コンテナセキュリティの基礎知識【後編】「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性

コンテナとオーケストレーターを安全に運用する上で、対処すべき代表的な4種類の脆弱性がある。それらの概要と、脅威を軽減する手段を紹介する。

[Johna Till Johnson，TechTarget]

　前編「いまさら聞けない『コンテナ』『オーケストレーター』の仕組みと役割」では、アプリケーションの稼働環境を仮想化する「コンテナ」と、その管理やデプロイ（配備）を効率化する「コンテナオーケストレーター」（「コンテナオーケストレーションツール」とも。以下、オーケストレーター）の基礎知識を紹介した。後編では、コンテナやオーケストレーターに関わるセキュリティリスクと、その対策について説明する。

併せて読みたいお薦め記事

コンテナ導入前の基礎知識

• 仮想マシンとコンテナ　何が違い、どう使い分けるべきか？
• Dockerを導入する前に企業が絶対に知っておくべきこと
• コンテナ管理ツールは「Docker」だけではない　主要ツールを紹介

Kubernetes活用のヒント

• Kubernetes管理ツール「NKS」「Cloudify」「Terraform」「Rancher」を比べた
• マインクラフト交流サイトが「Kubernetes」を活用　その独自の管理方法とは？

コンテナやオーケストレーターの代表的な脆弱性

　コンテナとオーケストレーターの脆弱（ぜいじゃく）性の大半は、サイバーセキュリティ専門家にとってなじみがあるだろう。というのも、これらの脆弱性はOSとアプリケーションが持つ典型的な脆弱性だからだ。具体的には、次の4種類がある。

• アクセスと承認の脆弱性
• APIサーバへのアクセスの脆弱性
• コンテナイメージの脆弱性
• コンテナ間のトラフィックの脆弱性

　これら4つの脆弱性について紹介しよう。

脆弱性1．アクセスと承認の脆弱性

　前編で紹介したTesla Motorsと電子商取引構築サービスを手掛けるShopifyの事例では、どちらもアクセスと承認に原因があることは注目に値する。Teslaのケースでは、システム構成に不備があり、オーケストレーター「Kubernetes」のセキュリティを確保できていなかった。その結果、Kubernetesを経由してシステムが侵害を受けた。Shopifyのケースでは、攻撃者はAPI（アプリケーションプログラミングインタフェース）サーバに不正アクセスし、コンテナクラスタを操作できる脆弱性が見つかった。

　どのアプリケーションとOSについてもいえることだが、開発者は全てのアクセス・承認の構成とセキュリティ確保に細心の注意を払わなければならない。そのためには、アクセスをロックダウン（制限）し、修正プログラムを適用してシステムを最新状態に保つ必要がある。

脆弱性2．APIサーバへのアクセスの脆弱性