よくある質問・用語集

サーバ構築のデージーネットTOP > OSS情報 > よくある質問・用語集 > 用語集 > Falcoとは

  • もっと調べる
  • どうやって使う?

Falcoとは

Falco(ファルコ)とは、Kubernetesなどのコンテナ環境を対象にランタイムセキュリティチェックを行うオープンソースのソフトウェアです。Sysdig.inc社によって開発されました。ライセンスはApache License Version 2、開発言語はGoで公開されています。また、CNCF(Cloud Native Computing Foundation)のインキュベーションプロジェクトとしても登録されています。

Falcoは、ラテン語で「隼(はやぶさ)」という意味があります。Falcoを使用すると、コンテナでシェルのプロセスが動作した際や、コンテナ内の/bin等のディレクトリが改ざんされた際にイベントを検知し、アラートを送信します。Falcoの仕組みとしては、Linux KernelのeBPF(extended Berkeley Packet Filter)という機能を利用してシステムコールをキャプチャし、キャプチャしたシステムコールを利用してアラートを送信するという流れです。システム上で通常行われないような操作を検知し、条件によってアラートを送るという仕組みがあることで、何かあったときに素早く対応できるため、セキュリティインシデントのリスクを低減することができます。またFalcoは、Slackなどのチャットシステムと連携することで、いち早くアラートに対応することが可能となります。

主な特徴とは

ここでは、Falcoの特徴について説明します。

きめ細かいルールの適用

Falcoは、侵入・改ざん検知のデフォルトのルールが豊富に揃っています。そのため、細かな設定をする手間が省け、すぐに適用することができます。またデフォルトに加え、条件を変更・上書きし新しいルールも設定することが可能です。条件を追加することで、ユーザに合わせたよりきめ細かいルールを適用できます。

ランタイムセキュリティチェック

Falcoでは、実行時にコンテナや、ポッドの動作をモニタリングすることが可能です。ランタイムセキュリティチェックを行うことで、例えば下記のような動作を検出することができます。

  • 標準的な動作から外れた場合の動作
  • 決して起こらない動作

多様なアラートの送信方法

Falcoには、数多くのアラートの送信方法があります。下記のようなアラート送信設定を行うことが可能です。

  • コマンドを実行してメールを送信
  • Syslogを使ってアラートをログに出力
  • Slack等のチャットシステムにメッセージを送る

アラートをSlackなどのチャット等にメッセージの送信を行えば、より確実にイベントを認識することができます。

Falcoにできない機能や課題

Falcoは、コンテナやポッドの動作に応じて、アラートを送信するソフトウェアです。あくまで動作中のコンテナの侵入・改ざん検知ツールであることから、以下のような機能がありません。

  • ClamAV等のウイルスの検知
  • SELinux等の操作の停止
  • コンテナに含まれるソフトウェアの脆弱性診断
  • コンテナイメージの脆弱性診断

このような機能が必要な場合は、他のツールと併用する必要があります。またFalcoには、デフォルトのルールの理解が必要であったり、ルール条件の作成に\\Sysdigフィルター構文を理解することが必要という課題があります。ルール作成・更新には、ある程度の専門的知識が必要となります。

Falcoの利用方法の例

Falcoは、コンテナの侵入・改ざん検知ツールとして開発され、コンテナ内でのマルウェアの実行に気づくことを重点としています。Kubernetesやコンテナの特性上、異常な動きを検知した場合、能動的な対策を打つことが可能となります。例えば次のような方法です。

  • Falcoが特定のポッドで、攻撃的なファイルの作成を検知する
  • 外部プログラムにポッドのID等の情報を渡す
  • 外部プログラムが自動的にポッドを再作成する

この方法では、攻撃者がコンテナにマルウェアを注入し実行しようとした場合でも、マルウェアを配置した段階でポッドの再作成が可能となり、攻撃成功の可能性を低くすることができると考えられます。マルウェアを注入し続けられてしまうとサービスに影響がでるため、人間の介入も必要になってくると思いますが、最悪の事態を防ぐには充分の効力を発揮すると考えられます。

デージーネットの取り組み

デージーネットでは、Falcoでできない機能を補うために、動的なコンテナ/コンテナイメージの脆弱性スキャンを行うVuls/Trivyなどのツールも利用しています。また、FalcoやVuls、Trivyのインストール方法や詳細な情報は、資料ダウンロードページに調査報告書として掲載しています。

【カテゴリ】:セキュリティ  仮想化  仮想基盤  オープンソースソフトウェア  

  • もっと調べる
  • どうやって使う?

【Webセミナー】VPNだけじゃない! より安心・便利なリモートワーク環境改善
セミナー

日程: 8月27日(木)Webセミナー「BigBlueButton」を使用します。
内容: ご好評につき、6月に開催したセミナーを再度開催いたします! OSSを利用したリモートワーク環境の改善方法に関するセミナーです。中心となるソフトウェアの説明の他、既存のリモートワーク環境のセキュリティを強化するために役立つ事例も紹介していきます。
ご興味のあるかたはぜひご参加ください。

セミナー申込

関連用語

Falcoに関連するページ(事例など)

Falcoとは先頭へ