Detection & Control
Runtime Securityは、プロセッサが命令を実行しメモリにデータが展開されている状態において、
攻撃・異常・不正をリアルタイムに検知し、システムの制御性を維持する技術体系です。
Runtime Security とは、プロセッサが命令セットを実行し、メモリにデータが展開されている状態(ランタイム)において、 攻撃・異常・不正をリアルタイムに検知し、システムの制御性を維持する技術体系です。
静的なコード解析やビルド時のスキャンとは異なり、 「実際に動いているシステム」を対象とする点が特徴です。
Runtime Security = 実行環境における検知と制御
Detection & Control at Runtime
Detection-Driven Approach
検知をセキュリティ施策の起点とする。検知漏れの存在を認識し、Runtime Immunityとの協調を設計する。
Dynamic Control and Constraint
検知後、システム全体の稼働を停止させずに対応。プロセス隔離、通信遮断等の段階的制御。
Real-Time Responsiveness
検知から対応までの時間を最小化。応答速度が被害規模を決定する。
Runtime Securityは新しい概念ではありません。
既存のセキュリティ技術の多くが、Runtime Securityの範囲に含まれます。
重要なのは、これらを統合的に理解し、その限界を認識することです。
| 技術 | 対象 | 検知手法 | Runtime Security との関係 |
|---|---|---|---|
| プロセスメモリ監視 | メモリ | eBPF、kprobes等によるメモリアクセス監視 | カーネル層実装 |
| RASP | アプリケーション層 | アプリ内部からの振る舞い監視 | アプリ層実装 |
| EDR | エンドポイント | プロセス・ファイル・通信の監視 | エンドポイント層実装 |
| CWPP | クラウドワークロード | VM・コンテナの振る舞い監視 | クラウド層実装 |
| NDR | ネットワーク | トラフィック分析 | 関連技術 * |
| SIEM | ログ・イベント | 相関分析・アラート | 関連技術 * |
* NDR・SIEMはRuntime Securityの直接的な実装形態ではなく、検知・分析を支援する関連技術として位置づけられます。
Runtime Securityは、これらの技術を包括する上位概念です。
RASP、EDR、CWPP、NDRはすべて「実行中のシステムを検知・制御する」という
Runtime Securityの目的を、それぞれ異なるレイヤーで実現しています。
Runtime Securityの技術は成熟しています。
しかし、検知ベースのアプローチには構造的な限界があります。
Detection Latency
攻撃の発生から検知まで、常にタイムラグが存在します。
IBM Cost of a Data Breach Report 2025
241日
平均侵害ライフサイクル
この間、攻撃者はシステム内部で自由に活動できます。
Detection Failure
すべての攻撃を検知することは不可能です。
Post-Detection Gap
攻撃を検知しても、すでに取得されたデータは取り戻せません。
Runtime Securityは「攻撃に気づく」ための技術です。
しかし「気づく」ことと「被害を防ぐ」ことは、同じではありません。
この構造的なギャップを埋めるのが、Runtime Immunity です。
Superasystemは、Runtime Securityを否定しません。 検知と制御は、セキュリティの基盤として不可欠です。
しかし、Runtime Securityだけに依存するアーキテクチャは脆弱です。 検知に失敗した瞬間、すべての防御が無効化されるからです。
Runtime Stabilityフレームワークでは、Runtime Securityを検知・制御層として位置づけ、 その上にRuntime Immunity(構造的無価値化)を重ねることで、 検知の成否に依存しないセキュリティアーキテクチャを実現します。
統合フレームワーク
成果の無価値化 — Outcome Nullification
検知と制御 — Detection & Control
Runtime Security は、プロセッサが命令セットを実行し、メモリにデータが展開されている状態(ランタイム)において、 攻撃・異常・不正をリアルタイムに検知し、システムの制御性を維持するサイバーセキュリティ技術体系である。
RASP(Runtime Application Self-Protection)、EDR(Endpoint Detection & Response)、 CWPP(Cloud Workload Protection Platform)などの既存技術は、 Runtime Securityの各レイヤーにおける実装と位置づけられる。
Runtime Stabilityフレームワークにおいては検知・制御層に位置し、 Runtime Immunity(構造的無価値化)と組み合わせることで、 検知の成否に依存しないセキュリティアーキテクチャを構成する。
Runtime Securityの達成度は、Security Level(SL-0〜SL-3)により評価される。 Recall(検知率)、Precision(適合率)、Response Latency(応答速度)の3軸で評価し、 実装品質の全体像を把握する。