サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 技術や仕組み コンテナセキュリティのリスク

コンテナセキュリティのリスク

コンテナセキュリティのリスク
目次
  • コンテナとは
  • コンテナの仕組み
  • コンテナのセキュリティリスク

コンテナとは

近年、その利便性により国内でもコンテナの利用を検討する企業が増えています。コンテナは、アプリケーションの動作環境を仮想的に構築する為の技術であり、従来の仮想マシンに比べて、軽量に動作し、短時間でのデプロイ、削除が可能です。また、オンプレミス、クラウドを問わず利用する事ができ、ポータビリティにも優れています。

しかし、コンテナの利用が増える一方で、コンテナをターゲットとしたサイバー攻撃も増加しており、それに対して十分なセキュリティ対策が施されていない環境も多く見受けられます。その為コンテナに対するセキュリティ対策の必要性が認識され始めています。

コンテナの仕組み

従来の仮想マシンとは異なり、コンテナ(仮想マシンにおけるゲストOS)はホストOSのカーネルを共用します。その為、コンテナのイメージではカーネルが不要となり、ライブラリやミドルウェアとその上に実装するアプリケーションのみとなります。これにより高速で、軽量な動作が実現され、イメージも小さい為、ポータビリティに優れる特徴があります。

こうしたコンテナの仮想化を実現する為のソフトウェアをコンテナランタイムと呼びます。代表的なコンテナランタイムとしてはDockerが有名です。コンテナランタイムはコンテナ型の仮想環境を構築し、コンテナイメージの作成、配布、コンテナの実行といった一連のワークフローを実行する為の機能を持っています。

コンテナのセキュリティリスク

コンテナに対するセキュリティリスクと対策の指針として、米国国立標準技術研究所(NIST)が発行している「NIST SP800-190」というガイドラインが存在しています。そこではコンテナ技術のコアコンポーネントである、①コンテナイメージ、②レジストリ、③オーケストレータ、④コンテナ、⑤ホストにおけるセキュリティリスクが次のように纏められています。

コンテナ技術の各コアコンポーネントにおけるセキュリティリスク

  • ① コンテナイメージ
     ・イメージの脆弱性
     ・イメージの設定の不備
     ・埋め込まれたマルウェア
     ・埋め込まれた平文の秘密情報
     ・信頼できないイメージの使用
  • ② レジストリ
     ・レジストリへのセキュアでない接続
     ・レジストリ内の古いイメージ
     ・認証・認可の不十分な制限
  • ③ オーケストレータ
     ・制限のない管理者アクセス
     ・不正アクセス
     ・コンテナ間ネットワークトラフィックの不十分な分離
     ・ワークロードの機微性レベルの混合
     ・オーケストレータノードの信頼
  • ④ コンテナ
     ・ランタイムソフトウェア内の脆弱性
     ・コンテナからの無制限のネットワークアクセス
     ・セキュアでないコンテナランタイムの設定
     ・アプリの脆弱性
     ・未承認コンテナ
  • ⑤ ホスト
     ・大きなアタックサーフェス
     ・共有カーネル
     ・ホスト OSコンポーネントの脆弱性
     ・不適切なユーザアクセス権
     ・ホストOSファイルシステムの改ざん

このようにコンテナにおけるセキュリティリスクは多岐に渡っており、網羅的にセキュリティを担保するには高いセキュリティスキルが求められます。その為、コンテナ基盤に対するセキュリティ診断や、CWPP等のコンテナの監視・保護サービスの導入なども増えてきています。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 櫻林 賢治

前職では大手電機メーカーのグループ会社にて、主にWebアプリケーションのシステム開発業務に従事。 2016年より3年間、独立行政法人 情報処理推進機構(IPA)に派遣され、標的型サイバー攻撃の被害に遭われた企業・団体に対する、 インシデント初動対応の支援業務に従事する。 IPAでの業務経験により、サイバーセキュリティの業界に関心を持ち、2020年4月より、 株式会社SHIFT SECURITYに入社。同社ではクラウド環境の脆弱性診断、監視業務に従事。

\ 記事をシェアする /

サービスに関する
お問い合わせ