クラウドの中身を“観る力“|WiresharkからStratosharkまで、Sysdigが紡ぐOSSの軌跡と未来
本記事は、全6回の連載「クラウドの中を“観る力”」の第1回です。
この連載では、可視化という観点からOSSの進化をたどりながら、クラウドネイティブ時代における観測・セキュリティの在り方を読み解いていきます。
- 第1回: Sysdigのルーツ|“Wireshark for the Cloud”が目指す未来 ← 本記事
- 第2回: EtherealとWinPCAP|クラウド可視化を切り拓く技術の出発点
- 第3回: Wiresharkが育てたコミュニティ|“Shark”たちの文化が生んだ継承力
- 第4回: Sysdig OSSが可視化したコンテナの“中身”|System Callが開いた世界
- 第5回: Falcoが変えた“検知”の常識|振る舞いベースで守るOSSセキュリティ
- 第6回: Stratosharkと新コミュニティの爆誕|OSSが切り拓くクラウドセキュリティの次章
本稿ではその出発点として、SysdigというOSSがどのような思想のもとに生まれたのか、Wiresharkとの関係性、そして“観る力”の現在地について紐解きます。
セクション1:はじめに:なぜ“中身が見える”ことが重要なのか?
システムが複雑になればなるほど、私たちが本当に知りたいのは「その中で何が起きているのか?」でしょう。
オンプレミスからクラウドへ、仮想化からコンテナへ、そしてモノリスからマイクロサービスへ。
ソフトウェアアーキテクチャが進化するたびに、観測対象は細分化し、動的になり、そして見えにくくなっていきました。
以前であれば「OSの上でアプリケーションが何をしているか」を見るだけで十分でした。
しかし今では、複数のKubernetesクラスターにまたがる数十〜数百のマイクロサービスが相互に通信しながら動作しており、全体像を把握するのは至難の業です。
そんな時代に「クラウドネイティブの中身を、まるで Wiresharkのように可視化 したい」と考えたチームがいます。
他の言葉で言えば、「クラウドの奥深くで生じる挙動を可視化し、分析可能な証跡として記録する技術」です。
この発想から誕生したOSSプロジェクトが、Sysdig です。
そしてSysdigから派生したFalcoやStratosharkは、ただのログではなく、行動を記録し、行動で防御するためのOSSとして進化していきました。
この連載の初回では、Sysdigがどのような思想のもとに生まれたのか、その背後にあるネットワーク可視化ツール・Wiresharkの思想とどのように接続しているのか、そして「“見る力”を武器にするOSSの未来」について、ひも解いていきます。
セクション2 :ルーツをたどる:Sysdigはどこから来たのか?
Sysdigの原点は、ネットワークパケットキャプチャツールの象徴的存在「Wireshark(旧Ethereal)」にあります。
Wiresharkは、「ネットワーク上で何が起きているかを“見える化”する」ことで、数え切れないほどの障害解決やセキュリティインシデントの分析に貢献してきました。
このWiresharkを支えた中心人物のひとりが、Sysdigの創業者 Loris Degioanni(ロリス・デジオアンニ)です。
彼は学生時代からネットワークスタックやパケットキャプチャの研究に取り組み、Windows用のキャプチャドライバ「WinPCAP」を開発、WiresharkのWindows対応に大きく貢献しました。
そして2000年代後半、「クラウドとコンテナの時代には、パケットを見るだけでは足りない」と考えるようになります。
「これからは、アプリケーションの“外側”(パケット)ではなく、“内側”(System Call)を見る必要がある。」
こうして生まれたのが、Sysdig OSSです。
Sysdigの基本構造:
- Linuxカーネルが発する命令文System Call(システムコール)をキャプチャ
- それを独自のバッファ経由でユーザー空間に転送
- CLIまたはUIで、実行された操作・対象ファイル・ネットワーク送信先などを表示
これは、まさに「Wiresharkのクラウド版」と呼ぶにふさわしいアプローチでした。
セクション3:パケットからSyscallへ─“見る対象”のパラダイムシフト
旧時代(オンプレ・VM)
- OSやネットワークが一体化していた
- トラフィックは平文で流れ、パケット解析が有効だった
- 通信の振る舞いでアプリの挙動がほぼ把握できた
新時代(クラウド・Kubernetes)
- トラフィックはTLSで暗号化されている
- PodやContainerが動的にスケールし、IPアドレスも固定されない
- 通信経路からプロセスの意図が見えなくなる
つまり、 通信の外側を見ることでは不十分になっていったのです。Sysdigはこの構造的な問題を、Linuxカーネルが提供する「System Callの観測」という方法で突破しました。
カーネルがアプリケーションのリクエストを処理するタイミングを捉えることで、プロセスがどんなファイルを開き、どのネットワークにアクセスし、どのユーザー権限でどんな操作をしているかを可視化できるようになったのです。
Sysdig OSS:その仕組みと思想
Sysdig OSSは、次の3つの設計思想を持っています。
- ノイズレスなデータ収集:カーネルレベルの情報取得により、エージェントやアプリ側の改修が不要
- リアルタイムストリーム処理:sysdig CLIでパイプ処理が可能
フィルタリング、フォーマット出力、アグリゲーションも自由 - トラブルシューティングと監査のハイブリッド:アプリケーションの死活監視と、ユーザー操作の調査が同時に可能
※Sysdig OSS Githubページ:https://github.com/draios/sysdig/
※Sysdig OSSの実践的な活用:https://sysdig.jp/blog/practical-usage-of-sysdig-oss/
Sysdig OSSは、セキュリティツールであると同時に、オブザーバビリティToolでもあります。
Falco:振る舞いに注目する異常検知
Sysdig OSSの“見る”という力を、セキュリティに特化させたツールが Falcoで、以下の特徴を持っています
- ルールベースの異常検知:例:
container.name != "" and evt.type=open and fd.name startswith "/etc" - Kubernetes・Containerに最適化されたルールセット
- CNCFに正式採用されたGraduated OSS(2024年2月)
※Falco公式:https://falco.org
Stratoshark:OSSによるリアルタイム可視化の進化系
2025年1月、Sysdigは次世代の可視化OSS「Stratoshark」を公開しました。
- eBPFベースでメトリクスとSyscallを一括収集
- ネットワーク遅延やボトルネックのリアルタイム可視化
- UIタイムラインでの操作と分析(Wiresharkの思想を継承)
これは、まさに“Wireshark for the Cloud”の進化形と言えるでしょう。
Ethereal(1998) ─▶ Wireshark(2006〜) ─▶ Sysdig OSS(2013〜)
├─▶ Falco(2016〜)
└─▶ Stratoshark(2025〜)
全てに共通するのは、「中を見る」ことでトラブルを理解し、「防御する」という思想です。
おわりに:可視化は、行動の理解と防御を可能にする
可視化とは「知るための技術」です。知ることで、私たちは行動できます。
行動することで、トラブルを予防し、攻撃を防ぎ、開発をスムーズに進められます。
そして、それをOSSとして公開し、誰もが再利用・拡張できるようにしたことが、WiresharkからSysdigへ、FalcoやStratosharkへと続く“観測文化”の継承です。この文化が、どこへ向かうのか。次回は、その始まりの物語です。
次回予告|第2回:EtherealとWinPCAP
――クラウド可視化を切り拓く技術の出発点
- GUIでパケットを見るという発想
- Windowsでキャプチャ可能にしたWinPCAPの衝撃
- 若きLoris Degioanniの挑戦
Wiresharkがなぜ成功したのか? その裏にある技術と文化をお届けします。
オープンソースセキュリティの新拠点「Sysdig Open Source Community」のご案内
Sysdigは、Falco、Wireshark、Stratoshark、sysdig OSSのユーザーをつなぐ、新たなグローバルコミュニティを開設しました。本コミュニティは、世界中のセキュリティ専門家や開発者が集い、協力し、成長するためのハブとなります。
技術的な情報交換はもちろん、専門スキルを証明する認定プログラム、求人掲示板、メンター制度、学生支援センターなど、キャリア形成に役立つ多様な機会を提供します。
