「コンテナエスケープ」の脅威と対策【後編】コンテナ経由でホストを攻撃 「コンテナエスケープ」に備える3大ポイント

コンテナからホストシステムに抜け出す「コンテナエスケープ」を引き起こす脆弱性が、セキュリティ担当者にとって新たな問題となっている。コンテナエスケープによる被害を防ぐ方法を紹介しよう。

[Dave Shackleford，TechTarget]

　コンテナが稼働しているホストシステムに、コンテナ経由で攻撃を仕掛ける「コンテナエスケープ」の脅威は絵空事ではない。オープンソースのコンテナランタイム（コンテナの実行に必要なソフトウェア）の筆頭格「runc」に見つかった「CVE-2019-5736」など、コンテナエスケープを可能にする脆弱（ぜいじゃく）性は実際に存在するからだ。セキュリティ担当者は、コンテナエスケープにつながる脆弱性に対処する上で、以下の3つのポイントをよく理解しておく必要がある。

1. 利用中のクラウドサービスへの影響
2. 対策として利用できる構成オプション（会員限定）
3. コンテナオーケストレーションツールの潜在的リスク（会員限定）

併せて読みたいお薦め記事

コンテナのセキュリティ対策

• 「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性
• IT専門家が語るコンテナセキュリティのヒントと注意点
• 実はリスクが多いコンテナのセキュリティを確保する方法

コンテナの基礎知識

• 仮想マシンとコンテナ　何が違い、どう使い分けるべきか？
• いまさら聞けない「コンテナ」「オーケストレーター」の仕組みと役割

ポイント1．利用中のクラウドサービスへの影響

　第一に、利用中のクラウドサービスへの影響については、クラウドサービスの種類ごとに分けて考えることが重要だ。コンテナをIaaS（Infrastructure as a Service）に配置しているケースでは、コンテナとそのホストシステム全体をそのIaaSで運用することが選択肢に入る。この場合、パッチを適用したり、コンテナランタイムのコンポーネントを構成したりする責任は、コンテナを運用する企業にあると言える。IaaSがたいていの場合、責任分担モデルを採用しているからだ。

　PaaS（Platform as a Service）やIaaSでコンテナを利用して、マイクロサービスアーキテクチャに基づくアプリケーションを運用する場合を考えてみよう。この場合コンテナホストとコンテナランタイムのプロセスは、クラウドベンダーの管理下にあることが一般的だ。セキュリティ担当者は、脆弱なコンポーネントに対するパッチの適用をクラウドベンダーに委ねることになる。

ポイント2．対策として利用できる構成オプション