本記事は Sysdig の解説記事 What is AI Security? を入口に、「攻撃者が AI を悪用してくる攻撃」に対して Sysdig で何ができるかを整理した読み物です。AI そのものを守る「Securing AI」ではなく、AI に武装した攻撃側への防御にフォーカスします。
※筆者は Sysdig 所属ですが、本記事は個人の理解に基づく整理であり、所属組織の公式見解ではありません。製品仕様は変わるため、最新は公式ドキュメントをご確認ください。
TL;DR(先に結論)
- 攻撃者は AI / エージェンティック AI で偵察〜流出までを自動化し、クラウド攻撃は10分未満で完遂しうる。
- 対する防御の物差しが 555(5/5/5)ベンチマーク — 5秒で検知・5分でトリアージ・5分で対応。
- Sysdig はこれを ①ランタイム検知(Falco/eBPF)② クラウド CDR ③ Cloud Attack Graph ④ AI アナリスト Sysdig Sage ⑤ AI エージェント自体の監視 ⑥ 自動レスポンスで実現する。
- キーワードは 「速さ」対「速さ」、そして「文脈」。事後ログではなくランタイムで起きた瞬間に見て、束ねて、止める。
はじめに:AI は「守る対象」であり「攻撃者の武器」でもある
AI セキュリティという言葉は、実は複数の意味を含んでいます。大きく3つの側面に分けると整理しやすくなります。
| 側面 | 意味 | 例 |
|---|---|---|
| AI for Security | AI を使って防御する | 脅威検知・調査を AI で加速(後述の Sysdig Sage) |
| Securing AI | AI ワークロード(モデル・データセット・パイプライン)を守る | モデル汚染・プロンプトインジェクション対策 |
| Dark AI | 攻撃者の側が AI を悪用して攻撃を仕掛ける | 自律エージェントによる偵察〜侵入〜流出の自動化 |
本記事のテーマは3つ目、Dark AI です。**「攻撃が AI で速く・賢く・自律的になったとき、防御側は何ができるのか」**を、Sysdig の機能に引き寄せて整理します。
1. 攻撃者にとっての AI — 何が変わったのか
攻撃者が AI(特にエージェンティック AI = 自律的に多段の行動を取る AI)を取り込むと、攻撃の各フェーズが自動化・高速化します。
| 攻撃フェーズ | AI 悪用で起きること | 関連する MITRE 戦術 |
|---|---|---|
| 偵察 | 公開資産・設定ミス・露出した認証情報の発見が自動・連続化 | Reconnaissance |
| 初期侵入 | 説得力の高いフィッシング、既知脆弱性へのエクスプロイト生成の高速化 | Initial Access |
| 実行・権限昇格 | クラウド権限の探索と悪用を自律エージェントが連鎖実行 | Execution / Privilege Escalation |
| 横展開・認証情報窃取 | 盗んだ鍵を使い別アカウント・別サービスへ自動で広がる | Lateral Movement / Credential Access |
| 目的遂行 | データ流出・暗号化・永続化までを人手を介さず一気に | Exfiltration / Impact |
ポイントは 「人間のオペレーターが各ステップを判断する」前提が崩れることです。エージェンティック AI は、目標を与えられれば観測→判断→行動のループを自分で回し、次の一手を決めて動きます。
人手の攻撃と、AI エージェントの攻撃の違い
| 観点 | 従来(人手中心) | AI エージェント |
|---|---|---|
| 速度 | ステップごとに人が判断(数時間〜数日) | 自律ループで分単位 |
| 並列性 | 1人が1系統を順番に | 多数の標的・経路を同時並行 |
| 知識 | 担当者のスキルに依存 | 既知手法を即時に適用 |
| 時間帯 | 夜間・休日は手薄 | 24時間一定の速度 |
| 痕跡 | 手作業のばらつき | パターン化され高速・大量 |
同じ侵入でも、AI は「次の一手までの時間」と「同時に攻める数」がまるで違います。
クラウドでは「10分」が勝負になる
Sysdig は、攻撃者は悪用可能な標的を見つけてから10分未満で攻撃を完遂しうると指摘しています(オンプレ攻撃の平均が約16日であるのと対照的)。AI による自動化は、この「10分」をさらに圧縮する方向に働きます。
つまり、攻撃の速さに対して、防御の速さが追いついているかが本質的な問いになります。
2. なぜ従来型の防御では追いつかないのか
AI 駆動・クラウドネイティブな攻撃に対して、従来のアプローチには構造的な弱点があります。
| 観点 | 従来型の限界 | 必要なもの |
|---|---|---|
| 検知の遅延 | 定期スキャン・事後ログ分析は分単位の攻撃に間に合わない | リアルタイムのランタイム可視性 |
| 資産の寿命 | コンテナ/サーバレスは数秒〜数分で消える。スナップショット型では捉えられない | 生成・消滅の瞬間を捉える仕組み |
| トリアージ | 人手でアラートを1件ずつ追うと律速になる | 文脈での即時相関 |
| 対応 | 手作業の封じ込めは攻撃の10分に間に合わない | 自動レスポンス |
とりわけ「検知の遅延」は致命的です。ログを書き出して集約して解析して…という従来パイプラインは、構造的に分〜時間単位の遅れを生みます。
代表的な既存ツールを「AI 駆動・クラウド攻撃」という物差しで見ると、それぞれに死角があります。
| ツール種別 | 得意 | AI 攻撃に対する弱点 |
|---|---|---|
| 定期脆弱性スキャン | 既知 CVE の棚卸し | スキャン間隔の隙・エフェメラル資産を取りこぼす |
| 従来 SIEM(ログ集約) | 横断的な相関・監査 | 取り込み〜検知の遅延、ランタイムの可視性が薄い |
| EDR(エンドポイント) | ホスト/端末の脅威 | コンテナ/サーバレス/クラウド API には不向き |
| エージェントレス姿勢評価 | 設定ミスの広域把握 | 「いま起きている挙動」を捉えられない |
| WAF / NW 境界 | 既知パターンの遮断 | 内部横展開・正規認証情報の悪用に弱い |
防御に必要なのは、**「リアルタイムのランタイム可視性」+「文脈での即時相関」+「調査・対応の高速化」**の3点セットです。
3. 防御の物差し:555(5/5/5)ベンチマーク
Sysdig は、クラウド攻撃に対する応答速度の目標として 555 ベンチマークを提唱しています(2023年, SANS CyberFest で発表)。
| 目標 | 内容 | なぜその時間か |
|---|---|---|
| 5秒で検知 | リアルタイムにシグナルを取得。エフェメラル資産でも見逃さない | 攻撃の起点を逃さないため |
| 5分でトリアージ | 最初のアラートから5分以内に、相関した全シグナルの文脈を揃える | 「何が本当に危険か」を素早く判断するため |
| 5分で対応 | さらに5分で封じ込め・対応に着手する | 攻撃の「10分」に間に合わせるため |
攻撃者の「10分」と、防御の「5+5+5」を時間軸で重ねると、なぜこの数字なのかが見えてきます。
各段階を「成立させるために何が要るか」「Sysdig のどの機能が担うか」で並べると次のようになります。
| 段階 | 成立に必要な能力 | 担う Sysdig 機能 |
|---|---|---|
| 5秒で検知 | カーネル級のリアルタイム可視性 | ランタイム検知(Falco/eBPF)+ CDR |
| 5分でトリアージ | シグナルの即時相関・文脈付与 | Cloud Attack Graph + Sysdig Sage |
| 5分で対応 | プロセス/資源単位の自動アクション | レスポンスアクション + SOAR 連携 |
以下では、Sysdig がこの 5/5/5 をどう実現するかという観点で機能を見ていきます。
4. Sysdig でできること — 「速さ」対「速さ」
攻撃チェーンの各段階に、Sysdig の検知レイヤを重ねると次のようになります。攻撃が AI で速く・自律的でも、実際に起こす「動き」を各段階で捉えるのが基本戦略です。
機能を「どの攻撃フェーズに効くか」で俯瞰すると、各機能が点でなく面でカバーしていることが分かります(◎=主役 / ○=補助)。
| 機能\フェーズ | 偵察 | 初期侵入 | 権限昇格 | 横展開 | 目的遂行 |
|---|---|---|---|---|---|
| ランタイム検知(Falco/eBPF) | ○ | ◎ | ◎ | ○ | ◎ |
| クラウド CDR | ◎ | ○ | ◎ | ◎ | ○ |
| Cloud Attack Graph | ◎ | ○ | ◎ | ◎ | ○ |
| Sysdig Sage(調査加速) | ○ | ○ | ◎ | ◎ | ◎ |
| 自動レスポンス | − | ○ | ○ | ○ | ◎ |
4-1. リアルタイム・ランタイム検知(= 5秒の「検知」)
Sysdig の中核は、Falco / eBPF をベースにしたランタイム検知です。システムコール・プロセス起動・ネットワーク接続・ファイルアクセスをその場(リアルタイム)で評価します。
- 誰が・どのプロセスを・どの Kubernetes クラスタの・どのクラウドテナントで実行したかまで紐づく
- shell アクセス、リモートファイルコピー、reverse shell、バイナリ改ざん、永続化といった攻撃の「動き」そのものを検知
- コンテナが数秒で消えても、そのイベントは捉えられる
なぜ「速くて正確」なのか — syscall を直接取るから
攻撃者がどんな手口を使おうと、その「行動」は最終的に必ず特定の システムコール(syscall) に落ちます。Falco はこの OS の境界(ユーザ空間↔カーネル) に観測点を置きます。
- 速い … ログ集約・バッチ解析を挟まないため、挙動が起きた瞬間に評価できる(=5秒検知に効く)
- 正確 … 「実際に発行された syscall」というグラウンドトゥルースを見るので、ログ欠落や難読化で取り逃しにくい
Falco のルールは「振る舞い」を宣言的に記述します。たとえば「コンテナ内で reverse shell が起動した」を捉えるイメージはこうです(概念例)。
- rule: Reverse shell in container
desc: コンテナ内のプロセスが標準入出力をソケットに繋ぎ替えた(reverse shell の典型)
condition: >
spawned_process
and container
and proc.name in (shell_binaries)
and fd.type = ipv4 # 標準fdがネットワークソケットに
output: >
コンテナ内で reverse shell の疑い
(user=%user.name container=%container.name proc=%proc.cmdline
connection=%fd.name image=%container.image.repository)
priority: CRITICAL
tags: [container, network, mitre_execution, T1059]
条件の素材(
spawned_process=execve系、fd.type、container.name)がすべて syscall イベント由来である点がポイント。「ログにこう出たら」ではなく「OS に対してこう作用したら」で検知できます。
データの取得から検知までの経路はこうなっています。カーネルで捕まえた syscall が、正規化されてルールエンジンに流れ込みます。
代表的な「攻撃の動き」を、対応する syscall と MITRE 技法に並べるとこうなります。
| 検知したい挙動 | 主な syscall | MITRE(例) |
|---|---|---|
| シェル起動 / reverse shell |
execve, socket, dup2
|
T1059 / T1071 |
| 機微ファイルの読み取り |
openat, read
|
T1552(認証情報窃取) |
| 権限変更・昇格 |
setuid, setgid, ptrace
|
T1068 / T1548 |
| 永続化(バイナリ/cron 改ざん) |
open(O_WRONLY), rename, chmod
|
T1053 / T1543 |
| データ流出 |
connect, sendto, write
|
T1041 |
検知だけでなく「止められる」
syscall 単位でどのプロセスが何をしたかまで分かるので、検知に留まらず対応につなげられます(プロセス kill・コンテナ隔離。詳細は 4-6)。
4-2. クラウド全域の CDR(アイデンティティ悪用の検知)
AI を使った攻撃は、盗んだ認証情報や過剰権限を突いてクラウドのコントロールプレーンで動くことが多くなります。Sysdig は CloudTrail などの監査ログをリアルタイム解析する **CDR(Cloud Detection and Response)**で、権限昇格・不審な API 呼び出し・アイデンティティ悪用を検知します。
ワークロード(ランタイム)とクラウド(監査ログ)の両面を1つのプラットフォームで見られることが、連鎖する攻撃を断つうえで効いてきます。たとえば「コンテナ内の reverse shell(ランタイム)」と「直後の AssumeRole 連発(CDR)」が同じインシデントとして繋がります。
CDR が拾う代表的なシグナルの例:
| クラウドイベント | なぜ不審か |
|---|---|
短時間に大量の AssumeRole / GetSessionToken
|
盗んだ鍵での権限探索の典型 |
| 普段使わないリージョンでの API 呼び出し | 横展開・隠れた活動の兆候 |
CreateUser / AttachUserPolicy の連発 |
永続化・権限の自己付与 |
CloudTrail 証跡の停止(StopLogging) |
痕跡消し(防御回避) |
| 公開設定への変更(バケット public 化) | 流出の準備 |
4-3. Cloud Attack Graph で相関・トリアージ(= 5分の「トリアージ」)
検知シグナルが点在しているだけでは、5分でトリアージはできません。Sysdig の Cloud Attack Graph は、
脆弱性 × 設定ミス × 権限 × ランタイムイベント
を相関させ、「攻撃経路(アタックパス)」として1枚に可視化します。
具体例:公開された脆弱なコンテナ(露出+脆弱性)→ 紐づくサービスアカウントが過剰権限 → そのロールから機密 S3 バケットへ到達可能、という鎖が1本の経路として浮かび上がります。
エージェンティックな攻撃が次に狙う一手が線で見えるので、「何が本当に危険か」を即座に判断できます。バラバラのアラートではなく「経路」で見えることが、5分でのトリアージを現実的にします。
4-4. AI には AI で — Sysdig Sage(調査の高速化)
攻撃側が AI で速いなら、防御側の調査も AI で速くする必要があります。それが Sysdig Sage — CNAPP に統合された AI セキュリティアナリストです。
たとえばこんな問いを、コードを書かずに投げられます。
「過去1時間で reverse shell を起こしたコンテナと、
それが使っている IAM ロール、到達可能な機密データを教えて」
- 自然言語の質問を SysQL(Sysdig のクエリ言語)/ グラフクエリに変換し、資産間の関係を探索
- ライブテレメトリと脆弱性データを組み合わせた多段推論で「いま何が危険か」を提示
- 脅威の who / what / when / where / how を束ね、ノイズを圧縮して根本原因の是正まで導く
- Sysdig はこれにより クラウドインシデントの平均対応時間(MTTR)が 76% 短縮したと報告
人間の判断を置き換えるのではなく、24時間つねに横にいるアナリストとして、AI 高速攻撃に対して人間の応答速度を底上げするという位置づけです。
4-5. 悪用される「AI エージェント自体」も攻撃面(2026年3月〜)
見落とされがちですが、自分たちが導入した AI コーディングエージェント(Claude Code / OpenAI Codex / Gemini CLI など)も、侵害・暴走すれば攻撃経路になります。高い権限とファイル/コマンド実行能力を持つためです。
Sysdig は 2026年3月に AI コーディングエージェント向けのランタイムセキュリティを発表し、次のような挙動をリアルタイム検知します。
| 検知する挙動 | なぜ危険か |
|---|---|
| 新しい AI コーディングエージェントのインストール | シャドー導入の可視化 |
| 機微ファイルへのアクセス / 認証情報コントロールのバイパス | 認証情報窃取の前兆 |
| セーフガードを弱める危険なコマンドライン引数 | ガードレールの無効化 |
| reverse shell・バイナリ改ざん・永続化 | 侵害・乗っ取りの実行 |
考え方は "assume breach"(侵害前提)+ ランタイム可視性。エージェントを「信頼して終わり」にせず、振る舞いを監視し続けます。
4-6. 対応(= 5分の「対応」)
検知・トリアージのあとは、封じ込めです。コンテナの隔離・プロセス kill・対応アクション、さらに Tines などの SOAR 連携で、人手を待たずに初動を自動化できます。
レスポンスは一気に全自動化するのではなく、信頼度に応じて段階的に育てるのが実務的です。
| 段階 | 動作 | 向くケース |
|---|---|---|
| 通知のみ | Slack/メール/SIEM に送るだけ | 導入初期・誤検知を見極める間 |
| 半自動(承認付き) | ワンクリック or 承認後にアクション | 影響が大きい操作(鍵失効・隔離) |
| 完全自動 | 検知→即アクション | 高フィデリティで実績のあるルール |
これにより 5/5/5 の最後の「5分」を成立させます。検知点を syscall に置いたからこそ、対応もプロセス単位で正確に効きます。
4-7. アーキテクチャ全体像(どこからデータを取るか)
ここまでの機能は、別々の製品ではなく1つの CNAPP の上で繋がっています。データの取り口(ランタイム / クラウド / イメージ)から、相関・調査・対応までを俯瞰すると次の形です。
取り口にはエージェント型とエージェントレス型があり、得意分野が違います。両方を組み合わせることで「広く(姿勢)」かつ「深く・速く(ランタイム)」をカバーできます。
| 取り口 | 形態 | 主に得られるもの | 速度 |
|---|---|---|---|
| eBPF センサ(ホスト/ノード) | エージェント | リアルタイムの syscall・プロセス・NW | ◎ 秒単位 |
| クラスタ連携 | エージェント | K8s 文脈(Pod/SA/namespace) | ◎ |
| エージェントレススキャン | エージェントレス | イメージ脆弱性・設定姿勢の広域把握 | ○ 定期 |
| クラウド連携(CDR) | エージェントレス | 監査ログからの脅威検知 | ◎ ほぼ即時 |
5. ウォークスルー:ある10分間
抽象論だけだと掴みにくいので、漏洩した鍵から始まる典型シナリオを、攻撃側(AI エージェント)と防御側(Sysdig)で並べて時系列で追ってみます。
ポイントは、個々のアラートが点ではなく1本の経路として束ねられ、AI アシスト(Sage)で人間が5分で判断できる形になり、自動で止まること。これが「速さ」対「速さ」の具体像です。
6. MITRE ATT&CK との対応(イメージ)
「Dark AI の攻撃」を ATT&CK の戦術に並べ、Sysdig のどの機能が効くかを対応づけると、カバレッジが俯瞰できます(あくまで概念整理であり、網羅性を保証するものではありません)。
| ATT&CK 戦術 | AI 悪用の例 | 主に効く Sysdig 機能 |
|---|---|---|
| Reconnaissance | 公開資産・露出鍵の自動探索 | Posture / Inventory、CDR |
| Initial Access | 脆弱性の自動エクスプロイト | ランタイム検知(Falco) |
| Execution | reverse shell・不審プロセス | ランタイム検知(Falco) |
| Persistence | cron/サービス登録・バイナリ改ざん | ランタイム検知(Falco) |
| Privilege Escalation |
setuid / 過剰ロール悪用 |
ランタイム検知 + CDR |
| Credential Access | 認証情報ファイル参照・鍵窃取 | ランタイム検知 + AI エージェント監視 |
| Lateral Movement |
AssumeRole 連鎖・横展開 |
CDR + Cloud Attack Graph |
| Exfiltration | 外部への大量送信 | ランタイム検知(network) |
| Impact | 暗号化・破壊 | ランタイム検知 + 自動レスポンス |
7. 導入・運用の勘所(実務メモ)
機能が強くても、運用が伴わなければ「速さ」は出ません。最低限おさえたい点を挙げます。
- ノイズチューニングは前提。ランタイム検知は素のままだと誤検知が出る。例外(exception)/ スコープ / ゾーンで「意味のあるアラート」に絞り込む。
- 優先度は "in-use × exploitable × 到達可能" の交差で。脆弱性の件数ではなく、Attack Graph 上で重要資産に繋がるものを上に。
- レスポンスは段階的に。いきなり全自動 kill ではなく、まず通知→承認付きアクション→信頼できたパターンを自動化、と育てる。
- ビルド〜ランタイムの一気通貫。shift-left(イメージスキャン)だけでも、ランタイムだけでもなく、両方を同じ文脈で繋ぐと Attack Graph が活きる。
- AI エージェントのガバナンス。誰がどのエージェントを、どの権限で動かしているかを可視化し、"assume breach" で監視する。
8. まとめ — AI 攻撃時代の防御は「速さ」と「文脈」
攻撃者が AI を武器にした世界で、防御の鍵は次の流れに集約されます。
AI による攻撃の本質は「速さと自律性」です。それに対する答えは、事後のレポートではなく、ランタイムでのリアルタイム検知と、速さの非対称をなくす AI 支援の調査・対応にある、というのが Sysdig のスタンスだと言えます。
FAQ
Q. AI 攻撃専用の特別な検知エンジンが必要?
A. 必ずしも。攻撃が AI で速く・自律的になっても、最終的にホスト/クラウド上で起こす「動き」は syscall や API 呼び出しとして現れます。ランタイムでその事実を捉えるアプローチは AI 攻撃にもそのまま効きます。
Q. Sysdig Sage に任せれば人は要らない?
A. いいえ。Sage は調査を加速するアシスタントで、判断と承認は人間が行う前提です。狙いは「AI 高速攻撃に人間の応答速度を追いつかせる」ことです。
Q. エージェントレス(スナップショット)だけではダメ?
A. 姿勢評価(Posture)には有効ですが、エフェメラルな資産で起きる瞬間の挙動は取りこぼします。AI 攻撃の速さに対してはランタイムの常時可視性が要になります。
Q. Falco だけ入れれば十分?
A. ランタイム検知の核ですが、AI 攻撃はクラウドのコントロールプレーンにも及びます。CDR(クラウド側) と Attack Graph(相関) まで揃えて初めて「経路」で止められます。