2019年06月28日 05時00分 公開
特集/連載

コンテナセキュリティの基礎知識【後編】「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性

コンテナとオーケストレーターを安全に運用する上で、対処すべき代表的な4種類の脆弱性がある。それらの概要と、脅威を軽減する手段を紹介する。

[Johna Till Johnson,TechTarget]
画像

 前編「いまさら聞けない『コンテナ』『オーケストレーター』の仕組みと役割」では、アプリケーションの稼働環境を仮想化する「コンテナ」と、その管理やデプロイ(配備)を効率化する「コンテナオーケストレーター」(「コンテナオーケストレーションツール」とも。以下、オーケストレーター)の基礎知識を紹介した。後編では、コンテナやオーケストレーターに関わるセキュリティリスクと、その対策について説明する。

コンテナやオーケストレーターの代表的な脆弱性

 コンテナとオーケストレーターの脆弱(ぜいじゃく)性の大半は、サイバーセキュリティ専門家にとってなじみがあるだろう。というのも、これらの脆弱性はOSとアプリケーションが持つ典型的な脆弱性だからだ。具体的には、次の4種類がある。

  • アクセスと承認の脆弱性
  • APIサーバへのアクセスの脆弱性
  • コンテナイメージの脆弱性
  • コンテナ間のトラフィックの脆弱性

 これら4つの脆弱性について紹介しよう。

脆弱性1.アクセスと承認の脆弱性

 前編で紹介したTesla Motorsと電子商取引構築サービスを手掛けるShopifyの事例では、どちらもアクセスと承認に原因があることは注目に値する。Teslaのケースでは、システム構成に不備があり、オーケストレーター「Kubernetes」のセキュリティを確保できていなかった。その結果、Kubernetesを経由してシステムが侵害を受けた。Shopifyのケースでは、攻撃者はAPI(アプリケーションプログラミングインタフェース)サーバに不正アクセスし、コンテナクラスタを操作できる脆弱性が見つかった。

 どのアプリケーションとOSについてもいえることだが、開発者は全てのアクセス・承認の構成とセキュリティ確保に細心の注意を払わなければならない。そのためには、アクセスをロックダウン(制限)し、修正プログラムを適用してシステムを最新状態に保つ必要がある。

脆弱性2.APIサーバへのアクセスの脆弱性

ITmedia マーケティング新着記事

news153.jpg

「Indeed」「ZOOM」がワンツーフィニッシュ 米国ビジネスアプリダウンロードTOP5(2019年10月度)
世界のモバイルアプリの潮流を分析。今回はiOSとAndroidにおける米国ビジネスアプリダウ...

news073.jpg

モバイルアプリの成長を後押しするテレビCMには2つのタイプがあると判明――フラーとエム・データ調べ
フラーはエム・データと共同で、モバイルアプリに関するテレビCMの放映回数・時間とアプ...

news023.jpg

Cookieによる効果測定に不足を感じる広告宣伝担当者が増加――サイカ調査
広告配信などにおけるCookie利用の制限が検討されています。一方で、企業の広告宣伝担当...