知りたいのは「本当に対応が必要な脆弱性」 コンテナセキュリティのアラート過多問題にどう対処すべき？：システムコールをプロファイリングし脆弱性の優先順位づけを実現

Linuxベースのコンテナは開発者にとって実用的なオプションとしてメインストリームとなった。しかし、セキュリティの観点では日夜さまざまな脆弱性が報告され、運用担当者の不安は収まることがないのが実情だろう。Linuxを始めとするオープンソースソフトウェア（OSS）はソースコードが公開されていることで世界中のエンジニアが改良を行えるという利点はあるものの、攻撃者にとっても弱点を突くことが可能となってしまう。

[PR／＠IT]

PR

　コンテナはベースとなるLinuxのカーネル、その配布形態であるディストリビューション、さらにアプリケーションが利用するさまざまなパッケージやライブラリ、ランタイムから構成されており、アプリケーションの開発においては膨大な数の依存関係が発生している。そのため、脆弱（ぜいじゃく）性が多数見つかることは避けられない。

　脆弱性は多くのオープンソースソフトウェア（OSS）において無視できない弱点ではあるものの、全ての脆弱性が即座に障害を起こしたり、情報漏えいを起こしたりするものではない。多くの脆弱性はその深刻度によってレベル分けが行われ、コミュニティーで修正されるため、内容を理解すれば運用担当者、開発者のどちらにとっても対応は難しくない。

　しかし、数百から数千という脆弱性が、開発したアプリケーションの依存関係の中に存在することは、エンジニアの精神衛生上悪い影響を及ぼす。担当者が対策を実行する前に、膨大な数の脆弱性をチェックするだけで疲弊してしまうだろう。

　このような現状を打開するためにSysdigが提供するソリューション、「Sysdig Secure」を紹介する。

Sysdig Japanの竹内 洋氏

　Sysdigはクラウドネイティブなランタイムセキュリティソフトウェアである「Falco」の開発をリードする企業だ。Falcoはクラウドネイティブ技術を推進する団体であるCloud Native Computing Foundation（CNCF）において、コンテナランタイムセキュリティとして最初にインキュベーションされたプロジェクトである。アプリケーションが行うシステムコールをeBPF（Extended Berkley Packet Filter）、または、Sysdigが開発したカーネルモジュールを用いてセキュアにモニタリングし、不正な動作を見つけることが可能だ。

　Sysdig Japanの竹内 洋氏（アカウントセールスエンジニア）は、「Sysdig Secureの顧客からは、『Apache Log4Jの脆弱性が公開された際、実際に稼働しているコンテナをスキャンして本番環境に影響が出るのかどうかを数分のうちに確認することができた』というコメントをもらっています」と語る。「稼働しているシステムで何が実行されているのか」「バージョンは何か」などを即座に調査するのは至難の業だろう。それを数分で可能にできたら、管理者にとっては良いニュースだ。

その「多過ぎる脆弱性」は実行環境で発生しているのか？

　Sysdig SecureはFalcoをランタイムセキュリティのエンジンとして使い、開発から本番環境までをカバーする包括的なソリューションだ。シグネチャベースの脆弱性検知とは異なり、システムコールをモニタリングすることでシステムコールから悪意のある振る舞いを識別する事が出来るため、未知のランタイム脅威検知を可能としている。

　また、冒頭に挙げた「多過ぎる脆弱性」については、「実際に使われているか」「修正が存在するか」「攻撃に利用される可能性はあるか」などのフィルターで絞り込むことで運用担当者が本当に必要な脆弱性にだけ集中することを可能にする。アプリケーションのライブラリとしてビルドされていても実際に脆弱性があるコードを含むライブラリやパッケージが実行されていないことが判明するのであれば、緊急にシステムを更新するという作業を行うかどうかを決定する際には大きな要因となるだろう。Sysdig Secureでは「実際に実行されているかどうか？」をフィルターできるのが、他にはない大きな特徴だ。

Risk Spotlight機能では、使用されているパッケージのみに絞り込める（提供：Sysdig Japan）

　Sysdig SecureはFalcoをランタイムセキュリティエンジンとして各ノードに導入することで、開発環境からステージング、本番環境までを包括的に守ることができる。特に本番環境で稼働しているワークロードのシステムコールを常に監視し、依存関係を詳細に追跡することにより、現在稼働しているシステムの状態を正確に把握できるのが強みだ。

依存関係を詳細に追跡することで現在稼働しているシステムの状態を正確に把握（提供：Sysdig Japan）

管理者の設定ミスに修正策を提案　レポーティング、OPA連携にも対応

　しかし、脆弱性がSysdig Secureによってリストアップされ、優先順位付けされたとしても、サーバやKubernetesなどの環境設定のミスは発生してしまう。これらの設定ミスはソースコードに含まれる脆弱性に由来するわけではない。その部分に注目し、ガートナーが提案したのが「CSPM（Cloud Security Posture Management）」という分野だ。同社は、コードの脆弱性というミクロの領域ではなく、マクロとしてシステムを捉え、環境設定やポリシー設定などを適切に管理する必要があると指摘する。CSPMは、ガートナーの提唱する、「実行すべきセキュリティプロジェクト」のトップ10に挙げられるほどの重要な分野である。

　Sysdig Japanの竹内氏は、CSPMについて具体例を挙げて説明する。「例えばAmazon Web Services（AWS）のストレージである『Amazon S3』のバケットがパブリックに公開されてしまうなどの問題は、管理者の設定ミスに由来する障害です。Sysdig Secureでは、このような設定ミスを発見するだけでなく、どうやってそれを修正するのかを提案するのが『Remediation Guru』という機能です。これは、修正方法について具体的なコマンドなどを提示することで管理者が行わなければいけない操作を理解することが可能になります」（竹内氏）と語り、担当者にとって有効な手引きとして使われることを目指しているという。

　また、既に構成情報などを「GitOps」としてGit上で管理している場合であれば、リポジトリに直接Pull Requestを送れる機能も用意されている。「GitLab」「GitHub」「BitBucket」「Azure DevOps」などが対象だ。レポーティングの機能も用意されており、運用管理者の運用業務をよく理解した機能強化がなされている。コンプライアンスポリシーについてはOpen Policy Agent（OPA）をSysdig Secureで活用しており、クラウドネイティブの先進的なシステムにも対応していることが分かる。

　Sysdigは、エンタープライズが必要とするコンテナベースのワークロードに対して、コードの開発からステージング、本番運用環境までをエンド・ツー・エンドでセキュアにするソリューションを提供している。シンプルな管理コンソールでの脆弱性フィルタリングと優先順位付けによってエンジニアの負担を軽減するソリューションはeBPF（extended BPF）、またはSysdigが開発したカーネルモジュールのいずれかのランタイムプロファイリングによる学習がコアになっている。そして、企業として重視するオープンソースプロジェクトへの投資や、その他のオープンソースプロジェクトとの連携によって、クラウドネイティブなセキュリティを高いレベルで提供している。