人気の一方でセキュリティ対策の懸念　企業のコンテナ利用調査から

DevOpsでセキュリティを

　今後のコンテナのセキュリティについて、楽観的に見ている回答者は少ない。71％が2019年にコンテナ関連のセキュリティ問題が「増加する」と予想している。

　しかし、具体的な対策については見通しが立ってないようだ。コンテナ関連のセキュリティインシデントの検出では、「数分内に検知できる」と答えたのは12％。「数週間」は6％だった。さらには「わからない」（7％）や「検出できない」（2％）まであった。

　コンテナの専門メディアContainer Journalは「コンテナを実装している企業のほとんどで、現在導入しているサイバーセキュリティツールではコンテナが見えていない」と指摘。企業がコンテナのセキュリティ対策に必要な追加機能を導入できてないことに警鐘を鳴らしている。Tripwireの調査でも、回答者の98％がコンテナ環境向けに追加のセキュリティ機能が必要だと考えていた。

　実際、コンテナのセキュリティは複雑なようだ。コンテナとクラウドネイティブアプリに特化したセキュリティ技術企業Aqua SecurityのCTO、Amir Jerbi氏は「Kubernetesはたくさんの設定オプションがある複雑なシステムであり、そのどれもが一つでも間違えるとそのクラスタは、攻撃にオープンになってしまう」と解説する。

　では何をすべきか？　企業の回答では、「インシデントの検出とレスポンス」（52％）、「異常な振る舞いをするコンテナの隔離」（49％）、「コンテナインフラをセキュリティ中心にモニタリング」（48％）などが上がった。

　これに対し、The Enterprisers Projectは「開発の早期段階にセキュリティを組み込む」よう助言している。つまり、開発と運用の両チームが共同作業する開発手法であるDevOpsを導入することだ。コンテナ導入で最後にセキュリティを考えるのではなく、開発パイプラインの全ステージにセキュリティを組み込むことで安全にできるとする。

　Dark Readingは、その観点から「問題は自分たちが使っているツールではない」（TripwireのErlin氏）とのコメントを取り上げる。すなわち、問題は、脆弱性スキャンのような伝統的な技術ではなく、それをビルドプロセスの一部としていない点であるというのだ。

　これについてはRed Hatも「Container Security」というページを設けて、「コンテナのセキュリティは全てのプロセスに統合され、継続する必要がある」と同趣旨のアドバイスをしている。