Runtime Security Definition Document v1.1

Essential Definition and Technical Framework of Runtime Security

v1.1 (Fully Integrated Edition) · March 2025 · Public Edition

§1Conceptual Definition

§1.1Single-Sentence Definition of Runtime Security

Runtime Security: A technology framework that detects attacks, anomalies, and unauthorized activities in real time during runtime — the state in which a processor executes its instruction set (ISA) and program code and execution data are loaded into RAM — and maintains system controllability.

§1.2Expanded Definition: Detection-Based Protection

Essential Definition of Runtime

"Runtime" as used herein refers to any execution state in which a processor executes its instruction set (ISA) and program code and execution data are loaded into RAM (memory). This definition is domain-agnostic and time-independent.

§1.3Three Design Principles of Runtime Security

Principle 1: Detection-Driven Approach

Detection of attacks, anomalies, and unauthorized activities serves as the starting point for security measures. Based on the premise that no response occurs without successful detection, detection accuracy and speed are given the highest priority. The existence of detection gaps is acknowledged, and coordination with detection-independent structural protection (Runtime Immunity) is designed into the architecture.

Principle 2: Dynamic Control and Constraint

After detection, the behavior of attack processes is directly constrained, and response is executed without halting the entire system. Graduated and dynamic control measures — including process isolation, resource limitation, communication blocking, and file access control — enable flexible response to attacks.

Principle 3: Real-Time Responsiveness

Minimizing the time between attack detection and response execution is a design goal. Shorter response times reduce both the probability of attack success and the scale of damage.

§1.4Position within Runtime Stability and Contribution to 7 Attributes

Runtime Security is positioned as detection-based protection within the Runtime Stability framework.

Table 1: Runtime Security's Contribution to the 7 Attributes

Attribute	Contribution	Runtime Security's Role	Relationship with Runtime Immunity
Safety	★★★★★	Detects dangerous control operations and forces safe-side transitions	Coordinates with structural safety design
Reliability	★★★★☆	Continuous monitoring of protection functions and fault detection	Coordinates with automatic recovery mechanisms
Availability	★★★★★	Blocks attack propagation and maintains service continuity	Primary responsibility of Security
Controllability	★★★★★	Maintains system controllability even under attack	Coordinates with state awareness mechanisms
Confidentiality	★★★☆☆	Detects and restricts access to confidential data	Fundamental protection through encryption
Data Integrity	★★★☆☆	Detects and prevents data tampering operations	Coordinates with tamper-proof structures
Inexploitability	★☆☆☆☆	Effective in coordination with Immunity	Structure-based protection is primary

⚠️ NOTICE: Regarding Inexploitability: It is difficult for Runtime Security alone to achieve Inexploitability. Only through the coordination of Security's "detection and control" with Immunity's "structural nullification" can Inexploitability be realized at a high level.

§2Problems Addressed

§2.1Limitations of Conventional (Perimeter-Centric) Security

From the 20th century through the early 21st century, the majority of security relied on "perimeter defense." Firewalls, VPNs, and DMZs protected physical and logical boundaries, and everything inside was considered "safe."

However, in modern computing environments — particularly cloud, container, and microservice architectures — this premise no longer holds. Boundaries become ambiguous due to scalability requirements, internal communication increases, and once penetrated, control becomes difficult.

Runtime Security fills this gap as a technology that directly protects the "post-intrusion runtime environment."

§3Technical Definition

§3.1Implementation Forms and Detection Logic

Runtime Security implementation methods are classified by combinations of protection targets and detection technologies.

§3.2Four Implementation Forms

Form 1: Process Memory Monitoring

Uses kernel-level and user-level hooking mechanisms such as eBPF, kprobes, and uprobes to monitor process memory access and detect anomalous memory operations. Provides high detection accuracy with relatively low system overhead. Examples: Falco, Tetragon.

Form 2: Runtime Application Self-Protection (RASP)

Embeds protection capabilities within the application layer, detecting and responding to threats directly from executing code. Enables deep integration with application languages and frameworks for high-precision detection. Examples: Contrast Security, Rapid7 AppSpider.

Form 3: Cloud Workload Protection Platform (CWPP)

Monitors the execution state of entire workloads — virtual machines, containers, pods — and detects process, network, and file access activities. Supports dynamic scaling in cloud environments. Examples: Palo Alto Prisma Cloud, Aqua Security.

Form 4: Endpoint Detection and Response (EDR)

Monitors process, network, and file operations across entire endpoints (nodes), detecting threats through Indicators of Compromise (IoC) and anomaly detection. Records past process execution history, enabling root cause analysis during incidents. Examples: CrowdStrike Falcon, Microsoft Defender ATP.

§4Relationship with Existing Technologies

§4.1Relationship with RASP, CWPP, and EDR

RASP (Runtime Application Self-Protection), CWPP (Cloud Workload Protection Platform), and EDR (Endpoint Detection and Response) are all implementation forms of Runtime Security.

§5Achievement Evaluation Framework

§5.1Runtime Security Level (SL-0 to SL-3) and Three-Axis Evaluation

Core Change: Expansion of SL Evaluation to Three Axes

Conventional security evaluation often relies solely on "Recall (detection rate)," which is insufficient. By simultaneously evaluating Precision and Response Latency, the complete picture of implementation quality can be assessed.

Axis 1: Recall

Definition: The proportion of actual threats that were detected
Formula: Recall = (Threats Detected) / (Actual Threats)
Significance: Measures whether threats are being missed

Axis 2: Precision

Definition: The proportion of detections that were actual threats
Formula: Precision = (True Threats) / (Total Detections)
Significance: Prevents Alert Fatigue

Axis 3: Response Latency

Definition: Time from threat detection to response execution
Significance: Faster response minimizes damage

§5.2SL Level Definitions

Level	Recall	Precision	Response Latency	Description
SL-0	< 50%	Any	Any	No runtime protection
SL-1	≥ 50%	≥ 30%	< 60s	Basic Detection
SL-2	≥ 80%	≥ 60%	< 10s	Multi-Layer Detection
SL-3	≥ 95%	≥ 85%	< 1s	Integrated Detection

§5.3RS-6 (Maximum Level) Limitations and Notes

⚠️ NOTICE: RS-6 Definition and Limitations:

✅ RS-6 = "Maximum feasible protection"
❌ RS-6 ≠ "Complete protection"
100% detection of 0-day attacks is not practically achievable
Physical access attacks, quantum computer attacks, and side-channel attacks are outside the scope of this definition
Validity period: 2025–2030 (Classical Cryptography Era). Post-Quantum adaptation is required after 2030

§6Application Domains

Runtime Security applies to the protection of running processes across all computing environments.

Cloud environments (AWS, Azure, GCP managed services)
Container orchestration (Kubernetes)
Autonomous vehicles and connected cars
Medical devices and healthcare information systems
Critical systems in financial institutions

§7Glossary

Runtime Security Level (SL): Detection- and control-based protection level (0–3)
Recall: The proportion of actual threats that were detected
Precision: The proportion of detections that were actual threats
Response Latency: Time from detection to response
Runtime Stability Level (RS): Integrated level combining SL and IL

§8Revision History

v1.0 (March 2025): Initial release
v1.1 (March 2025) Precision Edition: Expanded SL evaluation to 3-axis (Recall + Precision + Latency). Documented RS-6 limitations.
v1.1 (March 2025) Fully Integrated Edition: Integrated v1.1 revisions into the complete v1.0 body.

§9About This Document

§9.1Purpose

This definition document establishes the essential definition of Runtime Security and systematically positions existing security technologies (RASP, CWPP, EDR, etc.) within the Runtime Stability framework.

§9.2Cross-References

Runtime Stability Definition v3.3: Overall framework concepts, design philosophy, and 7-attribute integration
Runtime Immunity Definition v1.1: Structure-based protection system (2-axis NL definition, PQN readiness)

SL / IL	IL-0	IL-1	IL-2	IL-3
SL-1	RS-0	RS-1	RS-2	RS-3
SL-2	RS-1	RS-2	RS-3	RS-4
SL-3	RS-2	RS-3	RS-4	RS-5/6※

*Runtime Stability — Technology that controls an unstoppable world. Breached, yet unshaken.*

Runtime Security 定義書 v1.1

ランタイムセキュリティの本質的定義と技術体系

v1.1（完全統合版） · 2025年3月 · 公開版

§1概念定義

§1.1Runtime Securityの一文定義

Runtime Security（ランタイムセキュリティ）：CPUが命令を実行し、メモリにデータが展開されている状態（ランタイム）において、攻撃・異常・不正をリアルタイムに検知し、システムの制御性を維持する技術体系。

§1.2定義の展開：検知ベースの保護

ランタイムの本質的定義

ここでいう「ランタイム」とは、プロセッサが命令セット（ISA）を実行し、RAM（メモリ）にプログラムコードおよび実行データが展開されている実行状態全般を指す。この定義は、領域や時代に依存しない本質的なものである。

§1.3Runtime Securityの3つの設計原則

原則1：検知駆動型アプローチ（Detection-Driven Approach）

攻撃・異常・不正の検知をセキュリティ施策の起点とする。検知が成功しなければ対応も発生しないという前提から、検知の精度と速度を最優先とする。また、検知漏れの存在を認識し、検知非依存の構造的保護（Runtime Immunity）との協調を設計する。

原則2：制御・制限による動的対応（Dynamic Control and Constraint）

検知後、攻撃プロセスの挙動を直接的に制限し、システム全体の稼働を停止させずに対応を実施する。プロセス隔離、リソース制限、通信遮断、ファイルアクセス制御など、段階的かつ動的な制御手段により、攻撃への柔軟な対応を可能にする。

原則3：リアルタイム対応性（Real-Time Responsiveness）

攻撃の検知から対応実行までの時間を最小化することを設計目標とする。応答時間が短いほど、攻撃成功の確率と被害の規模を低減できる。

§1.4Runtime Stabilityにおける位置づけと7属性への貢献

Runtime Securityは、Runtime Stabilityフレームワークにおいて、検知ベースの保護として位置づけられる。

表1：Runtime Securityの7属性への貢献度

属性	貢献度	Runtime Securityの役割	Runtime Immunityとの関係
Safety（安全性）	★★★★★	危険な制御操作を検知し、安全側へ強制	構造的安全設計と協調
Reliability（信頼性）	★★★★☆	保護機能の継続的監視と故障検出	自動復旧機構と協調
Availability（可用性）	★★★★★	攻撃蔓延を遮断し、サービス継続を維持	基本的にSecurity担当
Controllability（制御性）	★★★★★	攻撃下でもシステムを制御可能に保つ	状態把握機構と協調
Confidentiality（機密性）	★★★☆☆	機密データアクセスを検知・制限	暗号化による根本的保護
Data Integrity（完全性）	★★★☆☆	データ改ざん操作を検知・防止	改ざん不可構造と協調
Inexploitability（不成立性）	★☆☆☆☆	【Immunityとの協調で有効】	構造ベース保護が主領域

⚠️ Inexploitability（攻撃不成立性）について： Runtime Securityが単独で攻撃不成立性を達成することは困難である。Security側の「検知と制御」とImmunity側の「構造的無価値化」が協調することで、初めてInexploitabilityを高いレベルで実現できる。

§2解決する課題

§2.1従来型（境界防御中心）セキュリティの限界

20世紀から21世紀初頭にかけて、セキュリティの大部分は「境界防御」に依存してきた。ファイアウォール、VPN、DMZが物理的・論理的な境界を保護し、その内側は「安全」と見なされた。

しかし現代のコンピューティング環境——特にクラウド、コンテナ、マイクロサービス——では、この前提が成立しない。スケーラビリティのため境界が曖昧になり、内部通信が増加し、一度侵入されると制御が困難になる。

Runtime Securityは、「侵入後のランタイム環境」を直接保護する技術として、このギャップを埋める。

§3技術的定義

§3.1Runtime Securityの実装形態と検知ロジック

Runtime Securityの実装方法は、保護対象と検知技術の組み合わせで分類できる。

§3.24つの実装形態

実装形態1：プロセスメモリ監視（Process Memory Monitoring）

eBPF、kprobes、uprobe等のカーネルレベル・ユーザーレベルのフック機構を使用してプロセスメモリアクセスを監視し、異常なメモリ操作を検知する。検知精度が高く、システムオーバーヘッドも相対的に低い。例：Falco、Tetragon。

実装形態2：アプリケーション自己防御（RASP）

アプリケーション層に保護機能を組み込み、実行中のコードから直接脅威を検知し対応する。アプリケーション言語・フレームワークとの深い連携が可能で、高精度検知を実現。例：Contrast Security、Rapid7 AppSpider。

実装形態3：ワークロード保護（CWPP）

仮想マシン、コンテナ、ポッド等、ワークロード全体の実行状態を監視し、プロセス・ネットワーク・ファイルアクセスを検知する。クラウド環境での動的スケーリングに対応。例：Palo Alto Prisma Cloud、Aqua Security。

実装形態4：エンドポイント検知応答（EDR）

エンドポイント（ノード）全体のプロセス、ネットワーク、ファイルの操作を監視し、侵害指標（IoC）や異常検知により脅威を検知する。過去のプロセス実行履歴も記録し、インシデント発生時の根本原因分析が可能。例：CrowdStrike Falcon、Microsoft Defender ATP。

§4既存技術との関係性

§4.1RASP、CWPP、EDRとの関係

RASP（Runtime Application Self-Protection）、CWPP（Cloud Workload Protection Platform）、EDR（Endpoint Detection and Response）は、すべてRuntime Securityの実装形態である。

§5達成度評価フレームワーク

§5.1Runtime Security Level（SL-0～SL-3）と3軸評価

核心的な変更：SL評価を「3軸評価」に拡張

従来のセキュリティ評価では「Recall（検知率）」のみで評価されることが多いが、これは不十分である。同時にPrecision（適合率）とResponse Latency（応答速度）を評価することで、実装品質の全体像を把握できる。

軸1：Recall（再現率/検知率）

定義：実際の脅威のうち、検知された割合
式：Recall = (検知された脅威数) / (実際の脅威数)
重要性：「見落とし」がないかを測定

軸2：Precision（適合率）

定義：検知結果のうち、実際に脅威だった割合
式：Precision = (真の脅威数) / (検知された全数)
重要性：「誤検知疲れ」を防止

軸3：Response Latency（応答遅延）

定義：脅威検知から対応実行までの時間
重要性：応答が速いほど被害を最小化

§5.2SLレベル定義

レベル	Recall	Precision	Response Latency	説明
SL-0	< 50%	任意	任意	ランタイム保護なし
SL-1	≥ 50%	≥ 30%	< 60秒	基本検知
SL-2	≥ 80%	≥ 60%	< 10秒	多層検知
SL-3	≥ 95%	≥ 85%	< 1秒	統合検知

§5.3RS-6（最高レベル）の限界と注記

⚠️ RS-6の定義と限界：

✅ RS-6 = 「可能な限りの保護」
❌ RS-6 ≠ 「完全な保護」
0-day攻撃の100%検知は現実的に不可能
物理的アクセス、量子コンピュータ攻撃、サイドチャネル攻撃への対応は定義外
有効期限：2025-2030年（古典暗号学時代）。2030年以降はPost-Quantum対応が必須

§6適用領域

Runtime Securityの適用領域は、すべてのコンピューティング環境における実行中のプロセス保護を対象とする。

クラウド環境（AWS、Azure、GCP等のマネージドサービス）
Kubernetes等のコンテナオーケストレーション
自動運転車両とコネクテッドカー
医療機器・医療情報システム
金融機関の重要システム

§7用語集

Runtime Security Level（SL）：検知・制御ベースの保護レベル（0～3）
Recall（再現率）：実際の脅威のうち検知された割合
Precision（適合率）：検知結果のうち実際に脅威だった割合
Response Latency（応答遅延）：検知から対応までの時間
Runtime Stability Level（RS）：SLとILの統合レベル

§8改訂履歴

v1.0（2025年3月）：初版公開
v1.1（2025年3月）精密版：SL評価を3軸化（Recall+Precision+Latency）。RS-6の限界を明記。
v1.1（2025年3月）完全統合版：v1.0の完全な本体にv1.1修正点を統合。

§9本文書について

§9.1本定義書の目的

本定義書は、Runtime Securityの本質的な定義を確立し、既存のセキュリティ技術（RASP、CWPP、EDRなど）をRuntime Stabilityフレームワークの中に体系的に位置づけることを目的としている。

§9.2相互参照

Runtime Stability Definition v3.3：フレームワーク全体の概念・設計思想・7属性統合
Runtime Immunity Definition v1.1：構造ベースの保護体系（2軸NL定義、PQN対応）

SL / IL	IL-0	IL-1	IL-2	IL-3
SL-1	RS-0	RS-1	RS-2	RS-3
SL-2	RS-1	RS-2	RS-3	RS-4
SL-3	RS-2	RS-3	RS-4	RS-5/6※

*Runtime Stability — Technology that controls an unstoppable world. Breached, yet unshaken.*