本文の内容は、2025年3月15日に Michael Clark が投稿したブログ(https://sysdig.com/blog/detecting-and-mitigating-the-tj-actions-changed-files-supply-chain-attack-cve-2025-30066/)を元に日本語に翻訳・再構成した内容となっております。 2025年3月14日、StepSecurityは、GitHubで広く使用されているActions tj-actions/changed-files に対する侵害を発見しました。このActions は、ファイルの変更を追跡するために数万件のリポジトリで使用されていますが、悪意のある改ざんが行われたことが判明し、公私問わず多くのプロジェクトにリスクをもたらしています。この問題に対して、CVE-2025-30066 が割り当てられました

Sysdig、Stratosharkを発表、数百万のネットワーク専門家のセキュリティ経験をクラウドに提供可能に 「クラウド版Wireshark」と呼ばれるStratosharkは、WiresharkとFalcoのオープンソースのレガシーを基盤として構築されており、使い慣れたプラットフォームでクラウドネイティブ環境に比類ない可視性を提供します <このプレスリリースは1/22/2025に米国で発表されたリリースの抄訳です> 1/22/2025 ベルギーブリュッセル発FOSDEM 2025にて– リアルタイムクラウドセキュリティのリーダーであるSysdigは本日、Wiresharkのきめ細かいネットワーク可視性をクラウドに拡張し、クラウドのオブザーバビリティに対する標準化されたアプローチをユーザーに提供するオープンソースツール、Stratosharkのリリースを発表しました。 27年にわたり、W

本文の内容は、2024年7月26日に Nigel Douglas が投稿したブログ(https://sysdig.com/blog/whats-new-kubernetes-1-31/)を元に日本語に翻訳・再構成した内容となっております。 Kubernetes 1.31が間もなく登場します。このリリースでは、プロジェクトに大きな変更が加えられます。では、このリリースの新機能は何でしょうか? Kubernetes 1.31には、このリリースで「 Graduating 」として追跡されている 37 項目を含む、多数の機能強化が含まれています。これらのうち、待望の Kubernetes 向け AppArmor サポートを含む11 の機能強化がステーブルに移行します。これには、API でコンテナまたはポッドの AppArmor プロファイルを指定し、そのプロファイルをコンテナランタイムによって適用

本文の内容は、2023年4月4日に VÍCTOR JIMÉNEZ CERRADA が投稿したブログ（https://sysdig.com/blog/kubernetes-1-27-whats-new）を元に日本語に翻訳・再構成した内容となっております。 Kubernetes 1.27がリリースされようとしていますが、目新しいものが満載です！何から始めましょうか？ 今回のリリースでは、Kubernetes 1.26の37、Kubernetes 1.25の40から大幅に増えて、60の機能強化が行われました。この60の機能強化のうち、12はStableへの移行、29は改善を続ける既存機能、18は完全に新しい機能、そして1つは非推奨の機能となっています。 このバージョンでは、すべての非推奨と削除に注意してください！ このリリースの主なハイライトは、実際はKubernetesの外側にあります。イメー

本文の内容は、2023年3月21にNIGEL DOUGLAS が投稿したブログ（https://sysdig.com/blog/terraform-security-best-practices）を元に日本語に翻訳・再構成した内容となっております。 コードとしてのインフラストラクチャ ー(IaC) を使用する場合、Terraform はデファクトのツールです。 リソース プロバイダーに関係なく、組織はそれらすべてを同時に操作できます。 コンフィギュレーションエラーがインフラストラクチャー全体に影響を与える可能性があるため、疑いの余地のない側面の 1 つは Terraform のセキュリティです。 この記事では、Terraformを使用するメリットを説明し、いくつかのセキュリティベストプラクティスを参照しながら、Terraformを安全な方法で使用するためのガイダンスを提供したいと思います。

本文の内容は、2023年3月16に JASON UMIKER が投稿したブログ（https://sysdig.com/blog/kubernetes-cpu-requests-limits-autoscaling）を元に日本語に翻訳・再構成した内容となっております。 以前のブログ記事で、Kubernetesのリミットとリクエストの基本について説明しました：これらは、クラウド環境のリソースを管理するために重要な役割を果たします。 このシリーズの別の記事では、クラスターに影響を与える可能性のあるOOMとCPUスロットリングについて説明しました。 しかし、全体として、リミットとリクエストはCPU管理のための銀の弾丸ではなく、他の選択肢の方が良い場合があります。 このブログポストでは、次のことを学びます： CPUリクエストの仕組みCPUリミットの仕組みプログラミング言語別の現在の状況リミットが最適

本文の内容は、2023年1月25日にJAVIER MARTÍNEZ が投稿したブログ（https://sysdig.com/blog/troubleshoot-kubernetes-oom)を元に日本語に翻訳・再構成した内容となっております。 はじめに Kubernetesを使用する場合、Out of Memory (OOM) エラーとCPUスロットリングは、クラウドアプリケーションのリソース処理で主に頭を悩ませる問題です。なぜでしょうか？ クラウドアプリケーションにおけるCPUとメモリの要件は、クラウドのコストに直接結びついているため、これまで以上に重要です。 リミットとリクエストを使用すると、リソースの枯渇を防ぎ、クラウドのコストを調整するために、Pod がメモリと CPU のリソースをどのように割り当てるべきかを設定できます。 ノードに十分なリソースがない場合、Podはプリエンプショ

本文の内容は、2023年1月17日にNIGEL DOUGLAS が投稿したブログ（https://sysdig.com/blog/top-15-kubectl-plugins-for-security-engineers/)を元に日本語に翻訳・再構成した内容となっております。 誰にとっても、特にセキュリティエンジニアにとって非常に有用であると強く感じるこのKubectlプラグインのリストを、さらに掘り下げてみましょう。 Kubernetesは、設計上、信じられないほどカスタマイズが可能です。Kubernetesは、特定のユースケースシナリオのためのカスタム構成をサポートしています。そのため、基本的な機能にパッチを適用する必要がありません。プラグインは、Kubernetesの機能を拡張し、アウトオブボックスの提供を実現する手段です。 Kubernetesプラグインとは何ですか？ Kubern

本文の内容は、2022年11月23日にVICTOR HERNANDOが投稿したブログ（https://sysdig.com/blog/how-to-monitor-kubelet/)を元に日本語に翻訳・再構成した内容となっております。 Kubernetesを本番環境で運用する場合、Kubeletの監視は欠かせません。Kubeletは、Kubernetesクラスター内の非常に重要なサービスです。 このKubernetesコンポーネントは、Podで定義されたコンテナが実行され、健全であることを保証する役割を担っています。スケジューラがPodを実行するノードを指定するとすぐに、Kubeletはその割り当てを受け、Podとそのワークロードを実行します。 Kubernetes Kubeletで問題に直面した場合、できるだけ早く対処して問題を解決することが本当に重要で、そうしないとKubernetes

本文の内容は、2022年10月31日にJason Andressが投稿したブログ（https://sysdig.com/blog/kernel-parameters-falco/)を元に日本語に翻訳・再構成した内容となっております。 ユーザーは、太陽の光が降り注ぐ世界、それが現実だと自分たちが信じている世界、に住んでいます。しかし、そこには目に見えない裏の世界があります。同じように現実的でありながら、それほど明るく照らされていない場所。それがカーネル・パラメータ側です（ジョージ・ロメロに謝意を表する）。 カーネルパラメータは、実際にはそれほど怖いものではありませんが、Linux の世界では暗くてクモの巣だらけのコーナーになることがあります。カーネルパラメータは、Linux（あるいは Unix 系）カーネルにパラメータを渡して、カーネ ルの振る舞いを制御するための手段です。これらのパラメータ

本文の内容は、2022年10月26日にMarco Bulgariniが投稿したブログ（https://sysdig.com/blog/should-you-trust-tools/)を元に日本語に翻訳・再構成した内容となっております。 私の父は、イタリアに輸入された初期のコンピュータをいくつか使って仕事をしていました。技術者といえば、現場での経験、分厚い技術マニュアルの束、そしてフル装備の道具箱の3本柱で成り立っていた時代です。マニュアルがない、交換部品がない、となると、お客様先から本社まで1日がかりの出張になることも珍しくありませんでした。 現在、状況は大きく変わっているように見えますが、実はそれほど大きくは変わっていません。技術マニュアルは埋め込まれていることが多いし、インターネットという小さなもので、どんな質問にも答えてくれる。そのようなリファレンスに簡単にアクセスできたとしても、経

本文の内容は、2022年10月5日にJavier Martínezが投稿したブログ(https://sysdig.com/blog/kubernetes-errimagepull-imagepullbackoff/)を元に日本語に翻訳・再構成した内容となっております。 コンテナを使用している時、ImagePullBackOffやErrImagePullなどのPodステータスが一般的に発生します。 ErrImagePullは、コンテナに指定されたイメージを取得またはプルできないときに発生するエラーです。 ImagePullBackOffは、イメージのプルが修正されるまでの待機猶予期間です。 今回は、その様子をご紹介します。 コンテナイメージイメージのプルイメージのプルポリシーErrImagePullErrImagePullのデバッグイメージプルエラーの監視その他のイメージエラー コンテナイメ

本文の内容は、2024年11月25日に Alejandro Villanueva が投稿したブログ(https://sysdig.com/blog/26-aws-security-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 セキュリティは、 AWS Foundational セキュリティベストプラクティスの基本的な柱です。セキュリティリスクを最小限に抑え、環境を保護するには、サービス別にまとめられた AWS セキュリティベストプラクティスに従うことが不可欠です。この構造化されたアプローチは、潜在的な脆弱性に積極的に対処し、堅牢で安全なクラウドアーキテクチャーを維持するのに役立ちます。 AWS IAM（1） IAMポリシーでは、フルの ” * ” 管理者権限を許可すべきではない （２） IAMユーザーにはIAMポリシーを添付してはならない （３） I

本文の内容は、2022年8月25日にJavier Martínezが投稿したブログ(https://sysdig.com/blog/debug-kubernetes-crashloopbackoff/)を元に日本語に翻訳・再構成した内容となっております。 CrashLoopBackOffは、Podで発生している再起動ループを表すKubernetesステートです。Pod内のコンテナが起動されますが、クラッシュして再起動されることを何度も繰り返します。 Kubernetesは、エラーを修正するチャンスを与えるために、再起動の間のバックオフ時間を長くして待機します。このように、CrashLoopBackOffはそれ自体がエラーではなく、Podが正しく起動できないようなエラーが起きていることを示しています。 KubernetesのCrashloopBackoff、図解で表すと。PodはRunnin

本文の内容は、2022年8月12日にMiguel Hernándezが投稿したブログ(https://sysdig.com/blog/blackhat-2022-recap/)を元に日本語に翻訳・再構成した内容となっております。 SysdigはBlackhat 2022で、クリプトジャックに対抗するための機械学習によるクラウド検知・応答（CDR）を発表しました。もっと詳しく知りたい方は、以下のブログを参照してくてください。 Sysdigの高精度な機械学習によるクリプトジャッキングの検知クリプトマイナーの検知：機械学習によるアプローチ 25周年を迎えたBlackhat 2022が、今週ラスベガスで開催されました。このイベントは、情報セキュリティ・コミュニティにとって最も重要なイベントであり、セキュリティ・ベンダーにとっては、成長を続けるこのエコシステムにおけるすべてのイノベーションと製品を展