クラウドネイティブセキュリティ調査2021 #aqua #コンテナ #セキュリティ
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2021年8月19日に公開された「 It’s About Time for Runtime: 2021 Cloud Native Security Survey 」の日本語翻訳です。
クラウドネイティブセキュリティ調査2021
コンテナ環境の規模が拡大し、複雑化する一方で、クラウドネイティブアプリケーションのセキュリティに関しては、多くの誤解が残っています。最新の調査では、ランタイムセキュリティに関する知識に大きなギャップがあり、クラウドネイティブセキュリティ担当者の 97 %が、コンテナセキュリティの重要な原則をまだ理解できていないという結果が出ています。ここでは、DevOps チームとセキュリティチームが日々直面している課題について、私たちが得た洞察をご紹介します。
調査概要
コンテナのデフォルトのセキュリティは過大評価されている
「コンテナ」という言葉は、しばしば誤解されています。分離という概念から、多くの方はこの技術が本質的に安全であると信じて、誤った安心感を抱く傾向があります。現実には、コンテナにはデフォルトではセキュリティの次元がありません。Aqua の調査によると、コンテナはそれ自体がセキュリティ境界ではないことを理解している回答者はわずか 3% でした。
「シフトレフト」の実践のみが特効薬とはならない
コンテナのセキュリティでは、静的解析が重要な役割を果たしますが、完全なシフトレフトを実践していても、ゼロデイ攻撃や管理者のミスを防ぐことはできません。静的解析を回避したり、一般的なシフトレフトの実践を回避したりする攻撃者から保護するためにも、ランタイムセキュリティはとても重要です。
誤解されているクラウドネイティブセキュリティの主要概念
圧倒的多数(85%)の回答者は、不正侵入防止(IPS)、エンドポイント検知・応答(EDR)、ファイアウォールなどの従来のツールで、クラウドネイティブ環境で進行中の攻撃(コンテナイメージが環境へ展開された後に発生する攻撃)を阻止できると考えています。実際、従来のセキュリティツールはクラウドネイティブのトラフィックを想定して作られておらず、動的にオーケストレーションされた環境では機能が限定されてしまいます。
セキュリティ担当者は自身のセキュリティ対策に過信している
今回の調査では、コンテナの不変性の強制などのランタイムセキュリティの基本的な事項を、チームがより理解する必要があることがわかりました。ランタイム攻撃を阻止する能力に自信があると回答したのはわずか 32 %でしたが、ランタイムの保護を真に実現するために必要な措置を講じているのはさらに少数です。
- 本番環境でのコンテナイメージの不変性の確保に自信があるのは、わずか 14 %でした。
- ランタイムでのエクスプロイトの緩和に自信があると答えたのは、わずか 21 %でした。
- ランタイムでのシークレット管理に自信があると答えたのは、わずか 23 %でした。
このように、クラウドネイティブ環境で必須となるランタイム保護機能がなければ、脅威の適切な検知、対応はできません。
企業にはランタイム攻撃を検知して対処するための十分な準備がありません
ランタイムの保護に関しては、企業のセキュリティ対策にはまだ大きなギャップがあります。進行中の攻撃を阻止できると答えた回答者はわずか 26 %であり、残りの 74 %の回答者は現在使用しているツールではランタイム機能が全般的に不足していることを示しています。
ランタイムセキュリティ対策の緊急性
脅威の状況が急速に変化する中、強力なランタイムセキュリティがこれまで以上に必要とされています。公式のコンテナイメージを使用していても、ランタイムになって初めて悪意のあるバイナリ等をダウンロードされていることが判明するという例が数多く見受けられます。シフトレフトによるビルド時のコンテナイメージスキャンやマルウェア検出のみでは、静的解析を回避するような巧妙な攻撃を阻止できません。
ビジネスの継続性を維持しながらクラウドネイティブ環境を効率的に保護できるのは、アプリケーションのライフサイクルのすべての段階に適用される包括的なクラウドネイティブセキュリティだけです。このアプローチでは、開発サイクルの早い段階でセキュリティを組み込み、本番環境までシームレスに適用することで、ビルド、インフラ、実行中のワークロードを保護します。
コンテナランタイムのセキュリティの課題を理解するため、2021 Cloud Native Security Surveyをご覧ください。
