本文の内容は、2025年4月8日に Matt Kim が投稿したブログ(https://sysdig.com/blog/next-gen-container-security-why-cloud-context-matters/)を元に日本語に翻訳・再構成した内容となっております。
コンテナセキュリティは過去10年間で大きな変革を遂げてきました。Dockerのような基盤ツールの登場からKubernetesのようなオーケストレーションプラットフォームの成熟まで、コンテナセキュリティを取り巻く環境は数年前とは様相を異にしています。ガートナーは、 2028年までに95%の組織がコンテナ化されたアプリケーションを本番環境で運用すると予測しており、コンテナセキュリティが今後多くの組織にとって重要な優先事項となることは明らかです。
テクノロジーの急速な進化は、コンテナ化の進歩を促しただけでなく、コンテナやクラウドネイティブインフラを標的とした攻撃の機会も生み出しています。クラウドプロバイダーのAPIとアーキテクチャの統一性により、攻撃者は偵察などの戦術を自動化し、10分以内に攻撃を実行できます。組織は、クラウドコンテナのセキュリティとワークロード保護へのアプローチを再考する必要があります。そうでなければ、これらの攻撃に後れを取るリスクがあります。
新たな常態は新たな課題をもたらす
現代のアプリケーション開発において、コンテナは開発者にとって急速に普及しつつあるツールであり、アジリティとスケーラビリティの向上をはじめとする多くのメリットをもたらします。コンテナは、アプリケーション全体ではなく、特定のコンテナやマイクロサービスのみを柔軟に更新できるため、イノベーションのスピードを大幅に加速させます。クラウド移行とDevOpsプラクティスの普及により、コンテナ化は主流のトレンドとなり、組織は業務を効率化し、新規リリースのペースを向上させることができます。
コンテナの導入は年々増加しているものの、まだ比較的新しい技術であり、多くの企業がコンテナ化の取り組みの初期段階にあります。Kubernetesをはじめとするコンテナを取り巻く技術エコシステムは絶えず進化しており、絶え間ない変化とアップデートがもたらされ、開発チームとインフラストラクチャの拡張はセキュリティチームの拡大よりも速いペースで進んでいます。その結果、これらの環境を効果的に保護するために必要なクラウドネイティブセキュリティの人材と専門知識は、一般的に不足しています。また、組織がDevSecOps戦略を採用するにつれて、開発者がセキュリティ責任を担うケースも増えています。コンテナはイノベーションと俊敏性の向上に多くのメリットをもたらしますが、潜在的な攻撃対象領域も拡大するため、セキュリティとスピードのバランスを取ろうとするセキュリティチームにとって課題となっています。
コンテナセキュリティの2つの側面
コンテナ技術が成熟を続ける中、過去数年で2つの主要なセキュリティトレンドが顕在化しています。1つ目は、多くのセキュリティツールによって生み出される無数のノイズやアラートにより、重大なリスクが見えにくくなっている点です。DevSecOpsモデルの下では、開発者が自らデプロイするコードパッケージ内の脆弱性修正を担うことが一般的ですが、アラートの膨大な数に圧倒されています。当社の調査では、重大または高深刻度の脆弱性を含むクラウドワークロードのうち、実際に悪用可能で、修正可能で、アプリケーションによって実際に使用されているものはわずか1.2%に過ぎないことが判明しました。
2023年にはクラウド関連の新しいCVE(共通脆弱性識別子)の数が約200%増加し、オープンソースのコンテナイメージの共有によって、セキュリティチームは多くの重大かつ高深刻度のコンテナ脆弱性への対応を迫られています。多くの組織が直面している課題は、これらのリスクのうち、実際に悪用される可能性が高いものを見極め、優先度を下げるべきものと区別することにあります。開発者やセキュリティチームにとって、膨大なセキュリティ検出結果を精査した挙げ句、その多くが取るに足らないものだったという状況ほど、無駄な時間はありません。
2つ目の大きなトレンドは、クラウド攻撃の進行速度が驚異的に速くなっている点です。多くの企業がクラウドネイティブアプリケーションへ移行する中で、攻撃者もそのアーキテクチャに対応し、悪用する手法を進化させています。悪用可能なアセットを発見した攻撃者は、わずか数分で攻撃を実行し、被害を発生させることができます。クラウド攻撃の初期段階は高度に自動化されており、攻撃者はその存在を隠すために様々な巧妙な技術を用いています。
過去1年だけでも、コンテナイメージやオープンソースソフトウェアの依存関係に含まれる脆弱性、たとえば有名なXZ UtilsのSSHDバックドアを利用して初期アクセスを得た攻撃が多数観測されています。一度環境への侵入に成功すれば、攻撃者はワークロードからクラウド、あるいはその逆といった横方向の移動を容易に行い、資格情報や機密データを探索して金銭的利益を得るために悪用します。
クラウドおよびコンテナセキュリティ、ワークロード保護に対する最新のアプローチ
コンテナセキュリティの状況が進化する中、組織は予防と防御のバランスを取ろうとしています。初期の段階では、多くの企業がクラウドインフラの他の部分とは異なるツールを使ってコンテナを保護していました。しかし現在では、コンテナに対する脅威がクラウドのドメインをまたいで発生することが一般的となっており、このような分断されたアプローチは時代遅れで対応が遅れがちです。こうしたツール間の連携不足は、コンテナセキュリティを孤立したものとして扱う結果を招きます。孤立したツールでは、脆弱なコンテナに侵入した悪意ある行為者を検知できたとしても、その後の逃走・拡散経路までは把握できません。
より強固なアプローチとしては、広範なクラウドインフラ全体を横断して脅威に対応・対処できるよう、点と点を結ぶ統合プラットフォームを利用することが挙げられます。すでに多くの企業がクラウドセキュリティの統合に向けた取り組みを開始しています。Gartner®の「2023年版クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)市場ガイド」においても、このトレンドは継続すると予測されており、2025年までに企業の60%がCWPP(クラウドワークロード保護プラットフォーム)とCSPM(クラウドセキュリティポスチャー管理)の機能を単一のベンダーまたはCNAPPに統合すると見込まれています。コンテナセキュリティはまさにこのCWPPのカテゴリに該当し、クラウド領域の境界が曖昧になる中で、セキュリティリーダーや実務者はこの変化に対応する必要があります。
この新たな常態に適応するために、組織はコンテナセキュリティに対するアプローチを再考する必要があります。脅威の状況が進化しても、根本的な課題は変わりません。すなわち、セキュリティチームと開発チームはコンテナイメージ内の脆弱性を特定し、実行時の脅威を検知しなければなりません。ただし、今後はこれを異なる視点から捉える必要があります。現代の環境においては、コンテナセキュリティとワークロード保護は、真に効果を発揮するためにクラウドコンテキストが不可欠です。コンテナの検出結果をクラウド全体のコンテキストと関連付けることで、攻撃者がどのように環境を悪用できるかの全体像を把握することができます。このコンテキストを得ることで、チームは組織内のリアルタイムのリスクに集中し、コンテナをより大きな攻撃シナリオの一部として捉えることが可能になります。
コンテナセキュリティとワークロード保護は通常、脅威の検出と対応、脆弱性管理、Kubernetesセキュリティポスチャー管理(KSPM)といったユースケースを含みます。これらの要素は今なお重要ですが、この新たなアプローチでは、それらをリアルタイムの構成変更、リスクのあるIDの挙動、クラウドログの検出といった結果と統合します。これらの要素は従来CSPMに関連するものでしたが、今ではコンテナセキュリティにおいても重要性を増しています。脆弱性やコンテナ脅威に関するリアルタイムのコンテキスト情報とこれらの要素を組み合わせることで、ユーザーの環境全体における潜在的な攻撃経路の包括的な把握が可能になります。コンテナにのみ焦点を当てていると、初期侵入は見つけられても、被害の全容や攻撃者の次の動きを把握することはできません。クラウド上でワークロードを実行している限り、このような追加的なクラウドコンテキストは極めて有用です。
エージェントとエージェントレスのメリットを最大限に活用してワークロード保護を実現
セキュリティとスピードのバランスを実現する最良の方法は、エージェントベースとエージェントレスの戦略を組み合わせることです。エージェントベースとエージェントレスのどちらのアプローチがより効果的かについては議論が続いていますが、導入の容易さと迅速な価値実現という点から、エージェントレスのインストルメンテーションが人気を集めています。そのため、多くのセキュリティチームは、可能な限りエージェントレスのアプローチを採用しています。どちらのアプローチにもメリットがありますが、最も効果的なソリューションは、包括的な可視性を実現するために両方を統合することです。コンテナの場合、エージェントはより詳細なランタイムの可視性とリアルタイム検知を提供し、検知までの時間を短縮します。しかしながら、リソースの制約により、エージェントを常に普遍的に導入できるとは限りません。
このような場合、エージェントレスインストルメンテーションを活用してエージェントを補完することで、インフラストラクチャー全体を網羅した包括的なカバレッジを確保できます。コンテナセキュリティに関しては、エージェントを戦略的に導入することで、使用中のパッケージに基づいて脆弱性の優先順位付けを行い、脅威をリアルタイムで検知できます。これは、エージェントレスのみのアプローチでは不可能な機能です。これをエージェントレスのデプロイメントで補完することで、すべてのコンテナにわたって基本的な脆弱性スキャンを迅速に実行できます。前述のように、クラウドコンテキストをワークロード保護に統合することは(多くの場合エージェントレスの手段で実現されますが)、実際の攻撃を予測して対処するための優れた方法です。このアプローチは、コンテナセキュリティとワークロード保護に関連する従来の課題に対処するだけでなく、最も重大なリスクに対処するための全体像と豊富なコンテキストも提供します。どちらのアプローチもコンテナセキュリティに明らかなメリットをもたらしますが、可能な限りエージェントレスを実装してエージェントからのより深い洞察を補完するというこの新しいアプローチは、両方のメリットをもたらします。
セキュリティは常に進化し続けなければならない
コンテナ化とクラウドネイティブアプリケーションの台頭、そして攻撃者側の手法の進化により、ワークロード保護は極めて困難な局面を迎えています。この絶え間ないチェスゲームの中で、セキュリティチームは常に能動的かつ柔軟であり続け、防御策を進化させなければ、新たな脅威によって侵害されるリスクにさらされます。
最終的に、最も迅速に適応した組織こそが、数分以内に襲いかかる予測不能な攻撃を検知する体制を整えることができます。クラウドドメイン間の境界がますます曖昧になり、市場が統合に向かう中で、クラウドインフラ全体にわたるイベントを結び付ける能力こそが、資産を保護しリスクを軽減する鍵となるのです。