2020年02月07日 05時00分 公開
特集/連載

「コンテナエスケープ」の脅威と対策【後編】コンテナ経由でホストを攻撃 「コンテナエスケープ」に備える3大ポイント

コンテナからホストシステムに抜け出す「コンテナエスケープ」を引き起こす脆弱性が、セキュリティ担当者にとって新たな問題となっている。コンテナエスケープによる被害を防ぐ方法を紹介しよう。

[Dave Shackleford,TechTarget]

関連キーワード

Linux | セキュリティ | 仮想化 | 脆弱性 | Docker


 コンテナが稼働しているホストシステムに、コンテナ経由で攻撃を仕掛ける「コンテナエスケープ」の脅威は絵空事ではない。オープンソースのコンテナランタイム(コンテナの実行に必要なソフトウェア)の筆頭格「runc」に見つかった「CVE-2019-5736」など、コンテナエスケープを可能にする脆弱(ぜいじゃく)性は実際に存在するからだ。セキュリティ担当者は、コンテナエスケープにつながる脆弱性に対処する上で、以下の3つのポイントをよく理解しておく必要がある。

  1. 利用中のクラウドサービスへの影響
  2. 対策として利用できる構成オプション(会員限定)
  3. コンテナオーケストレーションツールの潜在的リスク(会員限定)

ポイント1.利用中のクラウドサービスへの影響

 第一に、利用中のクラウドサービスへの影響については、クラウドサービスの種類ごとに分けて考えることが重要だ。コンテナをIaaS(Infrastructure as a Service)に配置しているケースでは、コンテナとそのホストシステム全体をそのIaaSで運用することが選択肢に入る。この場合、パッチを適用したり、コンテナランタイムのコンポーネントを構成したりする責任は、コンテナを運用する企業にあると言える。IaaSがたいていの場合、責任分担モデルを採用しているからだ。

 PaaS(Platform as a Service)やIaaSでコンテナを利用して、マイクロサービスアーキテクチャに基づくアプリケーションを運用する場合を考えてみよう。この場合コンテナホストとコンテナランタイムのプロセスは、クラウドベンダーの管理下にあることが一般的だ。セキュリティ担当者は、脆弱なコンポーネントに対するパッチの適用をクラウドベンダーに委ねることになる。

ポイント2.対策として利用できる構成オプション

ITmedia マーケティング新着記事

news125.jpg

エコ活動・SDGsへの意識 「フードロス」「廃プラスチック」に高い関心――CCC調査
エコ・環境問題への関心や関連トピックスへの認知度などを調査しています。

news115.jpg

国内アフィリエイト市場、仮想通貨やロボアドバイザー関連商材の成長で金融分野が拡大――矢野経済研究所調べ
矢野経済研究所の調査によると2019年度の国内アフィリエイト市場規模は前年度比8.7%増で...

news040.jpg

アノニマスリードへの対応からインサイドセールスまで、MAツールを使った体制を構築――ONE COMPATH
20〜40代女性を中心に利用されている国内最大級の電子チラシサービス「Shufoo!」を運営す...