サーバーレス環境では
セキュリティーを「後乗せ」できない

トレンドマイクロ株式会社
ビジネスマーケティング本部
クラウドビジネス&アライアンスグループ グループ長
福田 俊介 氏

小林　ここ数年、日本企業の間にもコンテナやFaaSの活用が広がっていますが、こうしたクラウドのサーバーレス環境を利用する場合、セキュリティーの考え方はかなり変わってくるでしょうか。

福田　従来の仮想環境やIaaS環境とはセキュリティーに対する発想の転換が必要となります。あくまでもイメージですが、カップ麺を例にとると「かき揚げうどん」と「きつねうどん」の違いがあります。

小林　とても興味深いです。どういうことですか。

福田　かき揚げうどんは、お湯を注いで出来上がった状態でかき揚げをのせます。これに対してきつねうどんは、最初からお揚げをのせた状態でお湯を注いで作ります。つまり「後乗せ」か「先入れ」かの違いがあります。

　IaaS中心のクラウドの使い方の場合、システム開発はオンプレミスと同様の進め方となり、インフラ・アプリケーションの開発が終わってからセキュリティーを実装する、つまりセキュリティーを後乗せすることが多かったでしょう。しかしサーバーレス環境は、インフラ構築の必要がなく、ハイスピードなシステム開発が可能となる一方、IaaS環境のようにセキュリティーを後乗せしてしまうと、セキュリティー上の問題が本番稼働直前に判明した際に、アプリケーションから開発のやり直し、手戻りが発生してしまい、サーバーレス環境を利用するメリットを阻害しかねません。

小林　サーバーレス環境ではセキュリティーの後乗せができないのですね。

福田　そういうことです。セキュリティーをシフトレフトする、つまり「先入れで組み込む」必要があります。

コンテナのセキュリティーを
考慮する際の重要ポイント

小林　実際にコンテナを狙った攻撃も増えているのでしょうか。

福田　はい。トレンドマイクロでは仮想通貨をマイニングする不正なDockerコンテナを利用した攻撃、コンテナ経由でホストを侵害するコンテナエスケープ攻撃などを観測しています。どちらのケースでもコンテナ固有の構成要素であるコンテナイメージやレジストリなどを悪用しているのが特徴です。

小林　どんな対策をとるべきですか。コンテナ環境のセキュリティーを考慮する際のポイントがあれば教えてください。

福田　大きく２点あります。まずはクラウドでコンテナマネージドサービスを利用する際に、仮想サーバーで利用していたセキュリティソフトが使えないケースがあること。もう１つは、従来の仮想マシンやIaaSなどのサーバー環境とは異なる構成要素に対応した新しいセキュリティーを実装する必要があることです。したがってコンテナのライフサイクル全体を俯瞰した上で、「開発パイプラインにセキュリティー機構を組み込む」という発想をもつことが有効となります。

セキュアなサーバーレス環境を実現する
包括的なソリューション

小林　トレンドマイクロとしては、どんなソリューションを用意していますか。

福田　Trend Micro Cloud Oneシリーズの中で、Cloud One – Container Securityというサービスを提供しています。コンテナイメージにマルウエアが含まれていないかスキャンし、ランタイムを保護するものです。ほかにも前述の「きつねうどん」のようにセキュリティーを先入れでサーバーレス環境に組み込めるサービスとして、クラウドストレージの不正プログラムをスキャンするCloud One – File Storage Security、クラウド向けネットワークIPSであるCloud One – Network Securityなどを網羅的に提供しています。

小林　なるほど。特にサーバーレス環境では誰がセキュリティーの責任をもつのかあいまいになりがちなだけに、Trend Micro Cloud Oneのような包括的なセキュリティーのソリューションが必要です。

福田　おっしゃる通りでIT担当だけでなく、DevOps担当やアプリケーション開発者にもセキュリティー実装の責任が生じるケースが多々あります。だからこそクラウドネイティブ環境全体の安全性を担保するためには、開発パイプラインに先入れでセキュリティー機構を組み込んでおくというシフトレフトの発想が非常に重要であることを、あらためて訴えておきたいと思います。

小林　本日は貴重なアドバイスをありがとうございました。

[画像のクリックで拡大表示]

Trend Micro Cloud Oneのコンテナ環境へのサービスマップ

クラウドセキュリティーをまとめてシンプルに実現するソリューションとして、トレンドマイクロが提供しているのがTrend Micro Cloud Oneだ