osqueryとは

現代のエンタープライズ環境では、組織のインフラストラクチャおよびネットワークに多数のデバイスが接続できます。ITチームとセキュリティチームはこれらの各デバイスの情報を追跡、収集する任務を負っており、こうした作業を大規模に実施するのは概して非常に負荷が大きく、リソースを大量に消費します。特に複数のオペレーティングシステムやデバイスをサポートしている組織では、その傾向が高くなります。

osqueryのようなツールを使用すれば、既存のソフトウェア開発およびレビュープロセスにそのまま組み込める使い慣れたSQLベースの構文を利用して、任意のチームのサイバーセキュリティツールキットに新しい機能セットを追加できます。

この記事では、osqueryとその主要機能について説明します。また、ユースケースとベストプラクティスをご紹介し、osqueryから取得したデータをITの自動化ソリューションでさらに活用する方法を考察します。

osqueryとは

osqueryは、当初Meta社のエンジニアがオペレーティングシステムの実装、監視、分析に関連する課題解決を支援するために開発したツールです。同社のエンジニアが求めていたのは、大規模展開でも役に立つソリューションでした。現在のオープンソースツールとしてリリースされたosqueryは、SQLライクなクエリを使用してオペレーティングシステムのデータを探索します。重要なのは、osqueryではシステムセキュリティとエンドポイントデバイス監視用の統合インターフェースを利用できることです。つまり、異なるデバイスとオペレーティングシステムを同じクエリで調査できます。

osqueryは、デバイスの重要なシステムデータを表すクエリ可能なテーブルを生成します。生成されるテーブルには、システムユーザーに関するものや、対象デバイスに物理的に接続されているハードウェアに関するものがあります。このようなテーブルは、デバイスおよびオペレーティングシステム全体でデータの一貫性が保たれており、すべてを共通の言語でクエリできます。osqueryはmacOS、Linux、Windows、FreeBSDのプラットフォームをサポートしているため、ネットワーク内のすべてのエンドポイントデバイスに同一のツールを使用できます。このすべてが、軽量で設定が容易な単一のツールとして提供されます。

主要機能

osqueryには、組織内のエンドポイントデバイスをすばやく探索できるよう支援する主要機能がいくつか用意されています。こうした機能を利用することで、ITチームとサイバーセキュリティチームは手作業にかかる時間を大幅に節約できます。

SQLベースのクエリ

osqueryの重要な特徴は、使い慣れたSQL構文でエンドポイントデバイスから情報を取得できることです。クエリは、アプリケーションのソースコードに対する定期的なコードレビュープロセスのように、組織のニーズに合わせて体系化し、レビューできます。これにより、チームはクエリを再利用し、多くのデバイスからデータを取得する能力を拡張できます。このとき、組織内に存在する可能性があるすべてのオペレーティングシステムおよびデバイスに特化した専門知識は一切必要ありません。

詳細については、クエリの作成に関するosqueryのマニュアルを参照してください。

リアルタイムの監視

osqueryを使用してクエリを作成し、スケジュール実行または手動実行することで、osqueryデーモンを実行するエンドポイントデバイスでのシステムアクティビティ全体を継続的に可視化できます。

拡張性

osqueryは、Thriftベースの拡張APIを利用して簡単に拡張できます。チームはカスタムのテーブルとモジュールを追加して、求める情報をエンドポイントデバイスから抽出できます。ITチームとサイバーセキュリティチームは業界や用途に関係なく、osqueryの柔軟性を活かして要件に合わせることができます。

連携機能

osqueryを組織にある既存のセキュリティツールおよびプラットフォームと連携することで、クエリで抽出したデータを簡単にエクスポートできます。クエリされたデータを他のセキュリティ監視ツールおよびインシデント監視ツールを介して処理することによって、データ活用の幅が広がります。

主要なユースケース

osqueryの機能と拡張性は多くのユースケースで役立ちます。特に、システム監査、セキュリティ監視、コンプライアンス、インシデント対応に関するユースケースで顕著です。

システム監査

osqueryを使用して、チームはデバイスの理想的な状態を表すクエリを定義できます。このクエリを使用して、セキュアなシステムに必要なすべてのソフトウェア、設定、システム状態を定義できます。チームは、組織のセキュリティポリシーに合致するシステムを拡張性のある方法で（すべてのオペレーティングシステムやデバイスタイプにわたる場合でも）監査できます。

セキュリティモニタリング

osqueryは、組織全体ですべての接続デバイスの発見可能性と可視性を考慮し、セキュリティの異常と潜在的なセキュリティインシデントを積極的に監視、検出できるよう、サイバーセキュリティチームを支援します。また、積極的な監視なしでは見落とされがちな未承認のインストールまたは物理デバイス（USBドライブなど）の検出に優れています。

コンプライアンス

規制された多くの業界の組織には、システムが自社または地域のセキュリティ基準を満たしていることを実証するための報告要件があります。osqueryでは、SQLライクなクエリによって、コンプライアンス報告のために必要な情報を効率的かつ再利用可能な方法で収集できます。クエリは組織内のすべてのデバイスおよびオペレーティングシステムで使用できるため、サイバーセキュリティチームは、単調かつ間違いが起こりやすい手作業にかかる時間を節約できます。osqueryによって、コンプライアンス基準を満たすレポートを作成するタスクが劇的に簡素化されます。

インシデント対応

osqueryの情報収集によって獲得したオブザーバビリティ（可観測性）の向上は、インシデント対応に大いに役立ちます。インシデント対応の調査フェーズ時にアドホッククエリを作成することによって、セキュリティチームは侵害に巻き込まれて影響を受けているすべてのデバイスを特定し、疑わしい振る舞いを示しているシステムをすばやく発見できます。

osqueryの使用に関するベストプラクティス

osqueryを実行する際に必須のベストプラクティスを以下に示します。

• 効率化を実現するためのクエリを作成し、テストする：エンドポイントデバイス上でクエリを実行する際は、クエリによるパフォーマンスへの影響を評価することが極めて重要です。複雑さと実行頻度によっては、クエリがデバイスに影響を及ぼす可能性があります。したがって、組織は獲得した情報または利点に対するクエリの影響を考察する必要があります。
• クエリを継続的に監視、調整する：新たに出現する脅威や進化する脅威に基づいてクエリを継続的に監視、レビュー、調整することは、このような新たな脅威をクエリで効果的に検出するために極めて重要です。
• osqueryを他のセキュリティツールと併用する：osqueryを他のセキュリティツールと併用することでosqueryの機能が強化され、エンドポイントデバイスの可視性が向上します。これを実現するには、osqueryの出力データを他のセキュリティプラットフォームに送信して効果的に整理、監視、応答します。

ITの自動化ソリューションでosqueryのデータを活用

osqueryは機能豊富なデバイス監視と分析のソリューションであり、組織が自社のネットワーク上で動作するエンドポイントデバイスを把握するために使用できます。osqueryの重要な特徴は、SQLライクな言語を使用してデバイスをクエリできることです。チームはこのデバイスデータを使用して、リアルタイムのIT運用、セキュリティ監視、コンプライアンスアクティビティを自動化し、時間を大幅に節約できます。

ITとセキュリティの日常のワークフローにAIと自動化を導入するモジュールであるCrowdStrike Falcon® for ITを使用して、osqueryから取得したデータをさらに強化できます。AIネイティブのCrowdStrike Falcon®プラットフォームの一部であるFalcon for ITを使用することで、チームはosqueryを使用してIT環境全体に対するクエリを実行し、意思決定の向上に役立つ迅速かつ実用的なインサイトを生成できます。

組織におけるITチームとセキュリティチーム間の障壁の打破、ポイント製品の統合、優れたROIの達成にFalcon for ITがどのように役立つのかについて詳しくは、Webサイトにアクセスし、今すぐデモを予約してください。