コンテナからホストシステムに抜け出す「コンテナエスケープ」を引き起こす脆弱性が、セキュリティ担当者にとって新たな問題となっている。コンテナエスケープによる被害を防ぐ方法を紹介しよう。
コンテナが稼働しているホストシステムに、コンテナ経由で攻撃を仕掛ける「コンテナエスケープ」の脅威は絵空事ではない。オープンソースのコンテナランタイム(コンテナの実行に必要なソフトウェア)の筆頭格「runc」に見つかった「CVE-2019-5736」など、コンテナエスケープを可能にする脆弱(ぜいじゃく)性は実際に存在するからだ。セキュリティ担当者は、コンテナエスケープにつながる脆弱性に対処する上で、以下の3つのポイントをよく理解しておく必要がある。
第一に、利用中のクラウドサービスへの影響については、クラウドサービスの種類ごとに分けて考えることが重要だ。コンテナをIaaS(Infrastructure as a Service)に配置しているケースでは、コンテナとそのホストシステム全体をそのIaaSで運用することが選択肢に入る。この場合、パッチを適用したり、コンテナランタイムのコンポーネントを構成したりする責任は、コンテナを運用する企業にあると言える。IaaSがたいていの場合、責任分担モデルを採用しているからだ。
PaaS(Platform as a Service)やIaaSでコンテナを利用して、マイクロサービスアーキテクチャに基づくアプリケーションを運用する場合を考えてみよう。この場合コンテナホストとコンテナランタイムのプロセスは、クラウドベンダーの管理下にあることが一般的だ。セキュリティ担当者は、脆弱なコンポーネントに対するパッチの適用をクラウドベンダーに委ねることになる。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...
Googleの独占市場が崩壊? 迫られるChrome事業分割がもたらす未来のシナリオ
本記事では、GoogleがChrome事業を分割した後の世界がどのようなものになるのか、そして...
ノンアルクラフトビールが急成長! 米新興ブランドのCMOはなぜ「大手の市場参入を歓迎」するのか?
Athletic BrewingでCMOを務めるアンドリュー・カッツ氏は、大手企業がノンアルコールビー...