本文の内容は、2024年5月30日に MATT KIM が投稿したブログ(https://sysdig.com/blog/next-gen-container-security-why-cloud-context-matters/)を元に日本語に翻訳・再構成した内容となっております。
コンテナ セキュリティは、過去 10 年間で大きな変革を遂げてきました。Docker などの基礎ツールの登場から Kubernetes などのオーケストレーションプラットフォームの成熟まで、コンテナセキュリティの状況は数年前とは様変わりしています。Gartner は、 2028 年までに95% の組織がコンテナ化されたアプリケーションを本番環境で実行すると予測しており、コンテナセキュリティが今後ほとんどの組織にとって重要な優先事項になることは明らかです。テクノロジーの急速な進化は、コンテナ化の進歩を促進しただけでなく、コンテナとクラウド ネイティブインフラストラクチャーを標的とした攻撃の機会も生み出しています。クラウドプロバイダーの API とアーキテクチャーが統一されているため、攻撃者は偵察やその他の戦術を自動化し、10 分以内に攻撃を実行できます。組織は、クラウドコンテナのセキュリティおよびワークロード保護に対するアプローチを再考する必要があります。そうしないと、これらの攻撃によって後れを取るリスクがあります。
新しい日常が新たな課題をもたらす
モダンなアプリケーション開発において、コンテナは急速に開発者に人気のツールになりつつあり、俊敏性や拡張性の向上など、数多くの利点があります。コンテナは、アプリケーション全体ではなく特定のコンテナやマイクロサービスを更新する柔軟性を開発者に提供し、イノベーションのペースを大幅に加速します。クラウド移行の融合と DevOps プラクティスの広範な採用により、コンテナ化が主流のトレンドとなり、組織は業務を合理化し、新しいリリースのペースを速めることができます。
コンテナの導入は毎年増加していますが、まだ比較的新しいテクノロジーであり、多くの企業はまだコンテナ化の取り組みの初期段階にあります。Kubernetes など、コンテナを取り巻くテクノロジー エコシステムは絶えず進化しており、絶え間ない変化と更新が行われ、開発チームとインフラストラクチャーはセキュリティ チームよりも急速に拡大しています。その結果、これらの環境を効果的に保護するために必要なクラウド ネイティブ セキュリティの人材と専門知識が一般的に不足しています。また、組織がDevSecOps戦略を採用するにつれて、開発者がセキュリティの責任を負うことが増えています。コンテナはイノベーションと俊敏性に多くの利点をもたらしますが、潜在的な攻撃対象領域も拡大するため、セキュリティとスピードのバランスを取ろうとするセキュリティ チームにとって課題となります。
コンテナセキュリティの二面性
コンテナ技術が成熟を続ける中、ここ数年で二つの重要なセキュリティトレンドが浮かび上がってきました。第一のトレンドは、多くのセキュリティツールが作り出す終わりのないノイズやアラートによって、重要なリスクが見えにくくなることです。DevSecOpsモデルでは、開発者がデプロイするコードパッケージの脆弱性を修正する責任を負いますが、膨大な量のアラートに圧倒されがちです。当社の調査によると、クリティカルまたは高リスクの脆弱性を持つクラウドワークロードのうち、実際に利用され、修正が可能であり、かつ悪用される可能性があるものはわずか1.2%に過ぎません。2023年にはクラウド関連の新しいCVEの数がほぼ200%増加し、オープンソースのコンテナイメージの共有がセキュリティチームに多くのクリティカルおよび高リスクのコンテナ脆弱性への対応を迫っています。多くの組織が直面している課題は、これらのリスクのうち、実際に悪用される可能性が高いものと、優先順位を下げられるものを識別することにあります。開発者やセキュリティチームにとって最も避けたいことは、長いリストのセキュリティファインディングを調べた結果、ほとんどが重要でないことに気づいて貴重な時間を浪費することです。
第二の主要なトレンドは、クラウド攻撃の驚異的な速さです。多くの企業がクラウドネイティブアプリケーションに移行する中、攻撃者はこれらのアプリケーションの基盤となるアーキテクチャーを利用するように適応してきました。攻撃者は、悪用可能な資産を見つけた後、攻撃を実行して被害を与えるまでに数分しかかかりません。クラウド攻撃の初期段階は大いに自動化されており、攻撃者は自らの存在を隠すための洗練された技術を駆使しています。昨年だけでも、攻撃者がコンテナイメージやオープンソースソフトウェアの依存関係に存在する脆弱性を通じて初期アクセスを得た攻撃が多数観察されました。有名な例として、XZ UtilsのSSHDバックドアが含まれます。一度環境に侵入すると、攻撃者はワークロードからクラウド、またはその逆に横方向に簡単に移動し、利益を得るために資格情報や機密データを探します。
クラウドコンテナセキュリティおよびワークロード保護のためのモダンなアプローチ
コンテナセキュリティの状況が進化する中、組織は予防と防御のバランスを取ることを目指しています。最初は、他のクラウドインフラ部分とは異なるツールを使用してコンテナを保護していましたが、現在ではコンテナの脅威がクラウドドメインを越えることが多くなり、この分割されたアプローチは遅くて時代遅れとなっています。これらのツール間のコミュニケーションの欠如は、コンテナセキュリティを孤立したものとして捉える原因となります。孤立したツールが脆弱なコンテナへの侵入を検出しても、脱出後の攻撃経路は不明のままです。より強力なアプローチは、広範なクラウドインフラ全体にわたって脅威を迅速に阻止し、対応するために統合されたプラットフォームを使用することです。
すでに多くの企業がクラウドセキュリティの統合を進めています。2023年のGartner® Market Guide for Cloud-Native Application Protection Platforms(CNAPP)によれば、このトレンドは続くと予測され、2025年までに60%の企業がクラウドワークロード保護プラットフォーム(CWPP)とクラウドセキュリティポスチャーマネジメント(CSPM)機能を単一のベンダーまたはCNAPPに統合するだろうとしています。コンテナセキュリティはこのCWPPのカテゴリーに完全に当てはまり、セキュリティリーダーや実務者はクラウド全体のドメイン間の境界が曖昧になるにつれてこの変化に対応する必要があります。
この新しい日常に適応するために、組織はコンテナセキュリティに対するアプローチを再考する必要があります。脅威の状況が進化しているにもかかわらず、基本的な課題は変わりません。セキュリティチームと開発者チームは、コンテナイメージの脆弱性をキャッチし、ランタイムで脅威を検出する必要があります。しかし、現在ではこの課題に対して異なる視点で取り組む必要があります。モダンな環境では、コンテナセキュリティとワークロード保護にはクラウドコンテキストが必要です。コンテナの発見とクラウド全体のコンテキストを関連付けることは、攻撃者が環境をどのように悪用できるかを完全に把握するために不可欠です。このコンテキストを活用することで、チームは組織内のリアルタイムのリスクに集中し、コンテナをより大きなストーリーの一部として見ることができます。
コンテナセキュリティとワークロード保護には、脅威検出と対応、脆弱性管理、Kubernetesセキュリティポスチャーマネジメント(KSPM)などのユースケースが含まれます。これらの要素は引き続き重要ですが、この新しいアプローチでは、リアルタイムの構成変更、リスクの高いアイデンティティ行動、クラウドログの検出などの検知と統合されます。これらの他の検知は通常CSPMに関連付けられますが、コンテナセキュリティにも関連性が増しています。脆弱性やコンテナの脅威に関するリアルタイムのコンテキストに基づく洞察とこれらの要素を組み合わせることで、ユーザーの環境全体にわたる潜在的な攻撃経路の包括的な絵を描くことができます。コンテナのみに焦点を当てると初期の侵入は明らかになりますが、被害の範囲や攻撃者の次の一手を予測することはできません。組織がクラウドでワークロードを稼働させている限り、この追加のクラウドコンテキストは大きな価値を提供します。
エージェントとエージェントレスの長所をワークロード保護に取り入れる
セキュリティとスピードのバランスを実現する最良の方法は、エージェントベースとエージェントレスの戦略を組み合わせることです。エージェントベースとエージェントレスのアプローチのどちらが効果的かについては議論が続いていますが、エージェントレスのインストゥルメンテーションは、導入の容易さと迅速な価値実現のために人気のあるアプローチとなっています。このため、多くのセキュリティチームは、可能な限りエージェントレスのアプローチを採用することを好みます。両方のアプローチにはそれぞれ利点がありますが、最も効果的なソリューションは両方を統合して包括的な可視性を提供するものです。
コンテナにおいては、エージェントはより深いランタイム可視性とリアルタイム検出を提供し、より迅速な検出を可能にします。しかし、リソースの制約から、エージェントを普遍的に展開することは常に可能ではありません。
このような場合、エージェントレス インストゥルメンテーションを活用してエージェントを補完することで、インフラストラクチャー全体を完全にカバーできます。コンテナセキュリティの場合、エージェントを戦略的にデプロイすることで、使用中のパッケージに基づいて脆弱性に優先順位を付け、脅威をリアルタイムで検出できます。これは、エージェントレスのみのアプローチでは不可能な機能です。これをエージェントレス デプロイメントで補完することで、すべてのコンテナで基本的な脆弱性スキャンを迅速に実行できます。前述したように、クラウドコンテキストをワークロード保護に統合することは (多くの場合、エージェントレスの手段で実現されます)、実際の攻撃を予測して対処する優れた方法です。このアプローチは、コンテナ セキュリティとワークロード保護に関連する従来の課題に対処するだけでなく、最も重大なリスクに対処するための全体像と豊富なコンテキストも提供します。どちらのアプローチもコンテナセキュリティに明らかなメリットをもたらしますが、エージェントからのより深い洞察を補完するために可能な限りエージェントレスを実装するというこの新しいアプローチは、両方の長所をもたらします。
セキュリティは適応し続けなければならない
コンテナ化とクラウドネイティブ アプリケーションの台頭、そして攻撃者の進化により、ワークロード保護は困難な状況に陥っています。この絶え間ないチェスゲームの中で、セキュリティ チームはプロアクティブかつ適応力を維持し、防御を継続的に進化させなければ、新たな脅威によって侵害されるリスクを負うことになります。
最終的に、最も迅速に適応する組織は、ほんの数分で警告なしに襲い掛かる攻撃を最もよく検出できるようになります。クラウドドメイン間の境界がますます曖昧になり、市場が統合に向かうにつれて、クラウド インフラストラクチャー全体のイベントを接続する機能が、資産を保護し、リスクを軽減する鍵となります。