コンテナセキュリティにゼロトラストを適用すべき理由：コンテナとゼロトラスト【前編】

コンテナは有益である半面、従来型セキュリティモデルに重大な課題を突き付ける。コンテナのセキュリティにゼロトラストが必要な理由を明らかにする。

[Nicholas Fearn，Computer Weekly]

iStock.com/takenobu

　古いソフトウェア開発アプローチをコンテナに置き換える組織が増えている。その結果、アプリケーションの開発、デプロイ、拡張が以前よりもはるかに速くなった。

　だが、そうしたメリットがあるとしてもコンテナは完璧ではない。コンテナを導入するとデータ保護、コンテナイメージの脆弱（ぜいじゃく）性、サイバー攻撃、不正アクセスといった数多くのリスクにさらされるという新たな課題が生じる。こうしたリスクの緩和にゼロトラストは有効だろうか。有効だとしたら、コンテナのセキュリティにどのように適用すればよいのか。

　コンテナは開発チームの効率とスケーラビリティを高めるが、セキュリティに大きな影響が及ぶ恐れがある。多くの場合、従来の境界型セキュリティモデルはコンテナにとって適切ではなく、新たなアプローチが必要になる。

　IEEEのメンバーで英アルスター大学のサイバーセキュリティの教授を務めるケビン・カーラン氏は次のように語る。「ネットワーク、オーバーレイ、動的IPアドレスに関する複雑さと不正アクティビティーの特定に苦戦する従来型ファイアウォールの限界が重なり、コンテナのダイナミズムは従来型のセキュリティに問題を引き起こす恐れがある」

　ここで役に立つのがゼロトラストだ。カーラン教授によると、ワークロードのIDに基づくポリシーに組み合わせる形でゼロトラストを使うと、何がネットワークで通信しているのかを把握できるようになるという。同教授は本誌に次のように語った。「IDに基づくゼロトラストでは、侵害されたワークロードが通信するのを防ぐことができる」

　「データは社内でホストされるのではなく、オンプレミスとオフプレミス双方にあるさまざまなプラットフォームとサービスによってホストされる傾向がある。ゼロトラストのニーズが生まれた理由の一つがこれだ。従業員やパートナーは地理的に離れた場所にある多様な機器からアプリケーションにアクセスする。つまり、従来型セキュリティモデルは目的に合わなくなっている」（カーラン教授）

　ゼロトラストの導入に必要なものとしてカーラン教授は、

• ネットワークセキュリティポリシーの更新
• ネットワークにログインする各端末の検証
• さまざまなネットワーク、境界、マイクロセグメンテーションによるネットワークの保護
• 多要素認証の実装
• ユーザーアクセスの定期的なレビューの実施

を挙げている。

　同教授は次のように続ける。「ゼロトラストの主な応用には、ユーザーと場所に基づいたネットワークやマイクロセグメンテーションを使用するなど、新たなアプローチが求められる。IDおよびアクセス管理（IAM）、次世代ファイアウォール、オーケストレーション、多要素認証、ファイルシステムのアクセス許可の実施も必要になる」

　「導入前にラボ環境での試験プロジェクトと微調整が必要になるため、ゆっくりと段階的に行うのが理想だ。ゼロトラストは従業員にとって必ずシームレスになるようにすることが不可欠だ」

ゼロトラストの必要性を喚起するもの

　専門家の多くは、コンテナの導入が増加するにつれ、ゼロトラストの必要性が高まると考えている。ソフトウェア企業NetskopeでCISO（最高情報セキュリティ責任者）を務めるニール・サッカー氏もカーラン教授の意見に同調する。同氏は、コンテナをデプロイするセキュリティチームにとってゼロトラストは最も重要だと話している。

　セキュリティチームの基本的なルールとしては、

続きを読むには、［続きを読む］ボタンを押して
ください（PDFをダウンロードします）。

関連記事

企業が絶対知っておくべきコンテナセキュリティの弱点

実はリスクが多いコンテナのセキュリティを確保する方法

マイクロサービスはセキュリティの複雑性を増大させる

コンテキストベースセキュリティへの期待と残念な欠落点

AWSが実践しているセキュアなクラウドサービス構築の秘密