NSA が Kubernetes 向けのセキュリティ強化ガイダンスを公開
米国家安全保障局(NSA)が、Kubernetesのセキュリティガイダンスを公開したということです。
このブログでも何度か取り上げていますが、Kubernetesはクラウドの新しい仮想環境であるコンテナを管理するためのツールで、この分野では、ほぼデファクト(標準的なツール)となっています。
コンテナは日本でもずいぶん前から話題にはなっていますが、クラウドサービスなどでの採用は始まっているものの、実際に利用しているエンドユーザー企業は少ないのかも知れません。米国などでもGAFAMなどのクラウドサービスの提供側での採用が先行し、プラットフォーマーではもうコンテナが標準となっているようで、MicrosoftやGoogleのカンファレンスで取りあげられるのはコンテナとその管理ツール(≒Kubernetes)一色といった様相を呈しています。今回NSAがそのコンテナに関するセキュリティのガイダンスを出したということは、アメリカでは一般企業にもかなり普及し始めたということでしょう。
この記事ではKubernetesのリスクとして以下の点を上げているのですが、
「Kubernetesが標的にされるよくある理由として、データ窃盗と、演算能力の窃盗、DoS攻撃のための武器という3つが挙げられる」
うーん、というか、そうか、というか。。なんだか普通のクラウドアプリケーションのセキュリティリスクと同じですね。
考えて見れば、コンテナというのは軽量な仮想マシンということもできます。これまでクラウドで使われてきた仮想マシンとリスクが同じなのは当然とも言えます。それより、仮想マシンよりも軽量であるがためにコンテナの数は大量になりがち(だからこそオーケストレーションツールであるKubernetesが必要になるわけです)ということを考えると、目が行き届きにくい分、リスクが大きいという見方もできます。
この記事では、ガイダンスの内容として
このガイダンスには、コンテナーやポッドにおける脆弱性/誤設定のスキャンや、コンテナーやポッドにおける最小権限の原則のほか、ネットワーク分離やファイアウォール、強力な認証、ログ監査の採用といったものが含まれている
と書いていますが、これらも特段目新しいものではありません。
内容としてはこれまでの境界型セキュリティの範囲を出ていないように思えます。もちろんこれらは現在のベストプラクティスではあるのですが、わざわざ「Kubernetes」と銘打って出してきたのは、どういった経緯だったのでしょうか。
ここで元記事のタイトルに戻ってみると、「Kubernetesユーザー向けの」とあります。ということは、これはGAFAMなどの先行する事業者に対するものではなく、一般ユーザーを対象にしたものであるということです。アメリカでは一般企業のコンテナ利用が始まったことで、「コンテナのセキュリティはどうしたら良いのか」という声が上がったのではないでしょうか。そこで、「今までと基本的には同じですよ」ということを知らせるためにこういったガイダンスが出されたのだと思います。
とはいえ、少し前に書いたように、クラウド利用の最先端を行くMicrosoftなどは、すでに次世代のセキュリティパラダイムである「ゼロトラスト」を見据えてさまざまな施策を打ち、OSそのものも変えようとしています。
ゼロトラストはまだ過渡期で、このプラクティスをそのまま一般企業に「今」適用するわけには行かないのでしょうが、今のセキュリティの先には違う動きがあると言うことは頭に入れておいた方が良いでしょう。先を見通す視点を持ちつつ、今の対策を考えていく、という姿勢は忘れてはいけないように思います。
ITの最新トレンドをわかりやすく解説するセミナー・研修を承ります
時代の変化は速く、特にITの分野での技術革新、環境変化は激しく、時代のトレンドに取り残されることは企業にとって大きなリスクとなります。しかし、一歩引いて様々な技術革新を見ていくと、「まったく未知の技術」など、そうそうありません。ほとんどの技術は過去の技術の延長線上にあり、異分野の技術と組み合わせることで新しい技術となっていることが多いのです。
アプライド・マーケティングでは、ITの技術トレンドを技術間の関係性と歴史の視点から俯瞰し、技術の本質を理解し、これからのトレンドを予測するためのセミナーや研修を行っています。ブログでは少し難しい話も取り上げていますが、初心者様向けにかみ砕いた解説も可能です。もちろんオンラインにも対応できます。詳しくはこちらをご覧下さい。