CloudNativeSecurityCon、SysdigのCTOにインタビュー

CloudNativeSecurityCon 2023から、コンテナランタイムセキュリティのFalcoを開発したSysdigのCTOであるLoris Degioanni氏のインタビューと、初日のキーノートで行われた短いセッションを紹介する。

ステージに登壇したLoris Degioanni氏

キーノートセッションは、約5分という短い内容でクラウドネイティブなシステムにおけるセキュリティの重要性を解説し、ランタイムセキュリティのツールであるFalcoを紹介している。5分という短い時間制限のため、Falcoの機能的な部分には触れず、CNCFにホストされていることを語った。

クラウドネイティブになってもセキュリティの基本は同じ

●動画：Cloud Security's Hidden Force: Threat Detection - Loris Degioanni, Sysdig

インタビューはCloudNativeSecurityConの2日間の会期の前日、つまりこのキーノートセッションの前日に行われたが、より詳細に背景やチャレンジなどを語ってくれた。

ホテルのロビーでインタビューに応じるDegioanni氏

自己紹介をお願いします。

私はSysdigのCTO兼創業者のLoris Degioanniです。Sysdigは私にとって2社目の会社で、最初の会社ではWiresharkというソフトウェアを開発しました。それが今のFalcoのベースになっています。

オープンソースのソフトウェアがFalco、その商用版がSysdig Secureという位置付けで、いわゆるオープンコアというやり方ですが、他社との違いは？ ZABBIXのように開発するのは社員だけというやり方もありますが

まずオープンソースの価値として、オープンなコミュニティによって開発が続けられることが必要だと思います。その点ではZABBIXとは違いますね。私たちがFalcoをCNCFに寄贈したのも、開発をオープンに行うためにはニュートラルな組織にホストしてもらうのがベストだと考えたからです。なので意志決定はコミュニティが主体となっています。

技術的な部分では、eBPFが私たちのソフトウェアの中心になっていることですね。クラウドネイティブという意味では、Kubernetesのランタイムセキュリティのコアとして動くように開発を行いました。コンテナのランタイムをセキュアにする必要があるというのがその背景です。

Kubernetesの話がでましたが、コミュニティの想いとグループのガバナンスをバランスよく取るのは難しくはないですか？

確かにコミュニティがやりたいと思うこととガバナンスのコントロールを両立させるのは難しいですね。でもKubernetesは上手く行っているほうだと思いますよ。これはどの開発コミュニティも苦労している部分だと思います。もともとGoogleのソフトウェアだったKubernetesが今やクラウドのオペレーティングシステムと呼ばれるようになり、OracleやMicrosoftなども使うようになっていますから、Googleよりも大きくなったとも言えるかもしれません。

GoogleはKubernetesをCNCFに差し出したことを後悔しているということもよく聞かれる話ですね。

私はGoogleの人ではないのでコメントは避けますが（笑）、長期的にみればCNCFに寄贈したことは良いことだと思いますね。

Falcoのこれからのロードマップを教えてください。

ロードマップというか目標として、オープンソースのFalcoについて言えばFalcoをスタンダード、標準として使ってもらえるようにすることですね。Falcoはコンテナランタイムのセキュリティソリューションですが、それをさまざまな場面で使うことが当たり前になって欲しいですね。例えばデベロッパーがコードをコミットした時にリアルタイムで脆弱性が含まれているかどうかを判定するような機能です。私はFalcoがソフトウェアのセキュリティカメラになって欲しいと思っています。つまり、セキュリティカメラが街角に多く設置されることによって防犯の効果が高まることと同様に、ソフトウェア、インターネットのさまざまなところでFalcoが使われるようになれば、それだけセキュアになるという意味です。

日本人にとっては良い例えだと思います。日本人はカメラが大好きですから（笑）

それは良かった（笑）。Falcoはセキュリティカメラとして台数だけではなくその解像度を上げることで、より効果的にセキュリティのバグや脆弱性、異常な振る舞いを発見することができるようになります。でも単に解像度や台数が増えただけだとアラートが多過ぎて対処できないという問題も発生します。

そこでクリティカルな脆弱性だけをフィルターする機能が役に立つのです。また異常な振る舞いを検知する機能については、これまではデータレイクを作ってそこで分析するという必要がありました。しかしFalcoは、データを保存せずにストリーミングデータから異常を発見することができるようになります。数百のライブラリーが依存関係の中でコンテナのアプリケーションからリンクされていたとしても、実際にメモリーの中で実行されていないライブラリーの脆弱性を報告されても困るだけですよね。「解像度が上がる」というのはこういうことだと思います。商業的にはさまざまなクラウドプロバイダーがFalcoをランタイムセキュリティだけではなく、さまざまな部分、例えばネットワークの接続の部分などにも使うようになることを目指しています。

Sysdigにとってのチャレンジは何ですか？

そうですね、一般的な話ですが、難しいことは常に正しいサイズの投資を行うことでしょうか。すべてがクラウドに移行しようとしている時にどこから手を付ければ良いのか、判断に迷うことがあるでしょう？ 最適化というのは常に必要な発想ですね。

コンテナランタイムセキュリティというのがFalcoのカバーするエリアですが、今、WebAssemblyが大きな注目を集めています。コンテナよりも小さなフットプリントで高速に実行できるのが特徴ですが、それについてはどう思いますか？

私の考えでは、コンテナとWebAssemblyは補完し合う存在だと思いますね。なのでWebAssemblyがコンテナを置き換えるものではないでしょう。LinuxとKubernetesが補完しあっているのと同じような関係になると思っています。ランタイムセキュリティという意味では、FalcoとWebAssemblyの組み合わせについては社内で実験的に開発を行って検討しているとだけ言っておきましょう。

イベント前日の忙しいスケジュールの中、インタビューに応えてくれたDegioanni氏だったが、Googleに話が及んだ時に同席していたPR担当が「私は以前、Googleで働いていたのでKubernetesについてどう考えているのかは1時間でも話せるけどここでは止めておきます」とコメントしていたのが印象的だった。解像度を上げたセキュリティカメラであるFalcoが、インターネットのセキュリティをどう変えていくのか、注目していきたい。