SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

【特集】VMware Tanzu「モダンアプリケーションへ舵を切れ」(AD)

コンテナ利用もセキュリティ対策がおざなりに 最新環境をめぐる現況と対策をセキュリティのプロに訊いた

「品質ゲートを通すことが重要」コンテナ環境でも求められるゼロトラスト

 アプリケーションのモダナイズが加速し、コンテナの導入が着実に広がりつつある。コンテナは環境を素早く構築でき、アプリケーションライフサイクルを高速化できると期待されている。その一方で、セキュリティ対策はどうすべきなのか。CISSPも保有するセキュリティのプロである、SB C&S 竹石渡氏にコンテナ環境におけるセキュリティ対策のポイントについて訊いた。

コンテナにセキュリティの落とし穴はないか?

 企業でコンテナ活用が広がる一方、セキュリティ対策は何をすれば万全なのか。SB C&S ICT事業本部 技術統括部 テクニカルマーケティングセンター 担当課長でありCISSPを保有している竹石渡氏の元には、セキュリティの相談がよく寄せられている。

 ある企業はAWS Fargateでコンテナを活用して顧客にSaaSを提供していながらも、「コンテナに関するセキュリティ対策として何をしたらいいのかわからない」と相談があったという。竹石氏は「商用環境としてコンテナを用いてサービス提供していながらも、セキュリティ対策が手つかずというケースは意外とあり、まだまだコンテナセキュリティの必要性が十分に理解されていません」と懸念する。

SB C&S ICT事業本部 技術統括部 テクニカルマーケティングセンター 担当課長 竹石渡氏(CISSP)
SB C&S ICT事業本部 技術統括部
テクニカルマーケティングセンター 担当課長 竹石渡氏(CISSP)

 従来必要とされてきたセキュリティ対策は当然施しつつも、コンテナを使うなら何を追加しなくてはいけないのか、何を変更しなくてはいけないのか。基本的なところから整理していこう。

 そもそも従来のVM(仮想マシン)と比べるとコンテナのランタイムやオーケストレーター(Kubernetesなど)といった登場人物が増えるため、そこに脆弱性や設定ミスがないか目を見張る必要がある。加えて、近年ではより上流工程からセキュリティを組み込むシフトレフトという言葉がもてはやされているように、コンテナデプロイ後からセキュリティを考えるのではなく、イメージを作成するCI/CDパイプラインの早い段階から要所要所でセキュリティチェックを行うのが望ましい。

 たとえば、コンテナイメージのスキャン。コンテナイメージを作る際に、脆弱性やマルウェアが含まれていないか、適切な設定になっているか、OSSライセンス違反がないかなどをチェックする必要がある。

 特に、Docker Hubのようにパブリックなレジストリには、悪用可能な脆弱性やマルウェアが含まれるものもあるという。たとえば、マルウェアの中にはリソースを不正利用し、暗号通貨をマイニングするようなものもあるという。竹石氏は「パブリックなイメージを活用すること自体は悪いことではありません。大事なのはきちんとスキャンすること。品質ゲートを設け、そこを通っていないイメージは一切信頼しないことです。これはゼロトラストにも通じるアプローチです」と述べる。

 スキャンを実施することで脆弱なイメージが本番環境にデプロイされることを防げるものの、それだけで安心はできない。次々に新たな脆弱性が発見されるため、その確認は継続する必要がある。さらに、従来からのセキュリティ対策としてファイアーウォールやWAF(Web Application Firewall)、攻撃されたときに被害を最小限にするためのマイクロセグメンテーションなども忘れてはならない。

次のページ
コンテナセキュリティを担当するべきは誰なのか……

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
【特集】VMware Tanzu「モダンアプリケーションへ舵を切れ」連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16455 2022/09/05 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング