コンテナセキュリティベストプラクティスのための4つのステップ：コンテナのリスク

コンテナには特有のリスクがある。これを正しく認識して対策を講じるにはどうすればいいのか。コンテナを安全に活用するための4つのステップを紹介する。

[Alan Taberham and Niall Quinn，Computer Weekly]

iStock.com/SunnyGraph

　コンテナの概念は「Linux」から始まり、2013年に「Docker」が主流に押し上げた。オーケストレーションレイヤーの進化によってコンテナの機能は成熟と拡大を続け、NetflixやPayPal Holdingsなど、特にハイパースケールクラウドサプライヤーのプラットフォームやマイクロサービスアーキテクチャではその傾向が強い。

　業務でコンテナの安全な導入と継続的な利用を支えるCISO（最高情報セキュリティ責任者）は、コンテナがもたらす脅威とリスクに対処できることを確認しておかなければならない。IT資産の成長に伴って複雑さやサイズが増していくことはコンテナに限ったことではない。だが、コンテナにはCISOが検討すべき4つの分野がある。

1．ペースを維持し、手作業による再構築に圧倒されないように、DevSecOpsを使ってセキュリティチーム内のコードパイプラインに関するメンタリティーを確保する

　コンテナ化したアプリケーションのコードへのパッチ適用には、コンテナのベースイメージの更新とコンテナの再構築・再デプロイが必要だ。コンテナは最新状態にしておかなければならない。その課題を乗り越えるには、セキュリティの専門家が開発者チームの一員になることが重要だ。

　全てのDevSecOpsパイプラインと同様、コンテナイメージに埋め込まれる形でハードコードした資格情報の漏えい、脆弱（ぜいじゃく）性のスキャン、そのソフトウェアにパッケージされる依存関係の信頼度の決定についても予防措置を講じる必要がある。脆弱性検出の改善に役立つこうしたアクティビティーは、全てコストの削減につながる。パッチを適用するには、コンテナを停止して置き換え、再起動できる必要があることを忘れてはならない。

2．スケールに対応できる構成管理とセキュリティツールを導入する

　効果的な構成管理は不可欠だ。この構成管理の課題をサポートするのがオーケストレーションサービス（「Kubernetes」「Amazon Elastic Container Service」「Azure Container Service」）、Micro Focus Internationalの「Configuration Management」などのCMDB（コンテナネイティブ構成管理データベース）やコンテナのラベル付け／タグ付けのポリシーだ。これらと並行して、ネットワークのセキュリティ、ログ、ホストOS、コンテナセキュリティを管理するアプローチも必要だ。

　コンテナエコシステムの内外の脅威からコンテナを保護する方法が必要だ。マクロレベルの方法としては、リスクゾーン（Dockerの用語では「ポッド」）を導入する。コンテナはこのゾーン内なら自由に相互通信できる。だが、ゾーンの境界をまたぐとファイアウォールのルールが適用される。マイクロレベルの方法としては、コンテナイメージを備えたエージェントを導入する。これにより、動的に更新するかCI/CDパイプラインにファイアウォールのルールを組み込むことができる。どちらの方法にも、IT資産全体にわたって標準化したアプローチに自動コンプライアンスレポートを組み合わせる必要がある。

3．コンテナのリソース管理とホストの影響が及ぶ範囲の保護を実装する

続きを読むには、［続きを読む］ボタンを押して
ください（PDFをダウンロードします）。

関連記事

企業が絶対知っておくべきコンテナセキュリティの弱点

コンテナとDevOpsに求められるセキュリティ

コンテナセキュリティにゼロトラストを適用すべき理由

実はリスクが多いコンテナのセキュリティを確保する方法

コンテキストベースセキュリティへの期待と残念な欠落点