デージーネットは2020年6月10日、コンテナ環境を対象としたセキュリティ対策サービス「コンテナセキュリティ強化オプション」の提供を開始した。オンプレミス環境にKubernetesによるコンテナ運用環境を構築するSIサービス「コンテナスターターサービス」のオプションとして提供する。価格(税別)は、前提となるコンテナスターターサービスが280万円(ハードウェアは含まない)から、コンテナセキュリティ強化オプションが75万円から。
コンテナセキュリティ強化オプションは、オンプレミス環境に構築したKubernetes環境を安全に利用できるように、コンテナの脆弱性スキャンを行うオプション機能である(図1)。コンテナ脆弱性スキャナの導入や、セキュリティチェックを行うためのルールの設定などをデージーネットが代行する。ユーザーは、前提となる知識を必要とせずにコンテナ脆弱性スキャナを導入できるとしている。
拡大画像表示
コンテナは、時間が経つにつれ、内部のソフトウェアなどの不具合によって、脆弱性を持つ可能性がある。脆弱性をもったコンテナを運用した場合、コンテナ内への不正接続や攻撃によって、情報漏洩など重大なセキュリティ事故につながってしまう。こうした事態を防ぐために、コンテナの脆弱性診断を定期的に行うことが重要になっている。
コンテナセキュリティ強化オプションでは、NVDやJVNなどの脆弱性データベース情報を元に、「コンテナホスト」、「コンテナイメージ」、「実行中のコンテナ」それぞれについて脆弱性をスキャンする。弱性スキャンを定期的に行うことで、コンテナに潜む脆弱性をいち早く発見できる。
コンテナやポッドに対して、ランタイムスキャンも行う。ランタイムスキャンでは、ファイルインジェクションやコンテナ間/コンテナ外への不正な通信を検知できる。これにより、マルウェアのダウンロードを防いだり、コンテナ内の「/bin」などのディレクトリが改竄されたことを検知できる。ランタイムスキャンで異常な動きを検知した場合、アラートを通知する。
スキャンによって脆弱性が見つかった場合、デージーネットが脆弱性に対して必要な対策を検討し、対策を提案する。対策済みモジュールにアップデートしてコンテナを再ビルドするなどの作業が必要になるが、これらの作業に不安のあるユーザーに対しては、デージーネットが代わりにアップデートや再ビルドなどの作業を実施することも可能である。
異常な動きを検知した場合に能動的に対応できるように、事前に対策しておくことも可能である。例えば、攻撃者がコンテナにマルウェアを注入して実行しようとした場合、マルウェアを配置した段階で、ポッドを再作成するようにしておくことができる。これにより、攻撃成功の確率を下げられる。