権限を正しく設定するIT専門家が語るコンテナセキュリティのヒントと注意点

コンテナのセキュリティを確保するためには、コンテナ、ホスト、Kubernetes、アプリケーションの各構成を詳しく調べる必要がある。

[Beth Pariseau，TechTarget]

　優秀なIT部門がコンテナオーケストレーションを導入した。そこで問題になるのが、複数のソフトウェアが混在する大規模インフラの中で完全なセキュリティをどのように確保するかということだ。

　まず着手しなければならないのは、セキュリティに抜け道ができる可能性をなくすために、「Docker」と「Kubernetes」両方のデフォルト設定を変更することだ。例えば配布されているコンテナイメージのデフォルトコンポーネントとして、「docker.sock」という名前が付いたソケットを考える。このソケットが、用途を管理するためのセキュリティツールなしでマウントされたとする。このソケットに脆弱（ぜいじゃく）性があると、攻撃者はこれを使用してホストOSにアクセスし、その後バックエンドデータベースにアクセスしてデータを持ち出してしまう恐れがある。同様に、KubernetesのAPIのデフォルト設定では、コンテナから悪意のあるポッドを通じてホストOSにアクセスされる恐れがある。

　2018年9月前半に米ボストンで開催されたセキュリティカンファレンス「DevSecCon」のプレゼンテーションで、ジェイソン・パターソン氏は次のように語った。同氏は、オンラインバンキングと小売業者向けに金融取引システムを製作する企業NCRで、アプリケーションセキュリティアーキテクトを務める。「コンテナには他の仮想マシン（VM）と同じ問題もある。コンテナは、社内ネットワーク経由で相互に通信する。つまり、1つの構成ミスが環境内のほぼ全てのコンテナを危険にさらす恐れがある」

併せて読みたいお薦め記事

コンテナセキュリティの強化

• DockerとKubernetesのさらに先へ拡大するコンテナエコシステム
• Googleの「gVisor」はコンテナを安全に分離する

コンテナ管理ツールの選び方

• コンテナ管理ツールの選び方　AWS、Google、Pivotal、Red Hatなど比較
• コンテナ管理の「Kubernetes」　商用ディストリビューションとOSSを比較
• AWS vs. Google vs. Azure、各クラウドのコンテナ管理サービスを比較

重要なのはコンテナのセキュリティ構成設定