コンテナ基盤にセキュリティリスクがあることは認識している。セキュリティのガイドラインなどもチェックしている。だが、いまひとつ攻撃やリスクのイメージが湧かない。そんな開発者に向けて、NTTデータのクラウドエンジニア、望月敬太氏が具体的な攻撃デモを通して、意識すべきリスクや対策について分かりやすく解説する。2021年11月4〜5日にオンラインで開催された「CloudNative Days Tokyo 2021」から「乗っ取れコンテナ!!〜開発者から見たコンテナセキュリティの考え方〜」で紹介された内容だ。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
マイクロサービスやエッジコンピューティングを実現する技術の一つとして活用が進むコンテナ。その一方で、コンテナやアプリケーション、オーケストレーターの設定不備や運用ミス、脆弱(ぜいじゃく)性などによるセキュリティリスクが数多く指摘されてきた。
こうした事態を受けて、NIST(米国国立標準技術研究所)はセキュリティプラクティスとして「NIST SP800-190 アプリケーションコンテナセキュリティガイド」を公開。情報処理推進機構(IPA)が日本語訳版を出すなど、安全な活用が呼び掛けられている。
ただ、ガイドラインは汎用(はんよう)性を重視するため、「雰囲気は分かるものの、リスクを具体的にイメージしにくい」と、NTTデータのクラウドエンジニア、望月敬太氏は難点を示す。何事においても、どう危険なのかを明確に思い浮かべられないと、対策がおざなりになりがちだ。また、実際に問題が発生したとき、どの対策を優先すべきなのか分からずに、うまく行動できない可能性もある。
そこで望月氏はコンテナを設定、デプロイする開発者に焦点を絞り、コンテナやコンテナホストへの乗っ取り攻撃のデモを実演した。その上で、どのような対策が必要なのかを具体的に解説した。
なお、今回は実際にコンテナに対する攻撃デモを実演しているものの、決してサイバー攻撃を肯定するものではない旨を望月氏は強調している。
攻撃デモは次のようなシナリオに沿っている。Kubernetesをコンテナ基盤に利用し、さまざまなサービスをコンテナやPod(コンテナイメージのDockerファイル)としてデプロイする、とあるチームの開発者が主人公だ。あるとき、コンテナ技術について学べるWebサービスをKubernetes上にPodとしてデプロイし、ネット越しにユーザーが利用できるようにした。しかし、デプロイしたコンテナイメージと「Kubernetes Manifest」(コンテナ起動設定)にセキュリティリスクが含まれていたため、攻撃者に乗っ取られてユーザーを悪意あるWebサイトへと誘導されてしまったという内容だ。
Copyright © ITmedia, Inc. All Rights Reserved.