企業が絶対知っておくべきコンテナセキュリティの弱点：パッチ適用も簡単ではない

コンテナのセキュリティ対策には多くの課題がある。大量のコンテナにパッチを適用することに限定しても、検討事項は多い。コンテナの弱点になりそうなポイントを理解しておく必要がある。

[Maxwell Cooter，Computer Weekly]

iStock.com/takenobu

　ここ5〜6年、コンテナ技術がIT業界をかき乱している。コンテナ技術のメリットを生かしているITマネジャーにとって、この変化のペースは多くのチャンスを生み出している。

　ただし、コンテナ技術は既存の実装にも影響する。コンテナを採用する企業は新しい働き方に対処しなければならないことが多く、それが混乱を招く可能性がある。

　Synopsysでプリンシパルセキュリティストラテジストを務めるティム・マッケイ氏によると、企業はコンテナ化に突き進む前に、コンテナが自社にもたらすセキュリティ上のメリットと他に必要な変化について自問しなければならないという。

　コンテナ化を進める企業が理解しなければならないのは、コンテナ化によって影響を受けること、コンテナ化がビジネスの運営方法にマイナスの影響を及ぼす恐れがあることだ。だが正しく準備すればこうした摩擦の多くは回避できる。

　セキュリティ企業Aqua Security Softwareがコンテナ展開時の企業の主な懸念について調査した。その調査によると、最も多かった懸念はセキュリティだったという。つまり大半の企業が、直面する問題を完全に認識している。

　マッケイ氏によると、直面する問題には以下のような対策がある。

• アプリケーションをコンテナ化する場合、パッチ管理、アプリケーションのスケーラビリティ、災害復旧計画を確認する
• コンテナの展開によって生じるデータアクセスとログの変化を理解する
• コンテナには必要なバイナリのみを含めるようにする
• コンテナレプリカの存続期間とリソース割り当てを必要な分だけに制限する
• あらゆる形式の対話型ログインをブロックし、権限を昇格させずにコンテナが運用されるようにする

パッチの一括適用

　コンテナのセキュリティにとって特に重要なのはパッチ管理だ。マッケイ氏は次のように話す。「運用環境で実行中のコンテナにログインすると、存在する必要のない攻撃ベクトルが生まれる。コンテナイメージにパッチ管理ソフトウェアをインストールすると攻撃対象領域が増え、アプリケーション管理が複雑になる。実行中のコンテナにパッチを動的に適用すると、パッチ管理システムがオーケストレーションシステムと不和を起こす」

　これらを念頭に置いて、セキュリティ管理者はプロセスを正しい順序で実行して効果を高める必要がある。「正しい解決策は、

続きを読むには、［続きを読む］ボタンを押して
会員登録あるいはログインしてください。

関連記事

実はリスクが多いコンテナのセキュリティを確保する方法

Dockerを導入する前に企業が絶対に知っておくべきこと

Dockerのバックアップ戦略――Dockerの何を保護すべきか？

コンテナとDevOpsに求められるセキュリティ

DockerとKubernetesのさらに先へ拡大するコンテナエコシステム