SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2023 セッションレポート(AD)

オンプレミスの当たり前が通用しない! 設計時から気をつけたい、コンテナ環境のセキュリティ対策

【9-E-5】クラウドネイティブのセキュリティ所在や対応を考える ~コンテナ環境のマルウェア対策を例に~

  • X ポスト
  • このエントリーをはてなブックマークに追加

コンテナデプロイ後の対策4つ

 今度はコンテナデプロイ後の対策を簡単に見ていこう。

稼働中コンテナに対するスキャン

 コンテナのファイルシステムでマルウェアが実行されたら、リアルタイムで検知して駆除する。従来のサーバーOSに導入するタイプのマルウェア対策ソフトでは、コンテナに対応していないケースもあるので注意が必要だ。

稼働中コンテナの脆弱性対策

 脆弱性のなかにはイメージスキャンでは検出できなかったもの、検出したが許容したもの、新たに発見されるものもある。外部からの脆弱性をついた攻撃にそなえ、ネットワーク手前にWAFを設置する、ネットワーク上で攻撃パケットをとらえて対処するなどの対策が考えられる。

稼働中コンテナの不審な挙動を検出

 周辺ネットワークの探索、外部との不正な通信、ツールのダウンロード、ログの改ざんや消去などはマルウェア特有の不審な挙動と言える。こうした挙動を検出して、早期に封じ込めれば被害を最小限にできる。事前に正規の挙動をルールまたは学習でホワイトリスト化、あるいは不審な挙動をブラックリストで検出する。

 野村氏は「実際に不審な挙動が攻撃者の攻撃なのか、正規の挙動の範囲なのか、評価できるのはシステムを最も把握している開発者になりえます」と話す。

コンテナと外部、およびコンテナ間の通信制御

 マルウェアは感染後に何らかの形で不正な通信を行うため、正規の通信先以外の通信を制御しておけば被害を最小限に抑えることにつながる。通信の制御は、ネットワークの設定やサードパーティー製品で実装可能だ。ただし正規の通信やアクセスコントロールの作成はユーザー側で行う必要がある。

 野村氏は「クラウドネイティブやコンテナのセキュリティ対策を見ると、従来よりも開発者が関わるところが多くあるため、組織全体でセキュリティナレッジの強化が求められています」と強調する。

コンテナ環境のセキュリティ対策 Trend Micro Cloud One

 クラウド環境を保護するソリューションとして、トレンドマイクロでは複合的なアプローチをとれる「Trend Micro Cloud One」シリーズを提供している。コンテナ環境では、ネットワークの境界部分で「Network Security」、仮想マシンなどサーバー環境を保護する「Workload Security」、ストレージを保護する「File Storage Security」、デプロイ前のセキュリティチェックとデプロイ制御からランタイム保護まで、コンテナ環境のセキュリティを一気通貫で実現する「Container Security」がある。さらに全体の設定不備を可視化する「Conformity」もある。

コンテナ環境への対策
コンテナ環境への対策

 その他にも「Cloud Sentry」によるクラウド環境への定期スキャン、「Container Security」のランタイム脆弱性検索、「Open Source Security by Snyk」によるOSS脆弱性検索など、機能が拡充している。最新情報はCloud Oneのオンラインヘルプでチェックするといいだろう。

 野村氏は「Cloud OneシリーズはAWSやAzure Marketplaceでも提供しており、30日間の無料トライアルも提供しているので、ぜひ使用感を確認してみてください」と呼びかけ、最後に「クラウドネイティブは設計時からセキュリティを作り込むことが求められています。組織でナレッジの強化、抜け漏れがないように多層防御でカバーいただければと思います。対策製品としてぜひCloud Oneシリーズもご検討ください」と述べて講演を締めた。

関連リンク

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
Developers Summit 2023 セッションレポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Onlineの取材・記事や、EnterpriseZine/Security Onlineキュレーターも担当しています。Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:トレンドマイクロ株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/17566 2023/04/26 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング