コンテナセキュリティは、この10年で大きく変貌を遂げてきました。Dockerのような基盤ツールの登場から、Kubernetesのようなオーケストレーションプラットフォームの成熟に至るまで、コンテナセキュリティの状況は数年前と比べても大きく様変わりしています。Gartnerは、2028年までに組織の95%が本番環境でコンテナ化アプリケーションを稼働させるようになると予測しており、今後、コンテナセキュリティが多くの組織にとって重要な優先事項となることは明らかです。
テクノロジーの急速な進化は、コンテナ化の進歩を促しただけでなく、コンテナやクラウドネイティブ基盤を標的とする攻撃の機会も生み出しました。クラウドプロバイダーのAPIやアーキテクチャの均一性により、攻撃者は偵察やその他の戦術を自動化でき、10分未満で攻撃を実行してしまいます。組織は、クラウド上のコンテナセキュリティとワークロード保護へのアプローチを見直さなければ、こうした攻撃に後れを取るリスクがあります。
新たな常態は新たな課題をもたらす
現代のアプリケーション開発において、コンテナは開発者にとって急速に一般的なツールになりつつあり、俊敏性やスケーラビリティの向上など、数多くの利点を提供します。コンテナは、アプリケーション全体ではなく特定のコンテナやマイクロサービスのみを更新できる柔軟性を開発者に与え、イノベーションのスピードを大幅に加速させます。クラウド移行とDevOpsプラクティスの広範な普及が収束したことで、コンテナ化は主流のトレンドとして押し上げられ、組織は運用の効率化と新リリースのペース向上を実現できるようになりました。
導入は年々増加している一方で、コンテナは依然として比較的新しい技術であり、多くの企業はまだコンテナ化の取り組みの初期段階にあります。Kubernetesを含むコンテナ周辺の技術エコシステムは絶えず進化し、継続的な変化と更新が発生します。また、開発チームとインフラはセキュリティチームよりも速いペースで拡大してきました。その結果、これらの環境を効果的に保護するために必要なクラウドネイティブセキュリティ人材や専門知識が全般的に不足しています。さらに、組織がDevSecOps戦略を採用するにつれて、開発者がセキュリティ責任をより多く担う傾向も見られます。コンテナはイノベーションと俊敏性に多くの利点をもたらしますが、潜在的な攻撃対象領域も拡大し、セキュリティとスピードの両立を図るセキュリティチームにとって課題となります。
コンテナセキュリティの二つの側面
コンテナ技術が成熟を続ける中、ここ数年で二つの主要なセキュリティトレンドが浮上しています。第一は、多くのセキュリティツールが生み出す終わりのないノイズやアラートによって、重要なリスクが埋もれてしまうことです。DevSecOpsモデルでは、開発者がデプロイするコードパッケージの脆弱性修正を担うことが多いものの、アラートの膨大な量に圧倒されがちです。当社の調査では、重大または高深刻度の脆弱性を持つクラウドワークロードのうち、悪用可能で修正があり、かつ実際にアプリケーションで使用されているものはわずか1.2%に過ぎません。クラウド関連の新規CVE数は2023年に約200%増加し、オープンソースのコンテナイメージ共有により、セキュリティチームは重大・高深刻度のコンテナ脆弱性の大量発生に直面しています。多くの組織が抱える課題は、これらのリスクのうち実際に悪用される可能性が高いものと、優先度を下げられるものを見極めることです。開発者やセキュリティチームが最も避けたいのは、長大なセキュリティ検出結果を精査する貴重な時間を費やした挙げ句、その多くが取るに足らないものだと判明することです。
第二の大きなトレンドは、クラウド攻撃が現在驚異的なスピードで進行することです。より多くの企業がクラウドネイティブアプリケーションへ移行するにつれ、攻撃者もこれらのアプリが依拠するアーキテクチャを活用するよう適応してきました。悪用可能な資産を見つけた後、悪意ある攻撃者が攻撃を実行し被害を与え始めるまでに必要なのはわずか数分です。クラウド攻撃の初期段階は高度に自動化され得るうえ、攻撃者は存在を隠すためのあらゆる高度な手法を編み出しています。直近1年だけでも、攻撃者がコンテナイメージやオープンソースソフトウェア依存関係の脆弱性を通じて初期侵入を獲得した多数の攻撃を観測しており、その中には有名なXZ UtilsのSSHDバックドアも含まれます。いったん環境に侵入すると、攻撃者は(ワークロードからクラウドへ、またはその逆へ)容易に横移動し、利益目的で悪用できる認証情報や機密データを探し回ります。
クラウドとコンテナセキュリティ、そしてワークロード保護への現代的アプローチ
コンテナセキュリティの状況が進化するにつれ、組織は予防と防御のバランスを取ろうとしています。当初、多くの組織は、クラウド基盤の他の部分を保護するためのツールとは別のツールでコンテナを保護していました。しかし現在では、コンテナの脅威はしばしばクラウドドメインをまたいで広がるため、この分断されたアプローチは遅く、時代遅れになっています。ツール間の連携不足により、コンテナセキュリティが孤立して捉えられてしまいます。孤立したツールは、脆弱なコンテナへの侵入を検知できたとしても、脱出後の攻撃経路は見えないままです。より堅牢なアプローチは、広範なクラウド基盤全体で点と点をつなぐ統合プラットフォームを用い、俊敏に脅威を阻止・対応することです。すでに多くの企業が、クラウドセキュリティ統合への取り組みを開始しています。2023年のGartner® Market Guide for Cloud-Native Application Protection Platforms(CNAPP)では、このトレンドが継続すると予測されており、2025年までに企業の60%が、クラウドワークロード保護プラットフォーム(CWPP)とクラウドセキュリティポスチャ管理(CSPM)の機能を単一ベンダーまたはCNAPPに統合すると見込んでいます。コンテナセキュリティはまさにCWPPの領域に該当し、クラウド全体でドメイン間の境界が曖昧になっていく中で、セキュリティのリーダーや実務者はこの変化に追随する必要があります。
この新たな常態に適応するため、組織はコンテナセキュリティへのアプローチを再考する必要があります。脅威環境が進化しても、根本的な課題は同じです。セキュリティチームと開発者チームは、コンテナイメージの脆弱性を捉え、実行時に脅威を検知しなければなりません。しかし今は、異なる視点でこの課題に取り組む必要があります。現代の環境では、コンテナセキュリティとワークロード保護が真に有効であるためには、クラウドコンテキストが不可欠です。コンテナの検出結果をクラウド全体のコンテキストと相関付けることは、攻撃者が環境をどのように悪用し得るかの全体像を把握するうえで重要です。このコンテキストを武器に、チームは組織内のアクティブなリアルタイムリスクに集中し、コンテナをより大きなストーリーの一部として捉えられるようになります。
コンテナセキュリティとワークロード保護は通常、脅威検知と対応、脆弱性管理、Kubernetesセキュリティポスチャ管理(KSPM)といったユースケースを包含します。これらの要素は引き続き重要ですが、この新しいアプローチでは、リアルタイムの設定変更、リスクの高いアイデンティティの振る舞い、クラウドログの検知といった所見も統合します。これらの所見は通常CSPMに関連付けられますが、コンテナセキュリティにとっても重要性が高まっています。これらの要素を、脆弱性やコンテナ脅威に関するリアルタイムの文脈的インサイトと組み合わせることで、ユーザー環境全体にわたる潜在的な攻撃経路の包括的な全体像が描けます。コンテナだけに注目すると初期侵害は見えるかもしれませんが、被害の範囲を明らかにしたり、攻撃者の次の一手を予測したりすることはできません。組織がクラウド上でワークロードを稼働させている限り、この追加のクラウドコンテキストは大きな価値をもたらします。
ワークロード保護に、エージェントとエージェントレスの長所を取り入れる
セキュリティとスピードのバランスを実現する最善の方法は、エージェントベースとエージェントレスの戦略を組み合わせることです。エージェントベースかエージェントレスのどちらがより効果的かについては継続的な議論があり、導入の容易さと価値実現までの速さから、エージェントレスの計測が一般的なアプローチになりつつあります。このため、多くのセキュリティチームは可能な限りエージェントレスのアプローチを実装することを好みます。両方のアプローチに利点はありますが、最も効果的なソリューションは、包括的な可視性のために両者を統合します。コンテナにおいては、エージェントがより深い実行時の可視性とリアルタイム検知を提供し、発見までの時間を短縮します。残念ながら、リソース制約により、常に全面的に導入できるとは限りません。
このような場合、エージェントレスの計測を活用してエージェントを補完することで、インフラ全体にわたる網羅的なカバレッジを確保できます。コンテナセキュリティでは、エージェントを戦略的に配置することで、使用中のパッケージに基づいて脆弱性の優先順位を付けることや、脅威をリアルタイムで検知することが可能になります。これらはエージェントレスのみのアプローチでは実現できない能力です。これをエージェントレス導入で補完することで、すべてのコンテナに対して迅速な基本的脆弱性スキャンを実施できます。前述のとおり、ワークロード保護にクラウドコンテキストを統合すること(多くの場合エージェントレス手段で実現)は、進行中の攻撃を予測し対抗する優れた方法です。このアプローチは、コンテナセキュリティとワークロード保護に伴う従来の課題に対処するだけでなく、最も重大なリスクに対応するための全体像と豊富なコンテキストも提供します。両アプローチはコンテナセキュリティに明確な利点をもたらしますが、可能な限りエージェントレスを実装してエージェントの深い洞察を補完するという新しいアプローチは、両者の「いいとこ取り」を実現します。
セキュリティは適応し続けなければならない
コンテナ化とクラウドネイティブアプリケーションの台頭、そして攻撃者側の進歩により、ワークロード保護は難しい局面を迎えています。この終わりのないチェスゲームの中で、セキュリティチームは先手を打ち、適応し続け、防御を継続的に進化させなければ、新たな脅威によって侵害されるリスクがあります。
最終的に、最も迅速に適応できる組織こそが、数分という短時間で予告なく襲いかかる攻撃を検知するうえで最も有利になります。クラウドドメイン間の境界がますます不明瞭になり、市場が統合へ向かう中、クラウド基盤全体にわたってイベントを関連付けられる能力が、資産を保護しリスクを低減する鍵となります。
Sysdigが可視化からアクションへ進むお手伝いをどのようにできるか、見てみませんか?
👉 デモをリクエストして、Sysdigの仕組みをご確認ください。
Kubernetes & コンテナセキュリティ
翻訳元: https://www.sysdig.com/blog/next-gen-container-security-why-cloud-context-matters
