eSecurity Planetはこのほど、「What Is Container Security? Complete Guide」において、「コンテナセキュリティとは何ですか?」と題して、コンテナに関するセキュリティの重要なポイントについて伝えた。
eSecurity Planetはコンテナセキュリティについて、「コンテナに収容されるアプリケーションやそのほかのコンポーネントを保護するために使用されるサイバーセキュリティツール、戦略、ベストプラクティスの組み合わせのこと」と定義している。コンテナはさまざまな利点をもたらす独自のコンピューティング環境だが、その設計によっては新しい脆弱性や課題を発生させる可能性があるという。
eSecurity Planetが示すコンテナセキュリティの重要な10要素は次のとおり。
- コンテナネットワークのセキュリティ - コンテナネットワーキングツールにより、組織の通信、相互運用性、スケーラビリティを管理しながらコンテナ間がどのように対話するかを制御する
- コンテナランタイムのセキュリティ - コンテナランタイムセキュリティツールにより、ポリシの設定、構成のドリフトと異常なネットワークトラフィック、権限昇格の試み、ユーザアクセス制御、コンテナ間通信などの監視とログを管理する
- コンテナレジストリのセキュリティ - コンテナレジストリセキュリティツールにより、イメージレベルでのユーザーの権限、脆弱性のスキャン、イメージライブラリの監査などを行う
- コンテナオーケストレーションのセキュリティ - コンテナオーケストレーションをサポートするツールにより、コンテナの分離の維持、サードパーティのコンポーネントなどを管理する
- コンテナイメージのセキュリティ - コンテナイメージのセキュリティツールにより、イメージパッケージと依存関係を定期的に検査して脆弱性を見つける。多くの場合はコンテナレジストリセキュリティツールによってこの管理も行われる
- アクセス制御とユーザ権限 - IDおよびアクセス管理(IAM: Identity and Access Management)ソリューションにより、コンテナ化されたアプリケーションおよび環境のユーザ権限を管理する
- コンテナレベルのセグメンテーション - コンテナの分離を管理し、横方向の移動を制限するためにコンテナおよびワークロードのセグメンテーションツールを使用する
- 脆弱性のスキャンと管理 - コンテナセキュリティツールにより、コンテナイメージ全体、ワークロード、ランタイム、オーケストレーションプラットフォーム、そのほかの要因によってコンテナイメージが脅威に対してどのように脆弱になるか分析する
- コンテナの監視とロギング - コンテナ監視およびログツールにより、コンテナ化された環境のマイクロサービス、アプリケーション、そのほかのコンポーネントのアクティビティと動作を追跡し管理する
- コンテナの暗号化と安全なストレージ - コンテナ暗号化ソリューションにより、バックドアからの保護、隠しコンテナの作成、クロスプラットフォームにおけるコンテナセキュリティの管理を行う
eSecurity Planetではこれらに加え、コンテナを保護するためのベストプラクティス、コンテナセキュリティの利点とリスクなどを伝えている。eSecurity Planetによるとコンテナ化された環境で日常業務などを行う企業は増えているという。しかしながら、コンテナセキュリティは考慮されておらず、これに気づいた脅威アクタにより、コンテナ化された環境はこれまで以上に狙われるようになってきているとされる。
このような脅威からコンテナ化された環境を保護するために、コンテナセキュリティツールの導入とベストプラクティスをセキュリティ戦略に組み込むことが推奨されている。