「コンテナセキュリティ」とは――コンテナを活用する人が知っておくべき6つのポイントコンテナを狙った攻撃事例も紹介(1/2 ページ)

エンジニアならば避けては通れない技術となった「コンテナ」に“脅威”はないのだろうか? “コンテナセキュリティ”が考慮すべき6つのポイントや、どこで脅威が混入する可能性があるのかをトレンドマイクロに聞いた。

» 2019年10月16日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

トレンドマイクロ ビジネスマーケティング本部 エンタープライズソリューション部 ハイブリッドインフラセキュリティグループ シニアスペシャリスト 福田俊介氏

 運用管理が楽になり、クラウドとの親和性も高い――エンジニアならば避けては通れない「コンテナ」技術のメリットは、既に多くのエンジニアが肌で感じているものだろう。コンテナアプリケーションを動かすまでには、コンテナイメージを作成し、レジストリにアップロードし、そのイメージをデプロイ先にダウンロードし、コンテナを実行するというプロセスを踏む。コンテナアプリケーションの構成はDockerfileなどのテキストで表現できることもあり、構成管理は可読性も高い。

 では、そこに“脅威”はないのだろうか? コンテナ技術が普及期に入ったこともあり、昨今では“コンテナセキュリティ”に関しても注目が集まっている。しかしコンテナセキュリティが指すポイントについてはさまざまな意見があり、「いったいどこを守るべきなのか」「どこに脅威があるのか」がよく分からないというエンジニアも少なくないだろう。

 そこで今回、トレンドマイクロ ビジネスマーケティング本部 エンタープライズソリューション部 ハイブリッドインフラセキュリティグループ シニアスペシャリストの福田俊介氏に、“コンテナセキュリティ”が考慮すべき6つのポイントを紹介してもらい、どこで脅威が混入する可能性があるのかを解説してもらった。

図解:6つのポイントを概説する

 福田氏は“コンテナセキュリティ”が指すポイントとして、下記の6つを挙げる。

  1. 安全なイメージの上に構築できているか?
  2. レジストリの保護がなされているか?
  3. オーケストレーションツールが保護できているか?
  4. コンテナネットワーク、アプリケーションの保護がなされているか?
  5. コンテナホストが保護されているか?
  6. ビルドラインパイプが保護されているか?
コンテナセキュリティで考慮すべき6つのポイント

 このうち、特に注意すべきポイントをさらに深く掘り下げてみよう。

1.安全なイメージの上に構築できているか?

 まずはコンテナイメージに存在するリスクを考えてみる。コンテナアプリケーションを実行するには、あらかじめ作成されたコンテナイメージを基に動かすことになるが、開発効率を高めるため、第三者が作成したコンテナイメージを活用する場合もあるだろう。その際に、コンテナイメージ内に不正なプログラムや脆弱(ぜいじゃく)性が含まれる場合がある。

 この対策として、コンテナイメージをレジストリにアップロードする際に、その中に機密情報が含まれないことをスキャンする、公開されたイメージをダウンロードする際に、その中に脆弱性が含まれないかを確認する機能が必要だ。

安全なイメージの上にコンテナを構築する

2.レジストリが保護されているか?

 コンテナイメージを保管するレジストリが狙われる点も考慮すべきだ。適切な管理が行われていないレジストリが狙われることで、コンテナイメージを改ざんされ、不正なプログラムが混入するリスクがある。

 そのため、自前でレジストリを構築する場合はサーバのIDS/IPS(不正侵入検知システム/不正侵入防御システム)などによる保護、またログ監視、変更監視など、公開サーバに即した運用管理が求められる。また、レジストリをクラウドサービスとして利用する場合も、クラウド事業者がどのようなセキュリティ対策を行っているかを考慮する必要があるだろう。

レジストリの安全性を確認する
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。