Falco
Falco とは何ですか?
Falcoシステムコールや監査イベントをルールエンジンに流し込み、コンテナ・ホスト・Kubernetes の異常を検出するクラウドネイティブなオープンソースのランタイムセキュリティエンジン。
Falco は Apache 2.0 ライセンスのランタイムセキュリティツールで、もともと Sysdig が開発し、Cloud Native Computing Foundation(CNCF)へ寄贈され、2024 年に Graduated に到達しました。eBPF プローブまたはカーネルモジュールで Linux のシステムコールを取得するほか、Kubernetes 監査ログや AWS CloudTrail・Okta・GitHub などのプラグイン可能なイベントソースを受け取り、YAML で定義されたルールセットに対して評価します。標準ルールはコンテナ脱出、コンテナ内シェル起動、/etc 配下への書き込み、想定外の外向き通信、権限昇格などを検出します。アラートは falcosidekick 経由で Slack・OpsGenie・Loki・SOAR に転送されます。Falco は Kyverno のような Admission Controller と組み合わさり、Kubernetes ネイティブな SOC のランタイム層として広く使われています。
● 例
- 01
本番 nginx コンテナ内でシェルが起動した際にアラートを発報する(ルール Terminal shell in container)。
- 02
Pod が /var/run/docker.sock をマウントしてホストへ脱出しようとする挙動を検知する。
● よくある質問
Falco とは何ですか?
システムコールや監査イベントをルールエンジンに流し込み、コンテナ・ホスト・Kubernetes の異常を検出するクラウドネイティブなオープンソースのランタイムセキュリティエンジン。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Falco とはどういう意味ですか?
システムコールや監査イベントをルールエンジンに流し込み、コンテナ・ホスト・Kubernetes の異常を検出するクラウドネイティブなオープンソースのランタイムセキュリティエンジン。
Falco はどのように機能しますか?
Falco は Apache 2.0 ライセンスのランタイムセキュリティツールで、もともと Sysdig が開発し、Cloud Native Computing Foundation(CNCF)へ寄贈され、2024 年に Graduated に到達しました。eBPF プローブまたはカーネルモジュールで Linux のシステムコールを取得するほか、Kubernetes 監査ログや AWS CloudTrail・Okta・GitHub などのプラグイン可能なイベントソースを受け取り、YAML で定義されたルールセットに対して評価します。標準ルールはコンテナ脱出、コンテナ内シェル起動、/etc 配下への書き込み、想定外の外向き通信、権限昇格などを検出します。アラートは falcosidekick 経由で Slack・OpsGenie・Loki・SOAR に転送されます。Falco は Kyverno のような Admission Controller と組み合わさり、Kubernetes ネイティブな SOC のランタイム層として広く使われています。
Falco からどのように防御しますか?
Falco に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Falco の別名は何ですか?
一般的な別名: Falco ランタイムセキュリティ, Sysdig Falco。
● 関連用語
- defense-ops№ 367
eBPF セキュリティ
Linux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。
- defense-ops№ 212
コンテナイメージスキャン
OCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。
- cloud-security№ 600
Kubernetes セキュリティ
Kubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
● 関連項目
- № 1175Trivy