近年、その利便性により国内でもコンテナの利用を検討する企業が増えています。コンテナは、アプリケーションの動作環境を仮想的に構築する為の技術であり、従来の仮想マシンに比べて、軽量に動作し、短時間でのデプロイ、削除が可能です。また、オンプレミス、クラウドを問わず利用する事ができ、ポータビリティにも優れています。
しかし、コンテナの利用が増える一方で、コンテナをターゲットとしたサイバー攻撃も増加しており、それに対して十分なセキュリティ対策が施されていない環境も多く見受けられます。その為コンテナに対するセキュリティ対策の必要性が認識され始めています。
従来の仮想マシンとは異なり、コンテナ(仮想マシンにおけるゲストOS)はホストOSのカーネルを共用します。その為、コンテナのイメージではカーネルが不要となり、ライブラリやミドルウェアとその上に実装するアプリケーションのみとなります。これにより高速で、軽量な動作が実現され、イメージも小さい為、ポータビリティに優れる特徴があります。
こうしたコンテナの仮想化を実現する為のソフトウェアをコンテナランタイムと呼びます。代表的なコンテナランタイムとしてはDockerが有名です。コンテナランタイムはコンテナ型の仮想環境を構築し、コンテナイメージの作成、配布、コンテナの実行といった一連のワークフローを実行する為の機能を持っています。
コンテナに対するセキュリティリスクと対策の指針として、米国国立標準技術研究所(NIST)が発行している「NIST SP800-190」というガイドラインが存在しています。そこではコンテナ技術のコアコンポーネントである、①コンテナイメージ、②レジストリ、③オーケストレータ、④コンテナ、⑤ホストにおけるセキュリティリスクが次のように纏められています。
このようにコンテナにおけるセキュリティリスクは多岐に渡っており、網羅的にセキュリティを担保するには高いセキュリティスキルが求められます。その為、コンテナ基盤に対するセキュリティ診断や、CWPP等のコンテナの監視・保護サービスの導入なども増えてきています。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
