仮想化技術「コンテナ」は、OS上に他のプロセスとは隔離されたアプリケーション実行環境を構築する技術で、開発部門と運用部門が連携してシステムを開発するDevOpsを実施する企業で採用されることが多い技術だという。IDCの調査によると、DevOpsを実施する企業の86%でコンテナが採用されている。
一方でコンテナイメージには、脆弱性のあるアプリケーションや不正プログラムが含まれることがある。脆弱性のあるアプリケーションや不正プログラムが含まれるとサーバリソースの盗用や不正な操作、コンテナが動作するサーバの情報を外部に送信する被害などにあう可能性がある。
システムの運用時に脆弱性が発覚した場合、システムの改修やサービスの停止に繋がるため、セキュリティリスクはシステムを運用する前の開発時に洗い出し、対処することが重要になる。
「Smart Check」は、システムの開発時にコンテナイメージ内の脆弱性、不正プログラム、クラウドサービスのアクセスキーをスキャンし、コンテナイメージのリスクを可視化する。可視化したリスクをもとに開発時に修正プログラムの適用や、運用時にセキュリティ製品を用いて脆弱性を悪用する攻撃を防ぐなど対策を講じることができる。
また、トレンドマイクロでは、システム運用時のセキュリティ対策として「Trend Micro Deep Security」を提供している。
「Deep Security」は、コンテナ内やホストサーバに不正プログラムが存在する場合に検知・駆除する「不正プログラム対策」、脆弱性を悪用する不正な通信があった場合、通信を検知してブロックする「IPS/IDS(侵入防御)」などの機能を備えている。
システム開発時に、「Smart Check」を用いてコンテナイメージに脆弱性が見つかっても、新しいバージョンのアプリケーションの動作検証に時間が掛かるなど修正プログラムを適用できない場合、「IPS/IDS(侵入防御)」機能により脆弱性を悪用する攻撃を防ぐことができる。
「Trend Micro Deep Security Smart Check」の主な機能
・コンテナイメージの脆弱性をスキャン
コンテナイメージ内の脆弱性をスキャンします。脆弱性を緊急度に応じて「Critical」「High」「Medium」「Low」「Negligible」「Unknown」の6つのレベルで表示し、コンテナイメージ内の脆弱性を可視化。
・コンテナイメージの不正プログラムをスキャン
コンテナイメージ内の不正プログラムをパターンマッチング、機械学習型検索などの技術を用いてスキャン。
・コンテナイメージの機密情報をスキャン
コンテナイメージ内にAWSやGoogle Cloud Platformなどクラウドサービスのアクセスキーが保存されていないかをスキャン。
