2019年06月28日 05時00分 公開
特集/連載

「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性コンテナセキュリティの基礎知識【後編】

コンテナとオーケストレーターを安全に運用する上で、対処すべき代表的な4種類の脆弱性がある。それらの概要と、脅威を軽減する手段を紹介する。

[Johna Till Johnson,TechTarget]
画像

 前編「いまさら聞けない『コンテナ』『オーケストレーター』の仕組みと役割」では、アプリケーションの稼働環境を仮想化する「コンテナ」と、その管理やデプロイ(配備)を効率化する「コンテナオーケストレーター」(「コンテナオーケストレーションツール」とも。以下、オーケストレーター)の基礎知識を紹介した。後編では、コンテナやオーケストレーターに関わるセキュリティリスクと、その対策について説明する。

コンテナやオーケストレーターの代表的な脆弱性

 コンテナとオーケストレーターの脆弱(ぜいじゃく)性の大半は、サイバーセキュリティ専門家にとってなじみがあるだろう。というのも、これらの脆弱性はOSとアプリケーションが持つ典型的な脆弱性だからだ。具体的には、次の4種類がある。

  • アクセスと承認の脆弱性
  • APIサーバへのアクセスの脆弱性
  • コンテナイメージの脆弱性
  • コンテナ間のトラフィックの脆弱性

 これら4つの脆弱性について紹介しよう。

脆弱性1.アクセスと承認の脆弱性

 前編で紹介したTesla Motorsと電子商取引構築サービスを手掛けるShopifyの事例では、どちらもアクセスと承認に原因があることは注目に値する。Teslaのケースでは、システム構成に不備があり、オーケストレーター「Kubernetes」のセキュリティを確保できていなかった。その結果、Kubernetesを経由してシステムが侵害を受けた。Shopifyのケースでは、攻撃者はAPI(アプリケーションプログラミングインタフェース)サーバに不正アクセスし、コンテナクラスタを操作できる脆弱性が見つかった。

 どのアプリケーションとOSについてもいえることだが、開発者は全てのアクセス・承認の構成とセキュリティ確保に細心の注意を払わなければならない。そのためには、アクセスをロックダウン(制限)し、修正プログラムを適用してシステムを最新状態に保つ必要がある。

脆弱性2.APIサーバへのアクセスの脆弱性

ITmedia マーケティング新着記事

news022.jpg

中国向けマーケティング インバウンド“蒸発”をどう乗り越える?(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news063.jpg

iOS 14新機能「App Clip」を自社ビジネスに活用する方法
Appleの最新OS「iOS 14」に搭載された新機能の一つ「App Clip」を自社ビジネスに活用する...

news047.jpg

読書「好き」59.7% 新聞「読まない」67.3%――日本財団が「読む・書く」をテーマに18歳意識調査
日本財団は「読む・書く」をテーマに30回目の18歳意識調査を実施しました。