クラウドセキュリティ
コンテナセキュリティ
別称: Docker セキュリティ, OCI コンテナセキュリティ
定義
コンテナイメージ・レジストリ・オーケストレーター、およびコンテナが実行されるランタイムを保護する一連の実践。
コンテナセキュリティは、OCI 互換コンテナ(Docker、containerd、CRI-O)のライフサイクル全体を対象とします。ビルド時には、CVE や埋め込みシークレットを検出し、Sigstore/Cosign で署名し、最小限のベースイメージを強制します。配布段階では、レジストリを認証付きアクセスと署名検証で保護します。ランタイムでは、ホストのハードニング、Namespace/cgroup による分離、seccomp、AppArmor、読み取り専用ファイルシステムなどで攻撃面を縮小し、Admission Controller や eBPF ベースのセンサーでポリシー適用と異常検知を行います。代表的なリスクには、特権コンテナ、hostPath マウント、脆弱なベースレイヤー、漏洩した資格情報、カーネル脆弱性を悪用したコンテナエスケープなどがあります。
例
- CI で Trivy や Grype を用いてイメージを検査し、Kyverno や OPA Gatekeeper で特権 Pod を拒否する。
- Falco が本番コンテナ内で起動されたシェルを検出する。
関連用語
Kubernetes セキュリティ
Kubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
CWPP(クラウドワークロード保護プラットフォーム)
仮想マシン・コンテナ・サーバーレス関数といったクラウドワークロードを、ビルドからランタイムまで全ライフサイクルで保護するプラットフォーム。
CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)
CSPM・CWPP・CIEM・IaC スキャン・ランタイム検知を統合し、クラウドネイティブアプリをビルドから実行時まで包括的に保護する統合プラットフォーム。
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
脆弱性スキャン
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
システムハードニング
不要な機能の削除、設定の引き締め、安全な既定値の強制によりシステムのアタックサーフェスを縮小する取り組み。