Docker のセキュリ
ティ確保:知ってお
くべきこと
要旨
本書は Docker テクノロジーについて概説し、Docker の導入に伴ういくつかのセ キュリ ティリスクについて説明します。Docker 導入のセキュリティを確保する ための措置を提 示し、本番環境における Docker アプリケーションのセキュリテ ィ確保に Black Duck Hub の導入がいかに役立つかを見ていきます。 はじめに アプリケーションコンテナの仮想化プラットフォームである Docker の業界の受け入れ状 況は、驚くべきと言わざるを得ません。つい 2014 年まで Docker のコンテナは目新しい ものであり、ホストやサーバー、デスクトップのような主流の仮想化に対してほとんど注 目されない存在でした。しかし、2015 年の半ばまでに、従来の仮想化ツールから Docker やその他の仮想コンテナへの移行が急速に進みました。 その証拠として、2015 年 8 月に SaaS の監視プラットフォームを提供する Datadog がア プリケーションホスティングサービスの顧客 7,000 社を対象に調査したところ、Docker の利用が過去 12 か月の間で 5 倍に増えていることがわかりました。同様に興味深いこ とには、より大きな企業の方が Dockerを試して採用している傾向にあることがわかりま した。 Datadog の調査によると、Docker は幅広いアプリケーションを対象としたホスティング サービスに使用されており、これには MongoDB、Elasticsearch、また MySQL や Postgres のようなオープンソースリレーショナルデータベースも含まれていました。OSS 大手の Red Hat, Inc.(以下、Red Hat)が 2015 年に 383 名の IT 担当者を対象に調査したと ころ、回答者の 67%が今後 2 年間の間にクラウド(50%) やウェブおよび E コマースのソ フトウェア (56%) で、Docker の本番環境への展開を計画していることがわかりました。
Black Duck Hub で Docker のセキュリティを確保
しかし、Docker やその他のアプリケーションコンテナの利用にはリスクが伴います。そ の主なものとして、Docker コンテナの中にインストールされているアプリケーション やアプリケーションコンポーネントに潜む、悪用可能なソフトウェアの脆弱性がありま す。Docker アプリケーションのコンテンツや導入のセキュリティを管理する新たなツー ルなしには、組織は機密情報を含むアプリケーションやデータを攻撃に晒す危険性があり ます。
Black Duck Software, Inc.(以下、Black Duck)の脆弱性をスキャンしてマッピングする プラットフォーム、Black Duck Hub は、Docker コンテナ内のアプリケーションソースコ ードを追跡して分析できるようになり、ダイナミックな IT 環境でのセキュリティやリス ク評価を容易にします。 Docker の概要 Docker について、簡単に説明すると、アプリケーション開発者やシステム管理者が分散 アプリケーションを構築し、出荷し、実行することができるオープンプラットフォームで す。Docker を利用することでアプリケーションを素早く組み立て、確実に導入すること ができます。
コンテナ Docker コンテナは、ファイルシステム、ネットワークスタック、プロセススペース、そ してシステムツールやシステムライブラリなど、その他にアプリケーションを実行するの に必要なものから構成されています。各 Docker コンテナには指定のアプリケーションと その依存関係が含まれており、これらはアプリケーションごとに異なりますが、同コンテ ナを複数コピーした場合は一致します。 Docker Engine アプリケーションの下には Docker Engine という、あらゆるコンテナ内のホスト OS 上 で動作 するソフトウェアのレイヤーがあります。アプリケーションが導入環境に関係な く、安定し たオペレーティング環境で動作することを保証するコンポーネントです。 オペレーティングシステム Docker コンテナは通常、一般的な OS のバージョンを利用し ます。これには Microsoft の Windows OS の最近のバージョンだけでなく、Red Hat En-terprise Linux や Ubuntu のような Linux ディストリビューションが挙げられます。コ ンテナはホスト OS のユーザースペース内で独立したプロセスとして動作し、カーネルリ ソースは他のコンテナと共有します。 ホスト環境 OS の下にはホストインフラストラクチャがあります。これは開発者のノートパソコンや デ スクトップパソコンのローカル環境、仮想マシン、または AWS や OpenStack のような 本番ホ スト環境で動作しているベアメタルハイパーバイザであることがあります。 Docker Hub
最後に Docker Hub があります。これはアプリケーションを共有して Docker のワークフ ローを自動化する、クラウドベースのレジストリサービスです。Docker Hub はパブリッ クな Docker イメ ージをホストし、開発者が Docker 環境を構築して管理するのを支援 するサービスを提供します。この SaaS アプリケーションは、パブリックとプライベート の両 Docker ライブラリからイメージを見付けて管理し、GitHub や Bitbucket と統合し て Docker イメージの新規構築を自動化し、イメージリポジトリへのユーザーのアクセス を管理するのに必要な様々な機能を提供します。 なぜ Docker か? Docker や同様のアプリケーションコンテナテクノロジーは、物理的なシングルテナント のコンピ ューティングリソースから、従来の IT 環境やクラウドでも動作する、より効 率的で仮想化され たマルチテナントのインフラストラクチャへの移行における次のステ ップになります。Docker のその他のメリットとしては、開発業務を加速し、開発から本 番環境への道のりの効率化を目指す、いわゆる CI/CD (継続的インテグレーション/継続 的デリバリ) 環境にも理想的に適していることが挙げられます。 Docker を利用することで、ソフトウェア開発者は従来の IT や、さらにはその他の仮想 化テクノロジーに比べても、大幅な効率化を実現することができます。典型的なサーバー は 1000 以上のDocker コンテナをネイティブスピードで動かすことができます。Docker 環境内のアプリケーションプロセスはホスト上で直接動作しますが、他のプロセスからは
Docker コンテナ内の CPU やメモリ、ネットワーク、ディスク I/O パフォーマンスは、開 発者がアプリケーションをネイティブ環境で実行した場合とほぼ同一です。 Docker の導入: 検討すべきこと コンテナには様々なメリットがあることは明らかですが、複雑さを増すという側面もあり ます。コンテナはアプリケーションスタック内の新たなレイヤーであり、アプリケーショ ンオーナーやホスト企業にとっては悪用される可能性がある脆弱性やリスクのもとになり ます。Docker コン テナは簡単に素早く設定して導入できるため間違いが増幅される可能 性があり、ダイナミックなIT 環境で導入したアプリケーションを追跡、管理するのが難 しくなります。 Docker やその他のアプリケーションコンテナテクノロジーが提供するメリットを活用す るためには、組織はコンテナに伴う可能性があるリスクを理解しなければなりません。具 体的に言うと、Docker やアプリケーションコンテナの導入は、セキュリティや可視性を 犠牲にして進めてはなりません。 コンテナ導入の際に検討すべき事項を以下に示します: コンテナの認定と由来 Docker コンテナの由来と健全性は、このプラットフォームへ移行する組織にとって重大 な懸案事項です。Red Hat が調査した IT 担当者の 60%が、Docker プラットフォームの採 用にあたりコンテナの認定がないことが課題であると答えました。基本的に Docker は発 行者とコンテナのホストの間の「信頼関係」に依存しており、イメージが DockerHub や Red Hat の OpenShift のようなレジストリサーバーからコンテナホストに運ばれた時に信 頼できるかが決められます。 コンテナイメージのコンテンツを精査するサポートシステムがないと、Docker Hub のよ うなリポジ トリ経由で提供される、安全性が損なわれた、または悪質なコンテナイメー ジが、無防備な組織に配布される可能性があります。Docker Hub のようなレジストリサ ーバーは、信用できないコンテナの リスクを軽減するのに役立つ管理機能を提供するこ とができます。例えば、管理者はレジストリ内の機能を利用して、自社のネットワーク内 に入ることを許可するコンテナイメージの種類を制限することができます。 ここ数か月、Docker はコンテナの信頼性を保証する責任を果たすためのさらなる措置を 取りました。 Docker Content Trust は公開鍵暗号方式を利用して、発行者が Docker コ ンテナに「署名」して含まれるコードの健全性を保証できるようにしました。信頼されて いないユーザーが Docker イメージを発行したい場合は、Notary や The Update Frame-work (TUF) のような提携プロジェクトが同様の機能を提供します。 コンテナイメージの脆弱性 コンテナの由来を保証することは必要ですが、Docker 導入の安全を確保するには十分で はありません。コンテナの発行者を確認しても、ダウンロードしたコンテナ内のソフトウ ェアアプリケーションやそのサポートファイルに欠陥や悪用可能な脆弱性がないことは保 証されません。特にコンテナの下にある OS が最新バージョンではない場合は、コンテナ は古くて安全ではないコンポーネントを組み合わ せている可能性があります。
民間から資金提供された調査によると、Docker イメージのセキュリティの欠陥は珍しい ことではないことがわかります。Docker の開発者がコンテナイメージを取得したり置い たりするセントラルリポジトリである Docker Hub にあるイメージを調査したところ、公 式リポジトリの 30%以上に Shellshock や HeartBleed、Poodle のような既知の脆弱性を 狙った攻撃を「非常に受けやすい」イメージが含まれていることがわかりました。Docker 上の「一般的な」イメージ (どの認定機関にも明示的に検証されていないイメージ) の 40%に、既知の悪用可能なセキュリティの欠陥が含まれていることがわかりました。 言い換えると、Docker を活用したい組織は、「信頼」して「検証」できなければなりま せん。つまり、企業は利用したいコンテナの発行者が信頼できることを確認し、企業をリ スクに晒すような悪用可能な重大なセキュリティ上の脆弱性を、そのコンテナのコンテン ツが企業の環境に持ち込まないことを検証しなければなりません。 コンテナ管理 コンテナの導入時に由来やセキュリティの検証に十分適切な措置を取ったとしても、組織 は導入したコンテナ化アプリケーションについて警戒し続けなければなりません。 他のアプリケーション同様、コンテナ化したアプリケーションは古くなります。その過程 で新たに発見されたセキュリティ上の脆弱性や、その他のリスクに晒される可能性があり ます。 コンテナ化したアプリケーションには安全ではない、または現在のアプリケーションやネ ットワーク環境とは同期していないデータや設定が含まれている可能性があります。ある 事例では、有名なクラウドファンディングサイトが、そのウェブベースの資金調達プラッ トフォームの Docker コンテナを開発用デバッガが有効のまま本番環境へプッシュしま した。この結果、攻撃者は悪質なコードを脆弱なシステム上で実行できるようになりまし た。 Docker アプリケーションコンテナは様々なテクノロジーレイヤーから簡単に組み立てて 導入することができますが、これはあるレイヤーの脆弱性や設定の誤り、欠陥を、容易に 複数のアプリケーシ ョンで再現できるということを意味します。 コンテナスキャニング機能を利用して Docker 導入のセキュリティを確保 Docker を採用する組織が増え、このプラットフォームへの依存が増すにつれ、コンテナ 導入のセキ ュリティを確保する、より優れた多くのツールが出てきました。
信頼の連鎖の一方では、Docker Content Trust のようなイニシアチブが、発行者が Dock-er Hub のようなウェブベースのリポジトリに発行するコンテナの信頼性を保証する容易 な方法を提供します。しかし、組織はライフサイクル全体を通じて、コンテナ化アプリケ ーションのセキュリティを評価できなければなりません。 Black Duck Hub でコンテナの セキュリティを管理 Black Duck Hub は、アプリケーションのライフサイクル全体を通じ てアプリケーションコンテナのセキュリティを管理するのに不可欠なツールです。
Black Duck Hub により、組織は脆弱なオープンソースアプリケーションやその環境内の コンポーネントを識別して追跡することができます。評価には Black Duck の
Knowledge-関する情報や、3500 億行以上のコ ードに渡る 10 万件以上の既知のオープンソースの脆 弱性に関する詳細データが含まれています。
Red Hat との提携を通じ、Black Duck のオープンソースやプロプライエタリコードの本 番環境 を識別してインベントリを作成する能力は、現在コンテナ化された環境にも適用 されています。
Red Hat は Deep Container Inspection (DCI) を発表しました。これは企業を対象にコン テナの認定やポリシー、信頼性の検証をまとめて提供する総合的アーキテクチャで、アプ リケーションコンテナを導入して管理するのに利用できます。Red Hat は Black Duck と 提携して、DCI の一部として組織がコンテナのコンテンツを導入前、導入中、そして導入 後に検証する手段を提供します。
Black Duck Hub の脆弱性をスキャンしてマッピングする機能を統合することで、Open-Shift の利用者はコンテナ化アプリケーションに含まれているコードが個別に検証され、 認定されていることがわかり、以前より信頼して安全にコンテナ化アプリケーションを用 いて開発、実行することができます。 またこの統合は、新たに公開された脆弱性や、セキュリティやリスクに影響する可能性が あるコンテナの経年に伴う変化の影響を追跡する手段を提供します。 コンテナの信頼、検証、活用 Docker のようなコンテナテクノロジーは、企業が重要なアプリケーションを開発、導 入、管理する方法を変えることを約束します。しかし、コンテナは万能薬ではありませ ん。アプリケーションのネイティブ環境や仮想マシンへの導入や管理に伴う課題と同じ課 題がコンテナの導入にも影響を及ぼします。それにも関わらず、Docker をはじめとする コンテナプラットフォームの利用は手軽で柔軟であるため、管理者や IT 担当者は導入し たアプリケーションのセキュリティを確保するために長年に渡り実施してきた慣行を忘れ やすくなります。 IT 担当者への調査結果を見ると、あらゆる規模の企業や組織が Docker のようなコンテ ナプラットフォ ームを活用していることがわかります。しかし、それらの導入のセキュ リティや健全性を確保するツ ールも求められています。Docker をはじめとするコンテナ プラットフォーム経由で導入するアプリケ ーションは、導入前に認定し、含まれるコー ドが信頼できると認められている発行者のものであることを確認しなければなりません。 しかし、コンテナ化アプリケーションのコードの由来を検証するだけでは十分ではありま せん。プロプライエタリやオープンソースアプリケーションのコンポーネントの既知の悪 用可能な脆弱性のようなセキュリティ上の問題は、企業のデータや IT 資産にとって重大 なリスクとなります。そのため組織はコンテナで導入したアプリケーションのセキュリテ ィを、継続的に評価していかなければなりません。
Black Duck Hub のアプリケーションの脆弱性をスキャンしてマッピングする機能のおか げで、Dockerの利用者は導入前にも後にも脆弱性を識別し、コンテナ化アプリケーション
が古くなること、または新たなセキュリティの脆弱性や攻撃に晒されるのに伴って起こる 問題を発見することができます。
さらに詳しく知りたい場合: Black Duck Hub の無料デモ
Black Duck Hub を利用してアプリケーションやコンテナをスキャンすれば、使用してい るオープ ンソースプロジェクトやバージョンを、例えチームが修正を加えていても、識 別することができ ます。業界で最も包括的なオープンソースプロジェクトのレジストリ である Black Duck KnowledgeBase™を活用することで、Black Duck Hub は既知の脆弱性や ライセンス要件、プロジェ クトやコミュニティの活動を含め、オープンソースプロジェ クトに関する深い知見を提供します。さらに、それらのプロジェクトについて新たな脆弱 性が識別された場合は警告し、修復措置を追 跡して管理するツールを提供します。
Black Duck Hub を利用して、コードに何が含まれているかを確認してください。ぜひお問 い合わ せの上、Black Duck Hub の無料デモをご覧ください。
BLACK DUCK SOFTWAREについて
世界中のお客様は業界をリードする Black Duck Softwareの製品を用いて、オープンソースソ フトウェアの保全、管理を行い、セキュリティ脆弱性、コンプライアンス、運用リスクに関 する問題を解決しています。Black Duck の本社は米国マサチューセッツ州バーリントンにあ り、カリフォルニア州のマウンテンビュー、ロンドン、フランクフルト、香港、東京、ソウ ル、北京に事業所があります。詳しくは www.blackducksoftware.com. をご覧ください。 日本でのお問い合わせ
