デジタルトランスフォーメーションが加速している。昨今、システム開発においてもより柔軟性やスピードが求められるようになり、それらを支える設計思想やインフラ技術も目まぐるしく進化している。
マイクロサービスアーキテクチャをはじめ、クラウドネイティブ、サーバレスを前提にしたシステム開発が一般的になりつつある。それらを支える技術領域の一つ、アプリ実行環境の「コンテナ」は、デプロイやスケーリング等を自動化するオーケストレーションツールの台頭によって、システム構築上それを採用する傾向が一層強まってきた。
一方で、コンテナは新しい技術であり、セキュリティ対策が十分であるとは言い難く、ユーザーは脆弱な設定のままでそれを稼働させしてしまう可能性が高い。今後ますます激しくなるだろうサイバー攻撃・脅威に対して、コンテナ自体の脆弱性対策のみならず、システムアーキテクチャ全体の視点で、アクセス管理や権限設定などのセキュリティ対策も適切に行うことが求められるという。
NRIセキュアは21日、コンテナオーケストレーション採用システム向けの情報セキュリティ診断サービスの提供を、日本で初めて開始する。その第一弾として、「Kubernetes」使用システムを診断対象とする。同サービスでは、コンテナ統合技術を採用したシステムに対して、設定ファイルなどを読み解く"静的解析"と、疑似攻撃などを試みる"動的解析"の観点から、セキュリティ診断を行う。
同技術に精通したエンジニアによるマニュアル検査をベースに、補助的に複数の検査ツールを利用する。設定ファイルなどの情報およびオーケストレーションによって生成されたアーキテクチャの設定の有効性を確認して、セキュリティ上の問題点を検出する。アーキテクチャ全体を俯瞰し、網羅的かつ高精度の診断を実施するため、検査ツールのみでは見落とされがちな、設計段階での問題点も検出可能だという。