勘所から実践的なソリューションまで！
コンテナセキュリティセミナー イベントレポート

セミナーの冒頭では、「コンテナセキュリティの勘所」についてSB C&S株式会社 ICT事業本部 販売推進本部 技術統括部 テクニカルマーケティングセンター ビジネス開発課 竹石 渡氏から講演がありました。

DevOpsを実現するために欠かせない技術として注目を集めているコンテナですが、コンテナを導入する上でセキュリティの課題は切り離して考えることはできません。
実際、仮想通貨MoneroをマイニングするDockerイメージが確認されるなど、コンテナ技術を悪用した脅威が出始めています。

また一般的にセキュリティとスピードはトレードオフの関係ですが、コンテナのセキュリティを考える上で重要な点は、スピードとセキュリティを両立させることです。アプリケーションのデプロイの頻度を上げる、リードタイムを短縮させるなど、スピードを向上させることがコンテナ導入のモチベーションになります。しかし、セキュリティを強化することによりそのメリットであるスピードが損なわれてしまっては本末転倒です。

それではどのようにセキュリティとスピードを両立させていくのでしょうか。
コンテナのライフサイクルには「Build」（コンテナアプリケーションの開発）、「Ship」（コンテナイメージの共有）、「Run」（コンテナアプリケーションの実行）があります。
一般的なセキュリティ対策ではRun時にどのように守るかにフォーカスされがちですが、「シフトレフト」の考えをセキュリティにも適用することで、スピードをできる限り落とさずにセキュリティを担保することができます。

コンテナセキュリティにおけるシフトレフトとは、開発の初期段階、つまりBuild段階からセキュリティのケアをすることで手戻りの発生を防ぎ、デプロイまでのリードタイムを短縮しようというものです。工程表の左側にシフトさせるため、シフトレフトと言われています。

各段階におけるセキュリティ対策を挙げます。Build段階ではコンテナのイメージスキャンを行い、Ship段階でも引き続きレジストリのイメージスキャンを実施します。これらのスキャンはマルウェアやシークレットが含まれていないか、OSSのライセンス違反をしていないか、既知の脆弱性がないかなどを確認します。

Run段階では改ざん検知、ランタイムプロテクション、コンテナファイアウォール、シークレット管理、ホストスキャン、ユーザーアクセスコントロールなどがあります。例えば改ざん検知は、オリジナルイメージと動作中のコンテナの間で一貫性が保たれているかをチェックします。ほかにも機械学習を用いて、コンテナの正常な挙動を学習し、そこから外れた動きを不正な挙動と判断するような対策もあります。

****
本セッションの後半では、実際にコンテナが乗っ取られたらどうなるのか、デモを交えた解説がありました。デモは、“Apache Struts2のコンテナに脆弱性を悪用しペイロードをインストールする”という内容です。コンテナはホストと隔離された状態で動作するため、コンテナの1プロセスを不正に乗っ取ったとしても、ホストまでは乗っ取ることはできませんが、それでも多大な被害を与えることがわかりました。

コンテナにおいても、環境のモニタリングとセキュリティは密接です。しかし、ブラックボックス化されたコンテナ環境のモニタリングや、マルチクラウド環境でのコンテナ内の各アプリケーションのモニタリングなど、従来の監視ツールでは非常に困難です。

コンテナ環境のセキュリティ・モニタリングのパイオニア企業として、米国のSysdig社があります。Sysdig社は、ネットワークアナライザー「Wireshark」の共同創作者であるロリス・ディオニアニ氏が創業した企業です。Sysdig社のアプローチについて、SCSK株式会社 ITエンジニアリング事業本部 ミドルウェア第二部 第一課 石川 愛彦が講演しました。

Sysdig社では“コンテナのモニタリングとセキュリティは表裏一体”という理念に基づき、モニタリングとセキュリティの両方を実現しています。
Sysdig社が提供する「Sysdig Platform」には、コンテナおよびKubernetesをモニタリングする「Sysdigモニター」と、コンテナイメージの脆弱性スキャンや、不正アクセスやサイバー攻撃をルールベースで検知し脅威から守る「Sysdigセキュア」があります。

機能は主にランタイムセキュリティ、コンプライアンス・チェック、脆弱性スキャナーがあり、特徴として、攻撃者の攻撃や戦術を分析したセキュリティのフレームワーク「MITRE ATT&CK※」をベースにしている点が挙げられます。通常のネットワーク監視では操作されたファイル名まで確認できませんが、「Sysdig」ではファイルのI/Oまで追跡できるので、より詳しい調査が可能です。

※「MITRE ATT&CK」とは、米国のMITRE社が開発したサイバーセキュリティのフレームワーク、ナレッジベースです。サイバー攻撃者が使う可能性のある攻撃手法や戦術が体系化されています。

「Sysdig Platform」は、複数のオープンソースソフトウェア（OSS）で構成されており、その中心はSysdig社が開発をリードしているOSSです。Linuxのシステムコールを全てキャプチャして可視化する「Sysdig」、コンテナのランタイムセキュリティを実現する「Falco」があり、加えてKubernetesをモニタリングするPrometheusと脆弱性スキャナーのAnchoreと連携しています。

なお、2019年11月からSCSKが「Sysdig Platform」の日本国内総代理店となっています。

コンテナセキュリティについて一通り紹介した後は、ハロウィンなのでお菓子をつまみながらコンテナセキュリティに関する質問タイム。参加者からその場で質問を募り、パネルディスカッション形式で講演者が回答しました。寄せられた様々な質問の中から、一部をご紹介します。

（問）
コンテナセキュリティ製品を導入する際に、ネックとなるのは何でしょうか？

（回答）
コンテナのようなクラウドネイティブ環境では常に頻繁にアップデートが繰り返されるなど、カルチャーが従来のものと大きく変わります。現場にDevSecOpsのマインドが浸透しているかどうかが現実的なハードルになるかもしれません。
加えてコスト面です。保護対象となるコンテナ環境が小規模だと、コスト面で割に合わないと感じられるでしょう。技術に強い企業はスムーズに導入できますが、一方で、ユーザー企業だとまだ難しいかもしれません。
また、見つかった脆弱性に対してどこまで対応するかなど企業側の体制やルール作りも検討していく必要があるでしょう。

（問）
コンテナセキュリティ製品は、（Deep Security等の）ホスト型のサーバーセキュリティ製品と併用した方が良いのでしょうか？

（回答）
もしコンテナでアプリケーションを動かし、またコンテナがあるホストで別のアプリケーションを動かすような構成を考えているなら、おすすめしません。環境を分けたほうがいいでしょう。実際にそのような構成はあまりないと思います。
コンテナセキュリティツールとホスト型のセキュリティ製品を併用したほうがいいかは、要件や環境次第です。併用せざるをえないケースもあるかもしれませんので、ご相談ください。

この他にも会場から多様な質問が寄せられ、パネルディスカッションは盛況に終わりました。

「Sysdig Platform」に関する資料は、以下からダウンロード可能です。