世界700社以上の実行環境でみえるリスクと課題
小雨の降る中、多くのお客様に来場いただいた本講演は展示会場内Room Eで行われました。
まず冒頭、Sysdig(シスディグ)社の国内総代理店である、SCSK株式会社の姜 来誠(きょう らいせい)氏より、毎日数万件に及ぶシステム環境で発見されるという脆弱性について話がありました。

パッチ適用可能な脆弱性⁉
「Sysdig社では、毎日数万件の脆弱性をお客様のシステム環境で発見しています。そこで分かってきたのが本番環境で動作するイメージの実に85%に、すでにパッチが出ている脆弱性が含まれいるということです。さらにはその中の75%のイメージには深刻度、「高」また は「重要」といったレベルでの脆弱性が含まれていました。」(姜氏)

これについてSysdig社は “非常に由々しき事態である” と指摘をした上で “深刻度「高」または「重要」といったレベルの問題だけに範囲を限定しても、すべてを修正することは不可能である” としている、といいます。
「Sysdig社は、“リスクを見極めながらこの問題にしっかり優先順位をつけて対処するべきだ” と警告をしています。」(姜氏)
コンテナを保護する場合、脆弱性がどこに存在し、どのように環境に侵入するのかを理解することが重要です。このレポートにある現状に対し、実際どう対処していくのがよいのでしょうか。
狙われる一般的な設定ミス
次に明らかになったのは権限回りの状況でした。
「非常に驚くべきことに、コンテナイメージの76%が、最終的にrootとして実行されている、ということです。つまり特権的なコンテナを使用しているため、危険にさらされている、と言えるでしょう。」(姜氏)

「これについてSysdig社は “徐々に脆弱性スキャナーの必要性は理解されつつある” とする一方で、 “ 設定ミスについてはお客様内でしっかりチェックしていないのではないか” というような指摘をしています。さらにこの要因として、“コンテナイメージを本番環境にプッシュする前に開発者がパーミッションを正しく設定することを忘れてしまっているということに原因があるのではないか” と指摘しています。そして、これは昨年より31%増加しています。」(姜氏)
この設定ミスの問題はコンテナだけにはとどまらない、と姜氏は続けます。
「実は、クラウド・アカウントの73%にデータを危険にさらす可能性があるS3バケットが公開されている、ということがわかりました。」(姜氏)
ではなぜ、意図せず公開されているであろうS3バケットが、こんなにも存在しているのでしょうか?
「この原因ですが、AWSの場合デフォルトではパブリックアクセスを無効にした状態でバケットが作成されます。その後、一時的なテストや長期的な使い勝手の良さから、この設定を変更することがあります。ですが、“ それがそのままの状態で放置されたりしている、というケースがあるのではないか” とSysdig社は指摘しております。」(姜氏)

セキュリティ・アラートでわかる真実
さらに、話はSysdig製品で利用可能な、振る舞い検知のソフトウェア 『 Falco(ファルコ) 』 で受け取れるセキュリティ・アラートについて及びました。
「このFalcoにより、実にお客様の62%がコンテナ内にターミナルシェルを検出をしています。これは改ざんのリスクが非常に高まっているということを示しています。次いで38%と検出が多いのが、機密性の高いマウントポイントで起動されたコンテナを検出をしている、というものです。すなわち、コンテナがホスト上の重要なファイルを変更できる、ということを意味しています。そして最後に、28%のお客様環境において、ホストマシンへのルート権限を持ったコンテナが存在している、といった状況があります。」(姜氏)

この『 Falco 』 によるセキュリティアラートで明らかになったリスクに対して、コンテナ利用に不安を感じた方は多いのではないでしょうか。
姜氏は本件について以下のように話しました。
「約60%のコンテナでCPUの制限が定義されていません。そして51%でメモリーの制限も無いということが分かりました。さらにはCPUに制限があったクラスターでも、平均34%のCPUコアが未使用であった、という報告がなされています。」(姜氏)

では、Kubernetesクラスターのキャパシティ・プランニングについては、どういった現状なのか?
こういった状況を見るに、いかに大規模環境でのキャパシティプランニングが困難な状況であるか、という事が示されたのではないでしょうか。
姜氏は最後に、今後のコンテナ利用における重要なポイントをこう締めくくりました。
「特に重要であることの1点目として、『権限管理』があります。クラウドそれからコンテナの導入が進むと、クラウド・アカウントに過剰な権限が与えられり、コンテナがルートとして実行されたり、ということがあります。これは安全性に欠ける行動が、非常に多くなっている、ということです。」
「2点目が、『ランタイムの脅威検知』。いかに堅牢なプログラムであっても、すべての脆弱性や設定ミスに対処することはできません。ゆえに、『ランタイムの脅威検知』は、クラウドやコンテナのセキュリティを確保する上で、非常に重要なポイントとなります。」
「そして3点目、『Kubernetesの環境でのキャパシティ・プランニング』です。適切なコンテナリソース制限、そして継続的なモニタリングの仕組みがあって、初めてクラウド事業者への過剰なペイメントの防止や、アプリケーションのパフォーマンス問題といったものを回避できる、ということが言えます。」(姜氏)
コンテナ利用における最適解
今回のレポートにより明らかになった、クラウドやコンテナ利用におけるリスクや課題。実際問題どのように対処していけばよいのでしょうか?
『 Sysdig 』導入で得られる効果効用とは?
ここで姜氏から、ネットワークアナライザで有名な Wireshark(ワイヤーシャーク) の創作者によって開発された 『 Sysdig 』導入による効果効用が紹介されました。
「まずモニタリングです。数十、数百あるいは数千といった数のコンテナと、その内部アプリケーションはもちろんのこと Kubernetes や OpenShift などのコンテナプラットフォームの利用状況、またコンテナ間通信を含め、たちどころに可視化することができます。その上でセキュリティ対策です。Sysdigは、コンテナに潜む脆弱性の発見、不正アクセスやサイバー攻撃などの異常検知、それに続くコンテナの制御を可能にします。」
「そしてこれがSysdigの真骨頂ですが、 Kubernetes上 のログを全て、完全に記録することが可能です。すなわちSysdigをご利用いただくことで、いわばサイバーセキュリティにおけるフルフォレンジックを実現できるようになるのです。」(姜氏)
デモから分かる高水準な機能
では実際どのようにそれらがなされているのでしょうか?
次にSCSK株式会社の 川杉 喜彦(かわすぎ よしひこ)氏より『 Sysdig 』のデモンストレーションが行われ、SysdigセキュアとSysdigモニターの2つから成るソリューションについて、紹介がされました。
そこでは、セキュリティ担当者や開発担当者、またネットワーク担当者の負荷をいかに軽減できるのか、新機能となる「Sysdigアドバイザー」

によるトラブルシューティング支援、キャパシティ・プランニングの実現について等、デモ画面を通して解説されました。
リアル会場で開催された本講演は、盛況のうちに終了となりました。。
今回は一部でしたが、『 Sysdig 』の全容を知ることで、コンテナ利用に関する多くの課題がクリアになるといっても過言ではないでしょう。
本講演についてはデモンストレーションを含めた動画の視聴が可能になっております。
是非この機会にご覧ください。