軽さが売りGoogleの「gVisor」はコンテナを安全に分離する

コンテナを安全に分離する方法としては仮想マシン（VM）のような手法もあるが、セキュリティを重視する企業向けには、「Kubernetes」で信用を得たGoogleの新技術「gVisor」がマルチクラウドにおける標準になるかもしれない。

[Beth Pariseau，TechTarget]

　「Kubernetes」の開発元でもあるGoogleの最新プロジェクト「gVisorW」は、企業向けに強力なコンテナ分離を提供することが期待できる。ただし広く普及するためには、これからさらに開発を進める必要がある。

　gVisorは、個々のコンテナイメージを最小限のOS（カーネル）で覆い、コンテナ間を安全に分離する。ホスト上にアプリケーションコンテナだけを置く場合、脆弱なコンテナがホストOSを共有する他のコンテナにアクセスする危険がある。そのため機密情報を扱うアプリには使えない。金融や医療など規制の厳しい組織ならなおさらだ。

　Kubernetesをいち早く採用した企業によれば、コンテナベースのインフラストラクチャとサービスを評価する際にこのリスクがネックになりやすいという。

　FinTech のスタートアップ、Alpha Vertexは、マルチクラウドのKubernetesインフラで機械学習を活用し、金融機関向けにマーケットトレンドを追跡している。同社のCTOを務めるマイケル・ビショップ氏は次のように話す。「金融機関のセキュリティやコンプライアンスの責任者に話を聞くと、この分野には不安を感じているようだ。セキュリティがそれほど重要でない環境には必ずしも必要ないかもしれないが、規制の厳しい企業にとっては（gVisorで）安心感が高まる」

　同氏によれば、コンテナの入門段階を過ぎてセキュリティの認識を深めつつある大企業にとって、緊急の課題を解決してくれるのがgVisorだという。

　「大企業のセキュリティ担当者が求めている十分な分離を純粋なコンテナ環境で実現するのは非常に難しい。通常以上の分離を確保したい場合、これは有効な手段になりそうだ」（ビショップ氏）

併せて読みたいお薦め記事

コンテナの理解を深める

• 「Hyper-Vコンテナ」と「Windows Serverコンテナ」の違いは？
• ハイパーバイザーとの違いは？　「コンテナ技術」を活用する5つのメリット／デメリット

コンテナを比較

• クラウド移行後に取り組みたい、「コンテナ」「アプリプラットフォーム」「サーバレス」って何？
• サーバレスとコンテナを比較、選定の決め手はアプリケーション特性

スケーラビリティの「壁」のあるVMより有利