脅威検出（予定）

警告

この機能は今後のご提供を予定しています。ご興味がある方は、アカウント担当またはサポート窓口までお問い合わせください。

Takumi Runner は、収集したトレースデータをもとに CI/CD パイプライン上の脅威を能動的に検出する脅威検出機能の提供を予定しています。

脅威検出とは

脅威検出とは、既知のシグネチャやルールに依存せず、蓄積されたトレースデータを分析して潜在的な脅威を能動的に探索するアプローチです。

現在のトレース機能では、ユーザー自身がコンソール上でトレースデータを確認し、不審な挙動を見つける必要があります。脅威検出機能では、Takumi Runner が蓄積したトレースデータに対して自動的・継続的に分析を行い、潜在的な脅威を検出してユーザーに通知します。

想定されるユースケース

脅威検出機能は、以下のようなシナリオで活用できることを想定しています。

• 未知のサプライチェーン攻撃の検出 として、正常なビルドのベースラインから逸脱するネットワーク通信やプロセス実行を自動的に検出する
• 侵害の早期発見 として、CI/CD パイプラインを経由したクレデンシャルの窃取や不正なコード注入の兆候を、通常のビルドログからは見つけにくい粒度で捕捉する
• 継続的なセキュリティ監視 として、すべてのジョブ実行に対してバックグラウンドで分析を実施し、対応が必要なイベントのみをアラートとして通知する

メリット

脅威検出機能を利用することで、以下のメリットが得られます。

• 専門知識が不要 であること。セキュリティエンジニアがトレースデータを逐一確認しなくても、脅威の兆候を自動で検出できる
• ベースライン比較による精度 があること。過去のビルド履歴から正常な挙動を学習するため、単純なルールベースの検知よりも誤検知を抑えられる
• 追加の導入コストがかからない こと。Takumi Runner が既に収集しているトレースデータを活用するため、新たなエージェントやツールの導入は不要である

制約事項

一方で、以下の制約事項を把握しておく必要があります。

• 検出は確定的ではない こと。脅威検出の結果は「疑わしい挙動」の報告であり、最終的な判断はユーザー自身が行う必要がある
• ベースラインの構築に時間がかかる こと。十分な精度で正常・異常を判別するには、一定期間のビルド履歴の蓄積が必要である
• すべての攻撃を検出できるわけではない こと。正常なビルドプロセスと区別がつかない巧妙な攻撃は、検出の対象外となる場合がある