コンテナ／Kubernetesの脆弱性、機密情報、設定間違いが分かるOSS「Trivy」徹底解説〜もうイメージスキャンだけとは言わせない：Cloud Nativeチートシート（17）

Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ／Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する（最新のv0.56.2含め2024年の情報に合うように更新）。

[西澤勇紀, 越川祐, 岡本隆史, 正野勇嗣，株式会社NTTデータ]

　OSパッケージやライブラリ、アプリケーションで発見される脆弱（ぜいじゃく）性は日々増え続けていますが、皆さんのアプリケーション、システムは大丈夫でしょうか？

　日々最新のバージョンに修正して脆弱性を対処していれば問題ありませんが、インターネット上に転がっているサンプルなどを参考して実装した場合、「記事で利用されている古いバージョンをそのまま使用して脆弱性が混入してしまっている」なんてことがあるかもしれません。

　また、本連載でテーマにしているKubernetesでいえば、rootユーザーでコンテナを実行したり、rootファイルシステムを不必要に書き込み可能に設定したりして、「攻撃されやすいコンテナになってしまっている」なんてこともあり得ます。

　Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する本連載「Cloud Nativeチートシート」。今回は、そんなアプリケーションの脆弱性を手軽に検知してくれる「Trivy」を紹介します。

　Trivyは、リリース当初はコンテナイメージの脆弱性スキャンツールというイメージが強かったのですが、パッケージやライブラリ以外の脆弱性もスキャンできるようになっているので、その辺りも含めて紹介します。

目次

• Trivyとは
• Trivyの主な機能
• コラム　Terraformスキャナー「tfsec」利用者はTrivyへの移行を推奨
• Trivyでできること、できないこと
• Trivyのセットアップ
  • 動作条件
  • Trivyのインストール
• コンテナイメージのスキャン
• コラム　Aqua Vulnerability Database（AVD）とは
• 設定ファイルのスキャン
  • コラム　Trivyのポリシー記述言語「Rego」
  • コラム　TrivyのRegoポリシーと「Pod Security Standards」
  • ディレクトリを指定した複数ファイルのスキャン
• シークレット情報のスキャン
• Kubernetesクラスタのスキャン
• Trivy CLIの主なオプション
  • 脆弱性をフィルタリングする
  • 出力フォーマットをカスタマイズする
  • パッケージ一覧を出力する
  • 脆弱性検知時の終了コードを指定する

Trivyとは