急速に普及する「コンテナ」がもたらすリスクとは
Tenableが提供する脆弱性可視化ソリューション「Tenable.io」は、脆弱性スキャナのデファクトスタンダード「Nessus」であっても不可能な「脆弱性の可視化を前提とした新しいセキュリティ対策」を実現するということは前回説明した。今回はそこから一歩踏み込んで、Tenable.ioだからこそ可能となるコンテナセキュリティについて言及したい。
ITの利活用が企業の競争力に大きく関わるようになった今、アプリケーションをより迅速かつ柔軟に開発、改善することが強く求められている。こうしたニーズを受け、ビジネスに必要なソフトウェアを迅速に開発、提供する手法としてDevOpsが急速に広まりつつあり、ITアーキテクチャにも変化をもたらしている。従来のように単一で独立したユニットとして構築するのではなく、モジュールが集まったサービスとして構築するマイクロサービス・アーキテクチャが、Webアプリケーションを中心に主流となってきているのだ。
そして、このマイクロサービスの実装技術として現在浸透しつつあるのが「コンテナ」である。各マイクロサービスは専用のコンテナで動作し、APIを介して相互に接続される。コンテナはアプリケーションの実行に必要な要素を集約した独立パッケージであり、軽量の設計で動作するため、DevOpsによるアプリケーション開発と導入の迅速化や、運用の効率性向上、拡張性の確保などさまざまなメリットをもたらす。
最も広く利用されているコンテナプラットフォームであるDockerの採用数は、この1年で40%もの伸びを見せており、Docker Hubに登録されたDocker用アプリケーションの数は実に50万以上、コンテナのダウンロード数も80億を超えている。
非常に便利で開発者にとっても恩恵の大きいコンテナだが、その急速な普及と利便性の高さが皮肉にもセキュリティ面でのリスクをもたらしているのも事実だ。コンテナ技術がもたらす開発部門のスピードや規模の伸びに、セキュリティ部門の対応が追いつかなくなっているのである。加えて、コンテナを用いたアプリケーション開発では、そのほとんどがカタログから使いたいサービスなどを組み合わせて構成できることから、既知の脆弱性を持ったオープンソースコンポーネントやフレームワークをダウンロードしがちな状況にあるのだ。
85%以上もの運用コストを削減するTenable.ioのコンテナセキュリティ機能
これまでの説明から、コンテナプラットフォームにおけるセキュリティ対策が早急に求められる理由がおわかりいただけたと思うが、問題なのは従来のセキュリティアプローチコンテナに対しては効果が見込めないという点である。コンテナでは従来型の脆弱性管理テクニックが利用不可能であり、脆弱性に対する修正も行うことができない。
こうした課題をふまえて、コンテナに存在するリスクを包括的に調査し、展開前の対処を実現するソリューションがTenable.ioである。そのコンセプトは、DevOpsの開発プロセスのなかに、セキュリティを透過的に組み込もうというものだ。これにより開発者が意識しなくとも、マルウェアの検出などリスクのスキャンが自動的に行われ、あるスコアを超えたら実行できなくしたり、マルウェアを発見すると開発をストップしたりといった対応が可能になる。Tenable.ioであれば、これまで難しかったコンテナに含まれるリスクのマネジメントが実現できるのだ。開発環境がコンテナプラットフォームであろうとなかろうと、DevOpsのテスト項目のなかに「セキュリティテスト」を盛り込むべしというTenableからの強いメッセージが感じられる。
Tenable.ioによる早期の脆弱性識別は、運用の効率化とコスト削減も実現する。実環境への展開前に脆弱性を修正することで、85%以上の運用コスト削減が可能となり、また存在しない問題に対する作業によって開発リソースが浪費されるのを防ぐこともできるからだ。そして1つのUIですべてのレイヤの脆弱性が可視化できるため、セキュリティ管理についても品質と効率性の双方について大幅な向上をもたらすことになる。
またTenable.ioを導入すると、Nessusスキャナ、Nessusエージェント、Nessusネットワークモニターの3種類のソリューションをいくつでも自由に展開できるのも大きなメリットだ。たとえばNessusネットワークモニターを使えば、パッシブな判定技術によってネットワークのトラフィックからもOSなどと同じようにDockerの脆弱性を発見できる。
Tenable.ioにはクラウド版だけでなくアプライアンス版も用意されており、近くアプライアンス版にもクラウド版と同様にコンテナセキュリティ機能が実装される予定だ。この機能は特に日本企業にとってニーズが高いものと思われる。
コンテナセキュリティの課題をTenable.ioであれば容易に解決できることがおわかりいただけただろう。最終回となる次回は、Tenable.ioについてより詳しく紹介するとともに、新しいサイバーリスクの管理指標となる「サイバー・エクスポージャー」とは何か、そこにTenable.ioはいかに貢献するのかについて解説することにしたい。
サイバーエクスポージャーについてはこちら
[PR]提供:Tenable Network Security Japan