コンテナを使用したシステムにおいても、セキュリティを強化するための対策をとる必要があります。コンテナは時間が経つにつれ、内部のソフトウェアなどの不具合により、脆弱性をもつ可能性があります。また、コンテナ内へ外部から侵入や改ざんが行われる可能性もあります。このようなコンテナをそのまま運用した場合、不正接続や攻撃により、情報漏洩など重大なセキュリティ事故に繋がる恐れがあります。そのため、コンテナのセキュリティ診断を定期的に行うことは非常に重要となります。ここでは、安全で便利なコンテナ環境を維持するための、コンテナのセキュリティに関連したOSSをご紹介します。
Falcoとは、Kubernetesなどのコンテナ環境を対象にランタイムセキュリティチェックを行う、オープンソースソフトウェアです。Sysdig.inc社によって開発されました。
Falcoは、動作中のコンテナ内のイベントを検知して、条件によってアラートを送信することができます。例えば、コンテナでシェルのプロセスが動作したり、コンテナ内の/bin等のディレクトリが改ざんされたりなど、システム上で通常行われないようなコンテナ内のイベントを検知します。Falcoは連携できるシステムも多く、メールやチャットなど、さまざまな方式でアラートを送信することが可能なため、何かあった際に素早く対応することができます。
しかし、あくまで動作中のコンテナの侵入・改ざんを検知するツールであることから、ウイルスの検知、脆弱性診断などの機能はありません。このような機能が必要な場合は、他のツールと併用する必要があります。またFalcoには、デフォルトのルールの理解が必要であったり、ルール条件の作成に\\Sysdigフィルター構文を理解することが必要であったりという課題があります。そのため、ルール作成・更新には、ある程度の専門的知識が必要となります。
Trivyとは、コンテナイメージの脆弱性診断ツールです。オープンソースのため、ソースコードはGitHubに掲載されています。
Trivyは、CIなどでも簡単に組み込んで使えるようにシンプルに作られたツールです。また、他のスキャナーとは異なり、OSパッケージと言語固有の依存関係の両方をカバーし、組織のソフトウェア開発パイプラインに容易に統合することができます。公式サイトでRedhat系、Debian系のOS用のパッケージが配布されていますので、該当するパッケージをインストールするだけで動作可能です。
Trivyは、各ディストリビューションやPHP、Python等の脆弱性データベースと、コンテナのイメージに含まれるパッケージのバージョンを照合して出力されています。ディストリビューションがまだ修正を行っていない脆弱性や、なんらかの理由で修正をとりやめている脆弱性も検知することができます。
Vulsとは、「VULnerability Scanner」の略称で、LinuxやFreeBSDを対象にした脆弱性診断ツールです。Vulsは、脆弱性への対応として以下の3点をリアルタイムで自動化することができるため、システム管理者の負担軽減に繋がります。
また、Vulsは、日本語版であるJVN iPediaに対応しています。JVN iPedia翻訳済みの情報があれば、診断結果を日本語で出力することも可能です。