コンテナセキュリティは過去10年間で大きな変革を遂行してきました。Dockerなどの基礎的なツールの出現からKubernetesなどのオーケストレーションプラットフォームの成熟まで、コンテナセキュリティの景観は数年前とは異なって見えます。Gartnerが2028年までに95%の組織が本番環境でコンテナ化されたアプリケーションを実行すると予測している中で、コンテナセキュリティはほとんどの組織にとって今後重要な優先事項になることは明らかです。
技術の急速な進化はコンテナ化の進歩を促進しただけでなく、コンテナとクラウドネイティブインフラストラクチャを対象とした攻撃の機会も生み出してきました。攻撃者はクラウドプロバイダーのAPI およびアーキテクチャの一様性により、偵察およびその他の戦術を自動化でき、10分以内に攻撃を実行できます。組織はクラウドコンテナセキュリティへのアプローチを再考し、ワークロード保護を実施する必要があります。そうしなければ、これらの攻撃に遅れをとるリスクがあります。
コンテナが新しいセキュリティ課題をもたらす
現代のアプリケーション開発では、コンテナは開発者にとって急速に人気が高まっているツールであり、多数の利点を提供します。これには、俊敏性とスケーラビリティの向上が含まれます。コンテナは開発者にアプリケーション全体ではなく特定のコンテナまたはマイクロサービスを更新する柔軟性を提供し、イノベーションのペースを大幅に加速させます。クラウド移行とDevOps実践の広範な採用の収束により、コンテナ化は支配的なトレンドとして推し進められ、組織がその操業をストリームライン化し、新しいリリースのペースを加速させることができます。
毎年採用が増加していますが、コンテナはまだ比較的新しいテクノロジーであり、多くの企業はまだコンテナ化の初期段階にあります。Kubernetesを含むコンテナを取り巻く常に進化するテクノロジーエコシステムは、継続的なシフトと更新をもたらし、開発チームとインフラストラクチャはセキュリティチームよりも速く拡大しました。その結果、これらの環境を効果的に保護するために必要なクラウドネイティブセキュリティの才能と専門知識は一般的に不足しています。また、組織がDevSecOpsセキュリティ戦略を採用しているため、開発者がセキュリティの責任を増加させていることも見られます。コンテナはイノベーションと俊敏性に対して多くの利点をもたらしますが、潜在的な攻撃面も拡大しており、セキュリティとスピードのバランスを取ろうとするセキュリティチームに課題をもたらします。
コンテナセキュリティの2つの側面
コンテナテクノロジーが引き続き成熟するにつれて、過去数年間に2つの重要なセキュリティトレンドが出現しました。最初のトレンドは、多くのセキュリティツールが生成する終わりのないノイズと警告によって主要なリスクが不明瞭にされることを中心としています。
DevSecOpsモデルの下では、開発者は多くの場合、展開するコードパッケージの脆弱性を修正する責任がありますが、膨大なアラートの量に圧倒されています。私たちの調査では、重大度が高いまたは高い脆弱性を持つクラウドワークロードのうち、1.2%のみが悪用可能であり、修正があり、アプリケーションによって実際に使用されていることがわかりました。
オープンソースコンテナイメージの共有により、セキュリティチームは多数の重大および高度の重要度コンテナ脆弱性に直面しています。たとえば、SUSE研究者が2025年に3つのrunc脆弱性を発見しました。
多くの組織が直面する課題は、これらのリスクのどれが実際に高い悪用の可能性があるか、そしてどれを優先度を下げることができるかを判断することにあります。開発者またはセキュリティチームが望む最後のことは、セキュリティ発見の長いリストをふるい分けるのに貴重な時間を費やすことであり、多くが重要でないことを発見することです。
第2の主要なトレンドは、クラウド攻撃が現在動く印象的な速度です。より多くの企業がクラウドネイティブアプリケーションにシフトするにつれて、攻撃者はこれらのアプリが構築されているアーキテクチャを活用するように適応してきました。悪用可能なアセットを発見した後、悪意のある行為者はわずか数分で攻撃を実行し、損害を与えるを開始する必要があります。
クラウド攻撃の初期段階は大幅に自動化される可能性があり、攻撃者は彼らの存在を偽装するためのあらゆる種類の高度な技術を思いついています。過去1年間だけで、悪意のある行為者がコンテナイメージまたはオープンソースソフトウェア依存関係の脆弱性を通じて初期アクセスを取得した多くの攻撃を観察してきました。その中には、よく知られているXZ UtilsのSSHDバックドアが含まれています。
環境内に侵入すると、攻撃者はワークロードからクラウドへ、またはその逆へと容易に横方向に移動し、利益のために悪用する認証情報や機密データを探しに行きます。
クラウドおよびコンテナセキュリティとワークロード保護への現代的なアプローチ
コンテナセキュリティの景観が進化するにつれて、組織は予防と防御のバランスを取ろうとしています。初期段階では、多くの企業がクラウドインフラストラクチャの他の部分を保護するために使用するツールとは異なるツールを使用してコンテナを保護していました。しかし、コンテナの脅威はしばしばクラウドドメイン全体で発生するようになり、この分割されたアプローチは遅く、時代遅れになります。これらのツール間の通信の欠如により、コンテナセキュリティが分離された状態で見ることになります。
孤立したツールは悪意のある行為者が脆弱なコンテナを侵害するのを検出する可能性がありますが、ポスト エスケープ攻撃パスは不明瞭なままです。より堅牢なアプローチは、広いクラウドインフラストラクチャ全体に点を結び、脅威に対処および対応するための統一プラットフォームを使用することです。
既に、多くの企業はクラウドセキュリティの統合への旅を開始しています。最近のGartnerマーケットガイドでは、より多くの組織がクラウドワークロード保護プラットフォーム(CWPP)とクラウドセキュリティ体制管理(CSPM)の能力を単一のベンダーまたはクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)に統合することが予測されていました。コンテナセキュリティはこのCWPPのカテゴリーに当てはまり、セキュリティリーダーと実践者は、クラウド全体のドメイン間の境界が曖昧になり始めるにつれて、この変化に対応する必要があります。
この新しい標準に適応するために、組織はコンテナセキュリティへのアプローチを再考する必要があります。進化する脅威の状況にもかかわらず、基本的な課題は同じままです。セキュリティチームと開発チームはコンテナイメージの脆弱性を把握し、実行時に脅威を検出する必要があります。しかし今では、異なるレンズでこの課題にアプローチする必要があります。現代の環境では、コンテナセキュリティとワークロード保護が本当に効果的であるために、クラウドコンテキストが必要です。
クラウド全体のコンテキストとコンテナの検出結果を相関させることは、攻撃者が環境をどのように悪用できるかの全体像を取得するために不可欠です。このコンテキストを備えた、チームはアクティブなリアルタイムリスクに焦点を合わせることができ、コンテナをより大きなストーリーの一部として見ることができます。
コンテナセキュリティとワークロード保護は、一般的に脅威検出とレスポンス(TDR)、脆弱性管理、およびKubernetesセキュリティ態勢管理(KSPM)などの使用例を含みます。これらの要素は重要なままですが、このアプローチは、リアルタイムの構成変更、リスキーなアイデンティティの動作、およびクラウドログの検出などの検出結果と統合します。
これらの他の検出結果は通常、CSPMに関連付けられていますが、コンテナセキュリティに関連性が高まっています。これらの要因を脆弱性とコンテナの脅威に関するリアルタイムコンテキストの洞察と組み合わせることで、ユーザーの環境全体における潜在的な攻撃パスの包括的な画像を描きます。コンテナのみに焦点を当てることは、初期侵害を明らかにする可能性がありますが、損害の程度を明かすことも、攻撃者の次の動きを予測することもできません。組織がクラウドで実行されているワークロードを持っている限り、この追加のクラウドコンテキストは大きな価値を提供します。
エージェントベースとエージェントレスの両方の長所をワークロード保護に もたらす
セキュリティとスピードのバランスを達成する最善の方法は、エージェントベースおよびエージェントレス戦略を組み合わせることです。エージェントベースまたはエージェントレスのどちらのアプローチがより効果的であるかについての継続的な議論があり、エージェントレス計測は導入の容易さと迅速な価値提供の実現により人気のあるアプローチになります。このため、多くのセキュリティチームは可能な限りエージェントレスアプローチの実装を好みます。
両方のアプローチに利点がありますが、最も効果的なソリューションは包括的な可視性のために両方を統合します。コンテナの場合、エージェントはより深い実行時の可視性と高速な検出時間を実現するためのリアルタイム検出を提供します。残念ながら、リソースの制約のため、それらを普遍的に展開することは必ずしも可能ではありません。
このような場合、エージェントレス計測を活用してエージェントを補足することで、インフラストラクチャ全体の完全な幅広いカバレッジを確保します。コンテナセキュリティの場合、エージェントを戦略的に展開すると、使用中のパッケージに基づいて脆弱性に優先順位を付けて、脅威をリアルタイムに検出できます。これらの機能は、エージェントレスのみのアプローチでは不可能です。
これをエージェントレス配置で補足することで、すべてのコンテナにわたって迅速な基本的な脆弱性スキャンが可能になります。前述のように、ワークロード保護にクラウドコンテキストを統合することは、多くの場合エージェントレスの手段により達成され、ライブ攻撃を予測および対抗する優れた方法です。
このアプローチは、コンテナセキュリティとワークロード保護に関連する従来の課題に対処するだけでなく、最も重大なリスクに対処するための完全な画像と豊富なコンテキストを提供します。両方のアプローチはコンテナセキュリティに明確な利点をもたらしますが、可能な限りエージェントレスを実装してエージェントからのより深い洞察を補足するこのアプローチの新しい方法は、両方の世界の最高の結果をもたらします。
セキュリティはクラウドワークロード保護に向けて継続的に適応する必要があります
コンテナ化とクラウドネイティブアプリケーションの台頭、および攻撃者による進歩により、ワークロード保護に課題のある地点に到達しました。この絶え間ないチェスゲームでは、セキュリティチームは積極的で適応可能でなければならず、防御を継続的に進化させるか、新興の脅威により侵害されるリスクがあります。
結局のところ、最も速く適応する組織は、数分以内に警告なしで攻撃する攻撃を検出する最も効果的な装備が整った組織となります。クラウドドメイン間の境界が定義されなくなり、市場が統合に向かうにつれて、クラウドインフラストラクチャ全体にわたってイベントを接続できることが、資産を保護し、リスクを軽減するための鍵になります。
Sysdigがどのように見える可視性からアクションにまで進む手助けができるかを確認する準備はできていますか?
👉 デモをリクエストしてSysdigの動作を確認します。
翻訳元: https://webflow.sysdig.com/blog/next-gen-container-security-why-cloud-context-matters
