コンテナ／Kubernetesの脆弱性、機密情報、設定間違いが分かるOSS「Trivy」徹底解説〜もうイメージスキャンだけとは言わせない：Cloud Nativeチートシート（17）

Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ／Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する。

[西澤勇紀, 岡本隆史, 正野勇嗣，株式会社NTTデータ]

　OSパッケージやライブラリ、アプリケーションで発見される脆弱（ぜいじゃく）性は日々増え続けていますが、皆さんのアプリケーション、システムは大丈夫でしょうか？

　日々最新のバージョンに修正して脆弱性を対処していれば問題ありませんが、インターネット上に転がっているサンプルなどを参考して実装した場合、「記事で利用されている古いバージョンをそのまま使用して脆弱性が混入してしまっている」なんてことがあるかもしれません。

　また、本連載でテーマにしているKubernetesでいえば、rootユーザーでコンテナを実行したり、rootファイルシステムを不必要に書き込み可能に設定したりして、「攻撃されやすいコンテナになってしまっている」なんてこともあり得ます。

　Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する本連載「Cloud Nativeチートシート」。今回は、そんなアプリケーションの脆弱性を手軽に検知してくれる「Trivy」を紹介します。

　Trivyは、リリース当初はコンテナイメージの脆弱性スキャンツールというイメージが強かったのですが、パッケージやライブラリ以外の脆弱性もスキャンできるようになっているので、その辺りも含めて紹介します。

目次

• Trivyとは
• Trivyの主な機能
• Trivyでできること、できないこと
• Trivyのセットアップ
  • 動作条件
  • Trivyのインストール
• コンテナイメージのスキャン
• コラム　Aqua Vulnerability Database（AVD）とは
• 設定ファイルのスキャン
  • コラム　Trivyのポリシー記述言語「Rego」
  • コラム　TrivyのRegoポリシーと「Pod Security Standards」
  • ディレクトリを指定した複数ファイルのスキャン
• シークレット情報のスキャン
• Kubernetesクラスタのスキャン
• Trivy CLIの主なオプション
  • 脆弱性をフィルタリングする
  • 出力フォーマットをカスタマイズする
  • パッケージ一覧を出力する
  • 脆弱性検知時の終了コードを指定する

Trivyとは

　Trivyはパッケージやライブラリの脆弱性をスキャンできるオープンソースソフトウェア（OSS）の診断ツールです。初期はコンテナイメージの脆弱性スキャンに特化していましたが、最近ではコンテナに限らずファイルシステムやGitリポジトリを対象にしたり、設定ファイルをスキャンして設定の問題点を確認したりすることもできます。

　特徴は、何よりシンプルであること。Goのシングルバイナリで提供されるため簡単にスキャンできますし、パイプラインへの組み込みも容易です。またスキャンは高速で、精度も評価されています（※）。

※「Docker Image Security: Static Analysis Tool Comparison - Anchore Engine vs Clair vsTrivy - a10o.net - Alfredo Pardo」

　パッケージやライブラリの脆弱性スキャンツールは他にもありますが、使い勝手の良さなどから「多くの利用者に愛されている代表的なスキャンツール」といえます。

GitHub Starの比較（Trivy、Clair、Grype）

　Trivyは日本人のFukuda Teppei氏が個人で開発を進め、その功績が認められてAqua Securityに譲渡されたOSSです。Trivyの実装に着手した背景など分かりやすく記載されているので、興味のある方は同氏のブログもご確認ください。

　Trivyは「Harbor」「GitLab」のデフォルトのスキャナーとしても採用されています。もともと別のスキャナーを利用していたにもかかわらずTrivyに移行するという決断は、Trivyの有用性を示している事例だと思います。

　Trivyは精力的に新機能が開発されており、新しい機能が日々追加されていますが、本稿では、2022年6月の原稿執筆時点で最新のバージョン、v0.29.1を基に紹介します。

Trivyの主な機能

　下記表は、Trivyの主な機能です。

機能	内容	スキャン対象
1.脆弱性のスキャン	CVE-IDが割り振られたパッケージやライブラリの脆弱性を検知する	コンテナイメージ、ファイルシステム、Gitリポジトリ
2.設定ファイルのスキャン	推奨される設定と比較して設定の誤りや問題点を指摘する	Terraform、Dockerfile、Kubernetesマニフェスト、AWS CloudFormation、Helmチャート
3.シークレット情報のスキャン	ハードコーディングされた機密情報を検知する	コンテナイメージ、ファイルシステム、Gitリポジトリ
4.Kubernetesクラスタのスキャン	クラスタ内のリソースを対象にコンテナイメージの脆弱性スキャン、Kubernetesマニフェストのスキャン、シークレット情報のスキャンを行う	Kubernetesクラスタ

1.脆弱性のスキャン

　TrivyはOSパッケージやアプリケーションの依存ライブラリをスキャンして、「CVE-ID」が割り振られた脆弱性を検知します。CVE-IDとは「CVE-YYYY-XXXX」の形式で割り振られる一意な脆弱性の識別番号です。ここ数年は割り振られるCVE-IDの件数が年々増加しており、2021年は2万件を超えました。このように日々新たな脆弱性が発見されるので、開発で利用しているパッケージやライブラリを定期的にスキャンすることが重要です。

脆弱性スキャンのイメージ図

　Trivyはコンテナイメージの脆弱性をスキャンするツールとしてユーザーを増やしてきましたが、現在はコンテナイメージに限らず、ホストマシン上のファイルシステムやGitリポジトリを対象にスキャンできます。

　v0.29.1では以下のOSパッケージをサポートしています。詳細はOS Packagesをご確認ください。「未修正の脆弱性検知」がNoの場合は、修正されたバージョンが存在するライブラリのみを検知します。

サポートOS

OS	サポートバージョン	パッケージ	未修正の脆弱性検知
Alpine Linux	2.2〜2.7、3.0〜3.16、edge	apk	No
Red Hat Universal Base Image	7、8、9	yum/rpm	Yes
Red Hat Enterprise Linux	6、7、8	yum/rpm	Yes
CentOS	6、7、8	yum/rpm	Yes
AlmaLinux	8	yum/rpm	No
Rocky Linux	8	yum/rpm	No
Oracle Linux	5、6、7、8	yum/rpm	No
CBL-Mariner	1.0、2.0	yum/rpm	Yes
Amazon Linux	1、2	yum/rpm	No
openSUSE Leap	42、15	zypper/rpm	No
SUSE Enterprise Linux	11、12、15	zypper/rpm	No
Photon OS	1.0、2.0、3.0、4.0	tdnf/yum/rpm	No
Debian GNU/Linux	wheezy、jessie、stretch、buster、bullseye	apt/apt-get/dpkg	Yes
Ubuntu	All versions supported by Canonical	apt/apt-get/dpkg	Yes
Distroless	Any	apt/apt-get/dpkg	Yes

　アプリケーションの依存ライブラリのスキャンは以下の言語をサポートしています。詳細は「Language-specific Packages」をご確認ください。Trivyはスキャン対象から以下のようなファイルを探して依存ライブラリの情報を取得しています。スキャン対象やパッケージ管理方法の違いでスキャンの条件が変わることにご注意ください。

サポート言語

言語	ファイル	Image／Rootfs	Filesystem／Repository	Dev dependencies
Ruby	Gemfile.lock	-	〇	included
	gemspe	〇	-	included
Python	Pipfile.lock	-	〇	excluded
	poetry.lock	-	〇	included
	requirements.txt	-	〇	included
	egg package（\*.egg-info、\*.egg-info/PKG-INFO、\*.egg、EGG-INFO/PKG-INFO）	〇	-	excluded
	wheel package（.dist-info/META-DATA）	〇	-	excluded
PHP	composer.lock	〇	〇	excluded
Node.js	package-lock.json	-	〇	excluded
	yarn.lock	-	〇	included
	package.json	〇	-	excluded
.NET	packages.lock.json	〇	〇	included
	packages.config	〇	〇	excluded
Java	JAR、WAR、PAR、EAR（\*.jar、\*.war、\*.par、\*.ear）	〇	-	included
	pom.xml	-	〇	excluded
Go	Binaries	〇	-	excluded
	go.mod	-	〇	included
Rust	Cargo.lock	〇	〇	included

　「Dev dependencies」が「included」の場合、開発用途のライブラリも検知します。例えば、Node.jsで「yarn.lock」ファイルから依存ライブラリを確認した場合、「yarn add <ライブラリ> --dev」のように開発用途として導入したライブラリもスキャン対象になります。

　TrivyはスキャンしたOSパッケージやアプリケーションの依存ライブラリの情報を脆弱性のデータソースと突合することで、インストールされているパッケージやライブラリに脆弱性が含まれるかどうか教えてくれます。

2.設定ファイルのスキャン

　Trivyはv0.19.0から設定ファイルをスキャンできるようになりました。設定ファイルをスキャンすることで、設定誤りや見落としていた問題点を確認できます。現在は、次のような設定ファイルをスキャンできます。

• Dockerfile
• Kubernetesマニフェスト
• Terraform
• AWS CloudFormation
• Helmチャート

　インターネット上に転がっているサンプルファイルはセキュリティを考慮していないものが多く、気付かないうちに脆弱な設定ファイルを作成している可能性があります。そのような場合にもTrivyのようなツールによるスキャンが効果的です。

　設定ファイルのスキャンでは、例えば次のような問題点を検知できます。

• rootユーザーで実行されるDockerfile
• 特権コンテナの起動が許されるKubernetesマニフェスト
• 「Amazon S3」バケットが外部に公開されるTerraformコード

3.シークレット情報のスキャン

　Trivyはv0.27.0からシークレット情報をスキャンできるようになりました。コンテナイメージやファイルシステムにハードコーディングされているシークレット情報を検知できます。

　現在は50以上のカテゴリーに対してシークレット情報を検知できます。例えば以下のようなものになります。

カテゴリー	シークレット情報	重大度
AWS	Access Key ID、Secret Access Key	CRITICAL
	Account ID	HIGH
Alibaba	AccessKey ID、Secret Key	HIGH
GCP	Service Account	CRITICAL
GitHub	Personal Access Token、OAuth Access Token、App Token、Refresh Token	CRITICAL
GitLab	Personal Access Token	CRITICAL
Slack	Access Token	HIGH
	Webhook	MEDIUM
Heroku	API Key	HIGH
npm	Access Token	CRITICAL

4.Kubernetesクラスタのスキャン

　Trivyはv0.28.0から実験的な位置付けでありながらもKubernetesクラスタを直接スキャンできるようになりました。KubernetesのAPI Serverと通信することでクラスタ内に存在するリソースを対象に次のようなスキャンができます。

• コンテナイメージの脆弱性スキャン
• Kubernetesマニフェストのスキャン
• シークレット情報のスキャン

Trivyでできること、できないこと