Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityを覗いてみる Copyright © 3-shake, Inc. All Rights Reserved. 2025/1/24 SRE Tech Talk #11 1

Copyright © 3-shake, Inc. All Rights Reserved. ❏ 某 SIer で業務系アプリケーションの保守運用や Devops 推進、 金融機関向けのクラウドアプリケーションの保守運用を経験したの ちスリーシェイクにジョイン ❏ 趣味はサウナ、旅行、サッカー観戦（町田ゼルビア推し） ❏ 注文住宅で家を建てるため専ら各所の土地散策で土日が潰れる ❏ 最近Google Cloud資格全冠取得しました！ 自己紹介 kojake_300 株式会社スリーシェイク Sreake 事業部 2

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityはどんなセキュリティツール？ 01 3

Copyright © 3-shake, Inc. All Rights Reserved. ソフトウェアサプライチェーンにおけるセキュリティ 4 コーディング ビルド パッケージング デプロイ 実行 * 静的解析 * 動的解析 * 脆弱性スキャン * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン 依存関係 * イメージ署名 * ランタイムセ キュリティ * ランタイムス キャン ソフトウェアを安全に届けるための最新動向 2022

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityがカバーする領域 5 コーディング パッケージング デプロイ * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン * イメージ署名 * 静的解析 * 動的解析 * 脆弱性スキャン * ランタイムセ キュリティ * ランタイムス キャン ビルド 依存関係 実行 特にココ！

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityとは 6 ● エージェントレスで様々なセキュリティ脅威を検知するオープンソースツール。 ● 元々は OpenClarity プロジェクトとして KubeClarity と VMClarity が開発・運用されていたが、 二つの機能を統合しつつ新しい機能を組み込んだ OpenClarityが 2024/10/12にv1.0.0としてリ リースされた。 ● セキュリティ脅威の検知はTrivyなどのOSSを使用しており、OpenClarityはUIでのダッシュボード やレポーティングなど、セキュリティの統合プラットフォームのようなイメージ。 Project announcement: OpenClarity #882 https://openclarity.io/docs/features/#scanning

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのランタイムスキャン 7 # 機能 ツール群 2 脆弱性スキャン エクスプロイト取得 3 クレデンシャルスキャン 4 マルウェアスキャン 5 ミスコンフィグレーションスキャン 6 ルートキットスキャン 7 - Grype - Trivy 1 SBOM生成*** - Syft - Windows Registry* - Trivy - Cyclonedx-gomod - Go exploit db - Secrets - ClamAV - YARA - Lynis** - KICS*** - CIS Docker benchmark - Chkrootkit** * : Windowsのみ ** : Linux and MacOSのみ *** : CLIのみ スキャン時に1つ以上のOSSツール を使用します。 出力する際は1つにマージするた め、より漏れのないスキャン結果 を取得することが可能です。

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのアーキテクチャ 8 https://openclarity.io/docs/usage/openclarity_stack/

Copyright © 3-shake, Inc. All Rights Reserved. その他の機能 9 ● AWS / Google Cloudといったクラウドプロバイダーで使用しているVMをスキャン可能 ● プラグイン機能があり、指定したツールを追加してランタイムスキャンが可能* ● AWSに限り、コスト見積もりが可能* * : CLIのみ

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityでk8sのランタイムスキャンを実施 してみよう 02 10

Copyright © 3-shake, Inc. All Rights Reserved. セットアップ 11 公式ドキュメントの通り k8s クラスタにインストールする。 https://openclarity.io/docs/getting-started/deploy-kubernetes/#deployment-steps providerはkubernetesを設定します。これによりクラスタ内で動作して いるコンテナのディスカバリとスキャンが可能になります。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 12 New scan configurationをクリック。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 13 スキャン名とスキャン対象を設定。 スキャン対象はODATA $filterの構文で記載 します。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 14 SBOMとVulnerabilitiesをチェック。 SBOMにチェックをしないとVulnerabilitiesによ る脆弱性スキャンがエラーになります。 また、SBOMにチェックを入れてもSBOMをダウ ンロードする機能はありません。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 15 実行時間はNowを選択。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 16 スキャンジョブを何台起動するかを設定。今回はデフォルトの２。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 17 設定が完了。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 18 しばらくするとスキャンジョブが起動する。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 19 スキャンが完了すると✅マークが表示される。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 20 スキャン結果を確認可能。 アセットに紐づく脆弱性一覧を取得する機能 は現在ありません。 脆弱性一覧から関連する脆弱性に紐づくア セットを確認する必要があります。 https://github.com/openclarity/openclarity/issues/671

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 21 スキャン結果を確認可能。

Copyright © 3-shake, Inc. All Rights Reserved. ダッシュボード 22 ダッシュボードで脆弱性数の推移を確認可能。

Copyright © 3-shake, Inc. All Rights Reserved. まとめ 03 23

Copyright © 3-shake, Inc. All Rights Reserved. まとめ 24 ● OpenClarityは複数のスキャンツールを使用し結果をマージして出力するため、より漏れなく情報 量の多いスキャン結果を出力できる。 ● 足りない機能が多いものの、若いツールであるため今後の開発に期待。 今回は時間がなくざっくりとした説明 になりましたが、 機会があればよりDeep Diveした内容 で発表します

Copyright © 3-shake, Inc. All Rights Reserved. 25 ご清聴ありがとうございました