は依然として必要ですが、設定ミスや脆弱性、露出した資産を単に見えるようにするだけでは、もはや十分ではありません。
可視性は当初の問題を解決しました
組織がクラウドへの移行を始めた当初、ポスチャー管理ツールは、特にその移行の初期段階において、大きな価値をもたらしました。これらのツールは、セキュリティチームに対して、自社環境にどのようなリソースが存在するのかを把握し、リスクを生む設定ミスを特定する手段を提供しました。この基盤は今でも重要です。というのも、環境を効果的に保護するには、まずその環境を把握できなければならないからです。
しかし、現代のクラウド環境においては、このレベルの可視性はすでに当然の前提となっています。現在では、ほとんどのセキュリティプラットフォームが、リソース、アイデンティティ、クラウドサービスに関する広範なインベントリを提供できます。問題は、可視性そのものが、もともと初期段階の課題を解決するために設計されたものであるという点です。ポスチャーファーストのセキュリティという解決策は、クラウドシステムがどれほど動的かつ複雑になっているかを、十分には反映していません。
理解していないものは守れません
組織がクラウドで成熟していくにつれて、セキュリティチームが対処しなければならないデータ量は圧倒的なものになり得ます。ポスチャー管理ツールは、設定ミス、脆弱性、その他のリスクを継続的に検出しますが、それは多くの場合、複数のクラウドにまたがっています。しかし、そのデータの多くは静的であるか、実際にリアルタイムで何が起きているのかと切り離されています。
これは、攻撃のスピードが増すにつれて、より重大な問題になります。AI駆動の脅威により、攻撃者は初期アクセスからラテラルムーブメント、そして悪用へと、数分で進むことができます。このような環境では、一時点での可視性は、実際のインシデントに効果的に対応するためにチームが必要とする問いに答えられないため、すぐにその価値を失ってしまいます。
まさにここで、ポスチャーファーストのアプローチは機能しなくなり始めます。これらは、実際に何が起きているかではなく、何が起こり得るかを優先するよう設計されています。潜在的な露出は示しますが、ワークロードが稼働し始めた後に、それらのリスクがどのように現実化するのかは示しません。その結果、チームは何が起きたのか、そして次にどのような対応を取るべきかについて、明確な指針を持てません。
このギャップを埋めるには、ランタイムコンテキストが必要です。チームは、自社環境で何が起きているのかをリアルタイムで把握し、リソースがどのように設定されているかだけでなく、その振る舞いを理解できるだけの十分な深さを持つ必要があります。脆弱性や権限の一覧を見るのではなく、どの脆弱性が実際にアクティブなパッケージ内に存在しているのか、どの権限が実際に行使されているのかを理解すべきです。それは、ログイン、プロセス実行、ネットワークコールといった活動を相関させ、孤立したシグナルに頼るのではなく、何が起きたのかを一貫した形で把握することを意味します。このレベルのコンテキストがあって初めて、チームは広範囲で破壊的な対応に頼るのではなく、的を絞った対処を始めることができます。
ランタイムセキュリティ:勝利の瞬間
現代のクラウド環境では、リスクは稼働中のワークロードに存在しており、特に組織がAI導入に投資するにつれて、その傾向は強まっています。ここはまた、セキュリティチームが重要な問い、すなわち何が起きたのか、どれほど深刻なのか、そして次に何をすべきなのかに答えなければならない領域でもあります。
だからこそ、クラウドセキュリティは、単なる可視性ではなく、アクションに重点を置いたモデルへと移行しつつあります。チームには、何が稼働しているのかをリアルタイムで把握するための洞察と、意思決定に必要なコンテキストが求められます。つまり、防御を強化するために、詳細なランタイムテレメトリとAI駆動のガイダンスを取り入れ、影響の大きい状況でチームが主導権を持てるようにする必要があるということです。
この変化は、ビジネスに直接的な影響を及ぼします。ランタイムコンテキストがなければ、インシデントの検知は遅れ、対応はより広範かつ破壊的なものになり、解決までに数日、あるいは数週間かかることも少なくありません。その結果、侵害による影響の拡大、業務の混乱、そしてシステムをオフラインにすることによるコスト増加につながる可能性があります。リアルタイムの可視性とコンテキストがあってこそ、チームは事後的に状況をつなぎ合わせるだけの状態に置かれずに済むのです。
可視性をアクションへとつなげる
今後、クラウドセキュリティは、どれだけ迅速かつ的確に行動できるかによって定義されるようになります。可視性は出発点ではありますが、セキュリティチームは、事後に記録することではなく、リスクが顕在化した時点でそれをどれだけ低減できるかによって評価されることになります。
ランタイムの洞察を取り入れる組織は、クラウドのスピードと進化する脅威に歩調を合わせるうえで、より有利な立場に立てるでしょう。最終的に、ランタイムこそがクラウドセキュリティの成否を分ける場であり、組織が先行し続けるのか、後れを取るのかを決定する場なのです。