実はリスクが多いコンテナのセキュリティを確保する方法コンテナはセキュリティホールまみれ?

リポジトリで公開されているコンテナの多くには多数の脆弱性が含まれており、さらに改ざんされるリスクもある。コンテナからコンテナへ、リスクが水平移動する恐れもある。これらにどう対処すればいいのか。

2019年11月21日 08時00分 公開
[Aaron TanComputer Weekly]

 コンテナにはさまざまなメリットがある。だが、それに伴ってアーキテクチャやプラクティスに変化が起き、新たな課題やチャンスも生まれる。

 これまでのセキュリティモデルは、複数階層のセキュリティ製品を使うことでITシステムの課題に対処してきた。これによってアジャイル開発の天敵となるストレスや低速なプロセスが生み出されていた。だが新しいアプローチは結果を重視し、テクノロジーツールやプラクティスを活用してセキュリティを確保する。

 継続的デリバリー(CD)において、セキュリティの鍵となるのが自動化だ。開発者はコンテナを使うことで、顧客のニーズに集中してコードを素早く作成できる。だが、広く使われているコンテナイメージとパブリックコンテナリポジトリがサプライチェーン攻撃を受けた場合、自動化とコンテナインフラの規模によっては被害が悪化する恐れがある。

Docker Hubのハッキング

 2019年4月、世界最大のコンテナイメージのライブラリとコミュニティーである「Docker Hub」がハッキングを受け、約19万人(Dockerの顧客ベースの5%)のユーザー名、ハッシュ化されたパスワード、GitHubとBitbucketのアクセストークンが漏えいした。

 さらに、Kenna Securityが2019年に実施した調査によって、Docker Hubのコンテナイメージトップ1000の多くに何らかの脆弱(ぜいじゃく)性が含まれていることが分かった。

 最も古いコンテナは150万回利用されており、未解決の脆弱性は431件以上に上るという。約170万回利用されたkeyvanfatehi/sinopiaコンテナには総計2000件以上の脆弱性が見つかっている。

 だが脅威検出と脆弱性へのパッチ適用は、コンテナセキュリティの側面のほんの一部にすぎない。この件に関してはRed Hatが「コンテナ・セキュリティの10大要素」として詳しく解説している。

コンテナの全体的なセキュリティ確保

 Red Hatのアジア太平洋部門でアプリケーションプラットフォーム製品の地域製品管理ディレクターを務めるビシャール・ガリワラ氏によると、コンテナのセキュリティを全体的に確保するには、これらの層(ホストOS、ネットワーク、ストレージ、コンテナ化アプリケーションにアクセスを付与するAPI)が必要になるという。

 Red Hatのモデル中で最も重要なのがコンテナホスト(通常はLinuxサーバ)のセキュリティだと指摘するガリワラ氏は次のように話す。「コンテナホストに脆弱性があれば、コンテナ管理プラットフォーム全体が侵害される恐れがある」

 コンテナのセキュリティを確保するには、信頼性の高いソースとレジストリを使わなければならない。この点についてはPivotalのウォルター氏も強調している。「コンテナプラットフォームは、ビルド済みのイメージを運用環境にプッシュする前にレジストリに格納する。レジストリが侵害されると、運用環境に導入されるイメージを攻撃者が変更できる。そのため、レジストリを厳しく管理統制することが不可欠だ」

 Red Hatはコンテナカタログを用意し、さまざまなミドルウェア、データベース、言語ランタイムの認証済みコンテナイメージを一覧にしている。「例えばNode.jsに重大な脆弱性があれば、Red HatのNode.jsの全コンテナが新しいセキュリティ修正プログラムによって全て自動的に再構築される」(ガリワラ氏)

 レジストリに関しては、Red Hatは「OpenShift」のコンテナレジストリへのアクセスを統制する厳しい制御を構築している。開発者がイメージをビルドする際は、脆弱性スキャンなどの一連のポリシーやプロセスを適用しなければ、そのイメージは使用可能とは認定されない。

 CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインにまたがるビルドプロセスの管理も、セキュリティ脆弱性を調査するための鍵になるとガリワラ氏は語る。Synopsysの「Black Duck Hub」やJFrogの「Xray」などのスキャナーを使ってリアルタイムに既知の脆弱性を確認すれば、開発者はセキュリティホールを特定し、必要に応じてインフラ、ミドルウェア、アプリケーションレベルでコンテナイメージを再構築することが可能だ。

 コンテナの展開に際しては、クラスタ内に展開できるものを制御することが必要だ。「例えば、適切に記述されていないコードが原因でルートアクセスを求めるコンテナが導入されることがあるが、こうしたことを防ぐ必要がある」とガリワラ氏は言う。

不適切な分離

 コンテナオーケストレーションプラットフォームを適切に管理すれば、ホストやその他のコンテナのセキュリティリスクが軽減される。だが、名前空間とファイルシステムが不適切に分離されることが依然としてよくあるとPivotalのウォルター氏は指摘する。

 特権コンテナにも懸念がある。特権コンテナでは、コンテナの管理者がホストの実質的な権限を得ることができる。ウォルター氏は次のように語る。「同様に、共有フラットネットワークで全てのコンテナアプリケーションをホストすることにより、侵害されたアプリケーションから別のアプリケーションにリスクが水平移動するリスクが高まる」

 「セキュリティチームは、使用中のネットワーク層にトラフィックを制限して、アプリケーションが相互通信する際は宣言的なビジネスロジックが基盤になるようにする必要がある」

 また、企業がコンテナアプリケーションを展開するにつれ、API呼び出しを管理・認証するためのAPI管理が不可欠になる。トラフィックのスムーズな流れを維持するためであり、Webシングルサインオン(SSO)をサポートするためでもある。

 Red Hatのガリワラ氏によると、フェデレーション導入モデルでは、複数のパブリッククラウドとオンプレミスデータセンターでセキュリティとアクセス制御を同レベルに維持する役割を、承認機能や認証機能と共にAPI管理が担っているという。

 だが、コンテナとモノリシックアプリケーションは、近い将来まで共存し続けると予想される。現在ほとんどの企業がアプリケーションのポートフォリオをリファクタリングし、プラットフォームを切り替え、ホストを変更するためにアプリケーションの最新化戦略を立てている。

 コンテナアプリケーションとレガシーアプリケーションが点在する環境のセキュリティを管理する一般的なアプローチを「Two-Speed IT」(2速IT)という。耐用期間の長いサーバには従来のセキュリティポリシーと制御を使い、変化の少ない一時ワークロードに、より動的な方法、つまり継続的な監査と検査を使用するアプローチを指す。

 このアプローチは、各エコシステムで適切な手法を使うメリットを提供し、コンテナの動的な性質に対応するように構築されていない従来のポリシーのためにイノベーションが遅れるのを防ぐ。

 既存のモノリシックサーバを保護するのにコンテナの不変、動的、かつ一時的な性質が活用されないのはよくあることだが、それではもったいないとウォルター氏は語る。

 「ユーザーが使う重要な機能をマイクロサービスにリファクタリングすれば(しばしば侵害の原因となる)パッチ適用が難しいアプリケーションからユーザーの機器を保護することができる。このアプローチは、モノリシックなバックエンドアプリケーションを変更する必要性を減らすことで継続的な攻撃のリスクを軽減する。そして、不正アクティビティーの検出をしばしば妨害するノイズを減らす」(ウォルター氏)

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/05/10 UPDATE

  1. 邵コ�ゥ郢ァ蠕娯味邵コ莉」縲堤クコ髦ェ窶サ邵コ�ス�具ソス貅伉€ツ€邵コ�セ邵コ霈板ー邵コ�ョ邵イ蠕後Ι郢晢スシ郢ァ�ソ雎ャ竏晢ソス邵イ髦ェ�帝ォヲ�イ邵コ邨カツ€�ス11陋滉ケ晢ソス髫補悪縺帷ェカ�ス
  2. 郢ァ�シ郢晢スュ郢晏現ホ帷ケァ�ケ郢晏現�ス鬨セ�イ陋ケ荵滂スウ�サ�ス貅伉€ツ€邵イ蠕後◇郢晢スュ郢ァ�ケ郢ァ�ソ郢晢スウ郢晢ソス縺�ケ晢スウ郢ァ�ー霑夲スケ隶難スゥ邵イ謳セ�シ�スZSP�ス蟲ィ竊堤クコ�ッ闖エ霈板ー
  3. Apple郢ァ蛛オ笆。邵コ�セ邵コ蜷ョツ€諛会スク閧エ�ュ�」邵コ�ェiPhone闖ォ�ョ騾�ソスツ€譏エ�ス隰�唱蜩ィ邵コ�ィ陷奇スア鬮ッ�コ隲、�ァ
  4. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「鬮ョ�ス螻ョBlack Basta邵コ�ョ闔ィ螟奇スゥ�ア邵コ譴ァ�オ竏晢ソス邵イツ€隴丞シア�臥クコ荵昶�邵コ�ェ邵コ�」邵コ貊灘愛隰ヲ�スツ€�ス�ス遯カ諛域た鬮サ�ウ遯カ�ス
  5. 邵イ迹夲スコ�ォ闔会ス」鬩・莉」�定ャセ�ッ隰�シ披鴬邵イ蝣コ�サ�・陞滓じ�ス郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「陝�スセ驕イ謔カ�ス隴幢スャ陟冶侭竊鍋クコ繧�ス狗クコ�ョ邵コ蜈キ�シ�ス
  6. 邵イ遯殫p Store邵イ髦ェ��クイ髫�oogle Play邵イ髦ェ縲堤ェカ諛キ莠幃ォッ�コ邵コ�ェ郢ァ�「郢晏干ホ懃ェカ譏エ�帝囎蛹コ�・�オ郢ァ竏夲ス玖ュ�スケ雎包ソス
  7. 闔�閧イ�ョ蜉ア��滋�コ隰�€カ�ク蟠趣スカ�ウ邵コ�ァ郢ァ繧奇スォ�ヲ郢ァ竏壺�邵コ�スツ€遯櫑郢晢スェ郢ァ�ケ郢ァ�ッ驍ゑス。騾�ソスツ€髦ェツ€ツ€2陞滂スァ郢晁シ釆樒ケ晢スシ郢晢ソス郢晢スッ郢晢スシ郢ァ�ッ邵コ�ョ雎「�サ騾包スィ雎戊シ費ソス�ス�ス
  8. 闖ォ�。鬯�スシ邵コ蜉ア窶サ邵コ�ス笳�Web郢ァ�オ郢ァ�、郢晏現窶イ邵コ�セ邵コ霈板ー邵コ�ョ隲「貊捺イ定イ�腸�シ貅伉€ツ€邵イ譴ァ�ー�エ鬯滂スイ邵コ�ソ陜」�エ陜吝玄蛻、隰ヲ�スツ€髦ェ�ス隰�唱蜩ィ邵コ�ィ邵コ�ッ
  9. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「邵コ�ョ陷企�醍�闔会ス・闕ウ鄙ォ窶イ遯カ諛岩旺邵コ�ョ關難スオ陷茨ス・驍ィ迹夲スキ�ッ遯カ譏エ�定ャ費スェ騾包スィ遯カ陬慊€謌奇スヲ遏ゥ邃�クコ譁撰シ�ケァ蠕娯螺郢晢スェ郢ァ�ケ郢ァ�ッ邵コ�ィ邵コ�ッ�ス�ス
  10. Android郢ァ�ケ郢晄ァュ�ス邵コ讙趣ス、�コ邵コ�ス7邵コ�、邵コ�ョ遯カ諛キ莠幃ォッ�コ邵コ�ェ陷茨ソスツ€蜷ョツ€譏エ竊堤クコ�ッ�ス貅伉€ツ€闔臥ソォ笘�クコ闊鯉ス�ケァ荵昶�邵コ髦ェ�ス郢晢スォ郢ァ�ヲ郢ァ�ァ郢ァ�「陝�スセ驕イ�ス

実はリスクが多いコンテナのセキュリティを確保する方法:コンテナはセキュリティホールまみれ? - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。