コンテナスキャン

コンテナスキャンとは？

コンテナ化は、今日のソフトウェア組織がアプリケーションを構築、展開、管理する方法に画期的な変化をもたらしました。分散型でより複雑なソフトウェア環境への移行に伴い、開発者は、コンテナを使用することで、アプリケーションとそのすべての依存関係を1つのスタンドアロンユニットにカプセル化できます。その結果、多様なインフラストラクチャ間で一貫した実行が可能になります。しかし、コンテナが抱えるセキュリティの課題から、DevSecOpsツールベルトに新しいツール、つまりコンテナスキャンを追加する必要性が浮き彫りになります。

コンテナスキャンは、コンテナ内のコンポーネントを分析して潜在的なセキュリティ上の脅威を明らかにするプロセスです。これは、アプリケーションライフサイクルを通じてソフトウェアの安全を保つために不可欠です。コンテナスキャンは、脆弱性スキャンやペネトレーションテストなどの慣行からヒントを得ています。コンテナスキャンでは、イメージ、ファイルシステム、設定などを精査して、見過ごされがちなコンテナ内の脆弱性や設定ミスなどを検知します。

コンテナスキャンの重要性

DevOpsチームは、コンテナを活用して、複製可能な環境を作成します。コンテナ化により、「自分のマシンでは動いたのに」という葛藤は過去のものとなりました。コンテナにより、環境の一貫性とプロセスの自動化が促進され、アプリケーション展開プロセスが大幅に平滑化されます。その結果、より速く、より信頼性の高いソフトウェアリリースが実現します。

ただし、コンテナはホストOSや他のコンテナと相互に作用するため、1つの脆弱性や設定ミスがシステム全体を危険にさらす可能性があります。コンテナスキャンは、こうした潜在的なリスクに対する防御策となります。それでは、実際のコンテナスキャンに焦点を移しましょう。

コンテナスキャンの段階

コンテナスキャンは、コンテナ内の脆弱性を検知して処理するための一連のプロセスです。これらのプロセスは、コンテナのライフサイクルのさまざまな段階で実行されます。

• 構築前のスキャン：Dockerfileは、イメージの構築方法を指定します。Dockerfileは、コンテナイメージが構築される前であっても、潜在的なセキュリティの問題がないか検査されます。この初期段階の検査により、コンテナが構築される前に脆弱性を検出することができます。
• 構築後のスキャン：コンテナイメージは、既知の脆弱性と設定ミスについてスキャンされます。コンテナイメージは、ベースイメージとその上に重ねられた追加のイメージで構成されることがあるため、コンテナイメージの各レイヤーで脆弱性についてスキャンされます。
• ランタイム時のスキャン：アクティブなコンテナが脆弱性についてスキャンされます。ランタイムの段階でスキャンすることで、展開後に導入された脆弱性が必ず検知され、対処されます。
• コンプライアンススキャン：各組織には、特定のセキュリティ標準や企業コンプライアンス要件がある場合があります。この段階でのコンテナスキャンは、コンテナがこれらの要件に準拠していることを確認します。

コンテナスキャンツールが効果を発揮するには、継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインと統合し、ソフトウェアのビルドおよびデリバリープロセスの一部として継続的なセキュリティを促進する必要があります。このように、コードの変更がコミットされる（CI/CDパイプラインをトリガーする）とすぐに、コンテナスキャンツールは脆弱性を検知してチームに警告することができます。DevSecOpsチームは、セキュリティの問題をリアルタイムで検知し、解決することができます。

コンテナスキャンが通常いつ行われるかを見てきましたが、次に、関連する主なプロセスについて詳しく見ていきましょう。

コンテナスキャンの主要プロセス

効果的なコンテナスキャンは、複数の重要なプロセスから構成されており、それぞれに独自の役割が与えられています。主要プロセスには次のものがあります。

• イメージスキャン：イメージスキャンは、既知の脆弱性がないかコンテナイメージ（ベースイメージとその上に構築されたレイヤーの両方）を調べます。これらのリスクを早期に特定し、緩和することで、コンテナを展開する前にこれらの脆弱性に対処することができます。
• イメージ評価：イメージ評価では、脆弱性のスキャンだけでなく、イメージコンテンツを詳細に調査して、コンテナの全体的なセキュリティポスチャを評価します。これには、依存関係と設定の調査が含まれます。
• スナップショット：コンテナイメージのスナップショットには、特定の時点でのイメージのコンテンツ、設定、およびセキュリティ上の脆弱性が記録されます。スナップショットのキャプチャは、コンテナの進展に応じてその履歴記録を維持するために欠かせません。
• シークレット管理：イメージ評価には、シークレット（APIキー、パスワード、トークンなどの機密データ）が存在するかどうかに関するコンテナのスキャンが含まれます。安全なコンテナイメージには、これらのシークレットは一切含まれていない必要があります。
• IaC（コードとしてのインフラストラクチャ）スキャン：IaCスキャンでは、コンテナ対応インフラストラクチャの定義に使用されるコード内のセキュリティの問題や設定ミスを探します。これにより、コンテナを展開する環境がコンテナ自体と同様に安全であることが保証されます。
• 設定とコンプライアンスのチェック：これらのチェックでは、コンテナ設定が正しいこと、ベストプラクティスに準拠していること、コンプライアンスとセキュリティポリシー基準を満たしているかが確認されます。

コンテナスキャンに関連するプロセスは単純ですが、組織はコンテナスキャンに独自の課題があることを認識する必要があります。これらのいくつかの課題と、それらを克服する方法について見てみましょう。

コンテナスキャンでの3つの課題

現実の状況下でのコンテナのスキャンには、設定ミスの問題から古い脆弱性データベースまで、さまざまな課題があります。さらに、数百のコンテナを含む大規模な展開では、一部のコンテナスキャナーが過負荷になり、その結果、スキャン時間が長引き、カバレッジにギャップが生じる可能性があります。以下の課題は注目に値します。

1. 品質と機械学習

最新のコンテナスキャンツールでは、機械学習 (ML) モデルをさらに活用して、その精度と効率を高めています。ただし、スキャンの効果は、これらのMLモデルの品質に依存します。MLモデルは、包括的な最新のデータセットでトレーニングする必要があります。モデルの維持、更新、再トレーニングには、組織にとって多大な労力とリソースが必要となる場合があります。

2. スキャンとコンテナセキュリティツールの深度

コンテナスキャンツールはそれぞれ、異なるレベルの深度で分析を行います。一部のツールでは、イメージレイヤーでの既知の脆弱性を確認できますが、ファイルシステムや設定は検査されません。組織がコンテナスキャンツールを評価する際には、すべてのオプションで同じレベルの分析が行われると想定すべきではありません。正しいコンテナスキャンツールを選択し、正しく設定することが、効果的に使用するために不可欠です。

3. 「ノイズ」の問題：フォールスポジティブとフォールスネガティブ

実際には脅威ではない脆弱性がスキャナーで検知されるフォールスポジティブは、不要なアラームや無駄な労力につながる可能性があります。一方、本当の脆弱性がスキャナーをすり抜けてしまうフォールスネガティブは、深刻なセキュリティインシデントにつながる可能性があります。コンテナスキャンツールには、このノイズを最小限に抑えるために、適切なキャリブレーションと冗長性検査が必要です。

コンテナスキャンの課題の対処

コンテナスキャンには課題が伴いますが、組織はコンテナスキャンプロセスを合理化するための実践や戦略を採用することができます。これには以下が含まれます。

• 自動化
• CI/CDパイプラインとの統合
• 脆弱性データベースの定期的な更新
• DevOpsチーム内でのセキュリティ中心文化の醸成

これらのプラクティスに加えて、組織は、現在のDevSecOpsツールと緊密に統合された信頼性の高い綿密なコンテナスキャンツールを活用する必要があります。アプリケーションのライフサイクルの早い段階でコンテナの設定ミスを特定できる単一のツールを活用することで、組織は開発者とセキュリティチームの効率を高めることができます。これにより、全体的なセキュリティポスチャが改善し、アプリケーションのダウンタイムが短縮されます。

CrowdStrike Falcon® Cloud Securityは、コンテナイメージの脆弱性をスキャンし、IaCスキャンを実行します。すべてを単一のプラットフォームから実行できます。IaCスキャンは、クラウドやコンテナアセットなどの幅広いリソースにわたって1,000種類以上の設定ミスを特定できます。