Falco* （ファルコ）の脅威検知機能をGoogle gVisor環境監視のセキュリティツールとして拡張することで高感度なワークロードの監視が可能に

  Google gVisor（以下gVisor）は、セキュアな方法としてカーネルを厳密に分離する事でアプリケーションを実行します。一方、分離が追加されたことにより、ツールでセキュリティイベントを監視することができなくなる課題がありました。今回のFalco-gVisorの統合により、この課題が解決され、ユーザーはgVisorからセキュリティイベントを収集・分析することが可能になります。

 株式会社メルカリのシニアセキュリティエンジニア、末澤 裕希氏は、「gVisorはコンテナアプリケーションとホストOSを安全に分離してくれますが、それゆえにホストカーネルのシステムコールをモニタリングするFalcoの利用ができませんでした。」と述べています。「メルカリはFalcoを脅威検知とコンテナアクティビティのロギングのために使用しており、Falcoのルールエンジンのパワーと柔軟性を実感しています。今回の2社による共同開発により、gVisorでの分離の強化、Falcoでの脅威検知とコンテナアクティビティのロギングを同時に利用することができます。それによりコンテナセキュリティを飛躍的に改善できます。」

• *Falcoについて：https://falco.org/ja/

Kubernetes、コンテナ、クラウドにわたる継続的なリスクと脅威の検出のためのオープンソースツールであるFalcoは、設定したルールに照らしてランタイムシステムコールを監視し、セキュリティアラートをトリガーします。Falcoは、Sysdigによって作成され、2018年にCNCFに寄稿されました。現在4500万以上のダウンロードと幅広い層の組織からの寄稿を獲得しています。Falcoは、予期せぬ動作、設定変更、侵入、データ盗難をリアルタイムに検出します。

• Google gVisorについて：

gVisorはGoogleが開発したアプリケーションカーネルです。コンテナの不完全なホストOSとの分離を、DockerやKubernetesのコンテナランタイムとして、システムコールをユーザースペースに実装することによって実現しています。

• Falco-gVisor の統合がユーザーにとって意味すること

Falco-gVisorの統合により、gVisorユーザーは、すべてのアプリケーションではなく、各ホストを監視するための機器を用意するだけでよくなり、Falcoはコンテナとホストの両方を監視することができるようになりました。これには、Falcoのオープンソースコミュニティとともに開発され、SysdigとGoogle gVisorチームによるエンジニアリングの貢献がありました。
gVisorの強力な分離能力とFalcoの深い可視性を統合することで、ユーザーはワークロード内の異常な動作を検出することができ、gVisorが提供するコンテナサンドボックス*１にシステムコール監視を追加することができます。
「Falco gVisorインターフェースは、インフラに関するコンテキストを得るために新しいAPIを必要としないため、膨大な量の設定を追加することなく、徹底した防御を求めるあらゆるgVisorユーザにとって素晴らしいものです」と、Google社のソフトウェアエンジニア、Fabricio Voznika氏は述べています。
「今日のセキュリティ脅威は、様々な方向からやってきます。FalcoとgVisorは素晴らしい組み合わせで、コンテナにさらされるシステムサーフェイスを減らし、ワークロードレベルで何が起こっているかを可視化します」と、Sysdigのオープンソースエコシステム担当副社長のEdd Wilder-Jamesは述べています。「コンテナベースのアーキテクチャはFalcoを不可欠なものにしており、この機能がgVisorのユーザーにも提供されるようになったことを嬉しく思います。」
*gVisorが提供するコンテナサンドボックス:  https://cloud.google.com/blog/products/identity-security/open-sourcing-gvisor-a-sandboxed-container-runtime

参考資料（英語）

1. Getting started with gVisor support in Falco https://falco.org/blog/intro-gvisor-falco/
2. gVisorでFalcoを設定する方法に関するチュートリアル https://gvisor.dev/docs/tutorials/falco/

Sysdigについて 
Sysdigは、クラウドとコンテナのセキュリティ標準を推進しています。Falcoとsysdig-ossをオープンソースの標準規格かつSysdigプラットフォームの主な構成要素として作成したことで、クラウドネイティブ環境におけるランタイム脅威検知と対応の先駆者となっています。Sysdigのプラットフォームで、ソフトウェアの脆弱性発見と優先順位付け、脅威の検出と対応、クラウドサービスの設定ミス検知（CSPM）、過剰な権限チェック（CIEM)、コンプライアンス管理まで対応可能となります。コンテナやKubernetesからクラウドサービスまで、お客様は開発ソースから実行までリスクを視覚化させることで、セキュリティリスクの死角や当て推量、ブラックボックス等を無くすことが可能です。米国カリフォルニア州に本社を置き、2013年の設立以降、世界中の最も革新的な大企業がSysdigを採用しており、日本ではヤフージャパン、メルカリ、NTTデータをはじめ有数の企業に採用されています。日本法人はSysdig Japan合同会社（ウェブサイト：https://sysdig.jp/)