はてなブックマーク

セキュリティの未来はオープンであり、統一されたハブが必要です：Sysdig オープンソースコミュニティがここにあります 本文の内容は、2025年7月9日に Alex Lawrence が投稿したブログ(https://sysdig.com/blog/the-sysdig-open-source-community-is-here)を元に日本語に翻訳・再構成した内容となっております。 クラウドの進化は減速の兆しを見せておらず、ここ数年も例外ではありません。AIの活用は爆発的に増加しており、AIと機械学習パッケージを使用するワークロードは、わずか1年間で500%成長しています。驚くことではありませんが、使用されている生成AIパッケージの数は、同じ期間で2倍以上になっています。コンテナの短命化も加速しており、現在では60%のコンテナが60秒以下しか生存しないのに対し、2019年は5分でした。この

本文の内容は、2025年5月12日に Alex Lawrence が投稿したブログ(https://sysdig.com/blog/up-and-running-with-stratoshark-in-5-minutes/)を元に日本語に翻訳・再構成した内容となっております。 Stratosharkとは何ですか? Stratosharkは、Wiresharkの創設者Gerald CombsとFalcoの開発者Loris Degioanniによって開発されたツールで、Wiresharkの高度なネットワーク可視化機能をFalcoエコシステムを通じてクラウドにもたらします。Stratosharkは、Wiresharkのパケット解析機能とFalcoのランタイムセキュリティを組み合わせることで、トラブルシューティングの迅速化、確信を持ったインシデント対応、そしてクラウドネイティブな柔軟性を実現します

本文の内容は、2025年4月16日に Sysdig Team が投稿したブログ(https://sysdig.com/blog/kubernetes-1-33-whats-new/)を元に日本語に翻訳・再構成した内容となっております。 Kubernetes 1.33 の紹介: 開発チームとセキュリティチーム向けのクラウドネイティブな改善 Kubernetes 1.33リリースは、クラウドネイティブ・インフラストラクチャーにスケーラブルで安全、そして開発者フレンドリーな機能強化を提供するというプロジェクトの勢いを継続しています。Kubernetesの進化に伴い、重要なワークロードを正確かつ制御された状態で実行するためにKubernetesを利用するエンジニアリングチームとセキュリティチームの期待も高まります。 Kubernetes 1.33の機能強化には、ワークロード管理の簡素化、ID管理の

本文の内容は、2025年3月15日に Michael Clark が投稿したブログ(https://sysdig.com/blog/detecting-and-mitigating-the-tj-actions-changed-files-supply-chain-attack-cve-2025-30066/)を元に日本語に翻訳・再構成した内容となっております。 2025年3月14日、StepSecurityは、GitHubで広く使用されているActions tj-actions/changed-files に対する侵害を発見しました。このActions は、ファイルの変更を追跡するために数万件のリポジトリで使用されていますが、悪意のある改ざんが行われたことが判明し、公私問わず多くのプロジェクトにリスクをもたらしています。この問題に対して、CVE-2025-30066 が割り当てられました

Sysdig、Stratosharkを発表、数百万のネットワーク専門家のセキュリティ経験をクラウドに提供可能に 「クラウド版Wireshark」と呼ばれるStratosharkは、WiresharkとFalcoのオープンソースのレガシーを基盤として構築されており、使い慣れたプラットフォームでクラウドネイティブ環境に比類ない可視性を提供します <このプレスリリースは1/22/2025に米国で発表されたリリースの抄訳です> 1/22/2025 ベルギーブリュッセル発FOSDEM 2025にて– リアルタイムクラウドセキュリティのリーダーであるSysdigは本日、Wiresharkのきめ細かいネットワーク可視性をクラウドに拡張し、クラウドのオブザーバビリティに対する標準化されたアプローチをユーザーに提供するオープンソースツール、Stratosharkのリリースを発表しました。 27年にわたり、W

クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）とは？ CNAPPは、オールインワンのクラウドセキュリティソリューションです。クラウドベースのアプリケーションとインフラストラクチャを保護し、管理の一元化、脅威の検知、インシデント対応機能を提供します。

本文の内容は、2024年7月26日に Nigel Douglas が投稿したブログ(https://sysdig.com/blog/whats-new-kubernetes-1-31/)を元に日本語に翻訳・再構成した内容となっております。 Kubernetes 1.31が間もなく登場します。このリリースでは、プロジェクトに大きな変更が加えられます。では、このリリースの新機能は何でしょうか? Kubernetes 1.31には、このリリースで「 Graduating 」として追跡されている 37 項目を含む、多数の機能強化が含まれています。これらのうち、待望の Kubernetes 向け AppArmor サポートを含む11 の機能強化がステーブルに移行します。これには、API でコンテナまたはポッドの AppArmor プロファイルを指定し、そのプロファイルをコンテナランタイムによって適用

本文の内容は、2023年3月21にNIGEL DOUGLAS が投稿したブログ（https://sysdig.com/blog/terraform-security-best-practices）を元に日本語に翻訳・再構成した内容となっております。 コードとしてのインフラストラクチャ ー(IaC) を使用する場合、Terraform はデファクトのツールです。 リソース プロバイダーに関係なく、組織はそれらすべてを同時に操作できます。 コンフィギュレーションエラーがインフラストラクチャー全体に影響を与える可能性があるため、疑いの余地のない側面の 1 つは Terraform のセキュリティです。 この記事では、Terraformを使用するメリットを説明し、いくつかのセキュリティベストプラクティスを参照しながら、Terraformを安全な方法で使用するためのガイダンスを提供したいと思います。

本文の内容は、2023年3月16に JASON UMIKER が投稿したブログ（https://sysdig.com/blog/kubernetes-cpu-requests-limits-autoscaling）を元に日本語に翻訳・再構成した内容となっております。 以前のブログ記事で、Kubernetesのリミットとリクエストの基本について説明しました：これらは、クラウド環境のリソースを管理するために重要な役割を果たします。 このシリーズの別の記事では、クラスターに影響を与える可能性のあるOOMとCPUスロットリングについて説明しました。 しかし、全体として、リミットとリクエストはCPU管理のための銀の弾丸ではなく、他の選択肢の方が良い場合があります。 このブログポストでは、次のことを学びます： CPUリクエストの仕組みCPUリミットの仕組みプログラミング言語別の現在の状況リミットが最適

本文の内容は、2023年1月25日にJAVIER MARTÍNEZ が投稿したブログ（https://sysdig.com/blog/troubleshoot-kubernetes-oom)を元に日本語に翻訳・再構成した内容となっております。 はじめに Kubernetesを使用する場合、Out of Memory (OOM) エラーとCPUスロットリングは、クラウドアプリケーションのリソース処理で主に頭を悩ませる問題です。なぜでしょうか？ クラウドアプリケーションにおけるCPUとメモリの要件は、クラウドのコストに直接結びついているため、これまで以上に重要です。 リミットとリクエストを使用すると、リソースの枯渇を防ぎ、クラウドのコストを調整するために、Pod がメモリと CPU のリソースをどのように割り当てるべきかを設定できます。 ノードに十分なリソースがない場合、Podはプリエンプショ

本文の内容は、2025年6月11日に Sysdig Team が投稿したブログ(https://sysdig.com/blog/top-15-kubectl-plugins-for-security-engineers/)を元に日本語に翻訳・再構成した内容となっております。 Kubernetes環境はますます複雑化しています。マルチクラウド環境、エッジデプロイメント、そして増え続けるコンプライアンス要件などにより、クラスターを安全に運用し続けることは容易ではありません。セキュリティチームは迅速に行動し、設定ミスを早期に発見し、インシデント化する前に脅威を特定する必要があります。 ここでkubectl プラグインが役立ちます。 これらのツールは、kubectl に様々な追加機能を提供します。RBAC権限の調査からネットワークトラフィックのスニッフィング、クラウドプロバイダーからのシークレット

本文の内容は、2022年10月31日にJason Andressが投稿したブログ（https://sysdig.com/blog/kernel-parameters-falco/)を元に日本語に翻訳・再構成した内容となっております。 ユーザーは、太陽の光が降り注ぐ世界、それが現実だと自分たちが信じている世界、に住んでいます。しかし、そこには目に見えない裏の世界があります。同じように現実的でありながら、それほど明るく照らされていない場所。それがカーネル・パラメータ側です（ジョージ・ロメロに謝意を表する）。 カーネルパラメータは、実際にはそれほど怖いものではありませんが、Linux の世界では暗くてクモの巣だらけのコーナーになることがあります。カーネルパラメータは、Linux（あるいは Unix 系）カーネルにパラメータを渡して、カーネ ルの振る舞いを制御するための手段です。これらのパラメータ

本文の内容は、2022年10月5日にJavier Martínezが投稿したブログ(https://sysdig.com/blog/kubernetes-errimagepull-imagepullbackoff/)を元に日本語に翻訳・再構成した内容となっております。 コンテナを使用している時、ImagePullBackOffやErrImagePullなどのPodステータスが一般的に発生します。 ErrImagePullは、コンテナに指定されたイメージを取得またはプルできないときに発生するエラーです。 ImagePullBackOffは、イメージのプルが修正されるまでの待機猶予期間です。 今回は、その様子をご紹介します。 コンテナイメージイメージのプルイメージのプルポリシーErrImagePullErrImagePullのデバッグイメージプルエラーの監視その他のイメージエラー コンテナイメ

本文の内容は、2024年11月25日に Alejandro Villanueva が投稿したブログ(https://sysdig.com/blog/26-aws-security-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 セキュリティは、 AWS Foundational セキュリティベストプラクティスの基本的な柱です。セキュリティリスクを最小限に抑え、環境を保護するには、サービス別にまとめられた AWS セキュリティベストプラクティスに従うことが不可欠です。この構造化されたアプローチは、潜在的な脆弱性に積極的に対処し、堅牢で安全なクラウドアーキテクチャーを維持するのに役立ちます。 AWS IAM（1） IAMポリシーでは、フルの ” * ” 管理者権限を許可すべきではない （２） IAMユーザーにはIAMポリシーを添付してはならない （３） I

本文の内容は、2022年6月23日にCarlos Adiegoが投稿したブログ(https://sysdig.com/blog/fluentd-monitoring/)を元に日本語に翻訳・再構成した内容となっております。 Fluentdは、Kubernetesのログアグリゲーションに広く使われているオープンソースのデータコレクターです。PrometheusでFluentdを監視し、トラブルシューティングを行うことは、ログ収集や監視システムに影響を与える潜在的な問題を特定するために、本当に重要なことです。 この記事では、Fluentd のドキュメントにある監視の推奨事項に従って、Prometheus を使って Fluentd の監視を開始する方法を学びます。また、Fluentd の最も一般的な問題と、そのトラブルシューティングの方法についても説明します。 Prometheusのメトリクスを公

本文の内容は、2021年2月18日にKaizhe Huangが投稿したブログ(https://sysdig.com/blog/kubernetes-admission-controllers/)を元に日本語に翻訳・再構成した内容となっております。 アドミッションコントローラーは強力なKubernetesネイティブ機能で、クラスター上での実行を許可するものを定義してカスタマイズするのに役立ちます。 ウォッチドッグとして、クラスターに入るものを制御することができます。ウォッチドッグは、多すぎるリソースが要求するデプロイメントを管理したり、ポッドのセキュリティポリシーを適用したり、脆弱なイメージのデプロイをブロックしたりすることができます。 この記事では、Kubernetes のアドミッションコントローラーとは何か、そしてそのwebhookを使ってイメージスキャンを実装する方法を学びます。 アド

本文の内容は、docs.sysdig.com上のAWS Fargate Serverless Agentsを元に日本語に翻訳・再構成した内容となっております。(2022年5月17日現在) サーバーレス・エージェント概要サーバーレスの環境やクラウドプラットフォームの進化に伴い、利便性と抽象度が同時に向上し、新しいエージェントモデルが求められています。 例えば、AmazonのECSやEKSでは、ユーザーは基盤となる仮想ホストマシンの管理を引き続き担当しています。しかし、Fargateのような環境では、ホストはクラウド事業者によって暗黙のうちに割り当てられており、ユーザーは、基盤となるコンピュートインフラの割り当てや設定、知識を持たずに、単にコンテナを実行するだけです。 この「サービスとしてのコンテナ」モデルは便利ですが、多くのユーザーがコンテナを放置し、コンテナ内のセキュリティイベントを監視し

本文の内容は、2021年3月9日にÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/dockerfile-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用することで、セキュリティ問題を防ぎ、コンテナ化されたアプリケーションを最適化する方法を学びます。 コンテナ化されたアプリケーションやマイクロサービスに精通している人なら、自分のサービスがマイクロサービスであることに気づいているかもしれません。しかし、脆弱性の検出、セキュリティ問題の調査、デプロイ後の報告や修正など、管理のオーバーヘッドがマクロな問題になっています。 このオーバーヘッドの多くは、セキュリティをシフトレフトし、開発ワークフローの中で可能な限り早く潜在的な問題に取り組むこ