クラウドネイティブ|知る×学ぶ未分類
エンタープライズに求められる次のインフラの姿とは? | 仮想化の次の5年後を考える
2025年2月25日、伊藤忠テクノソリューションズ株式会社(以下、CTC)は、「仮想化の次の5年後を考える 〜エンタープライズに求められる次のインフラの姿とは?〜」をテーマとしたセミナーイベントを開催した。コンテナへのセキュリティ対応について、レッドハット株式会社(以下Red Hat)、Sysdig Japan合同会社(以下Sysdig)からゲスト講師を迎え、具体的な課題や対応について解説を行った。
1.まさに実践的なコンテナセキュリティガイドの提案
まずCTCからDXビジネス企画・推進本部 クラウドネイティブ推進部 シニアスペシャリストの姜来誠氏が「原則から考える! コンテナセキュリティ実践ガイド」をテーマに、コンテナ/Kubernetesの利用動向およびセキュリティの状況について整理した内容を披露した。
CTCでは独自のユーザー利用動向調査を行なっており、IDC Japanが公開している同様の調査結果も踏まえて、「年商1,000億円以上の企業において、クラウドネイティブ技術の優先度はかなり高まっている。今やKubernetesはクラウド時代のOSとまで言われており、そのセキュリティ上の懸念も顕在化してきている」と話す。その一方でユーザー企業が運用するシステムの本番環境では攻撃を受けている可能性が高いという結果も示し、「コンテナ化は進めたいが、セキュリティの課題が大きい」と本セミナーの意義を唱えた。
姜氏はセキュリティの原則は「多層防御」「攻撃対象領域(アタックサーフェス)の縮小」「最小特権の原則」の3点が重要であるという前提のもと、SCARLTEEL(スカールティール)の手法やダークWebの実態に触れつつ、具体的に実行環境と開発環境における攻撃経路を示し、脅威とリスクを把握した上での対策法について詳細な解説を述べた。また、姜氏はこれらの具体的なセキュリティ対策においては「NIST SP 800-190」という網羅的にまとめられているコンテナセキュリティガイドラインがあることを紹介した。あくまでロールモデルの一つであることを強調しながらも、その有用性は知識の浅いユーザーにとっては大いに参考になると感じた。
このセッションの最終パートではCTCが提供する『C-Native Security Service』が紹介された。これは「Assessment Service」「Onboarding Service」「Managed Service」の3つから成り立つもので、自社に合った環境の構築から運用までをしっかり伴走してくれるサービスだ。CTCはセキュリティビジネスを注力領域としており、今回の『C-Native Security Service』だけではなく、さまざまなセキュリティサービスに細やかな対応ができることを強調してセッションは終了した。
2.エンタープライズが目指すべき「次のプラットフォーム」のセキュリティ最適化戦略
続いてのセッションはRed Hatのシニアスペシャリストソリューションアーキテクトの北村 慎太郎氏が『エンタープライズが目指すべき「次のプラットフォーム」のセキュリティ最適化戦略』というテーマで講演を行なった。
クラウドネイティブという言葉が一人歩きしている現状から、CNCFが提唱している「インパクトのある変更を最小限の労力で頻繁かつ予測通りに行う」といった定義を『「ITイノベーションの加速」と「システムの信頼性担保」を両立してビジネス成果を向上していこうとすることが、クラウドネイティブの根幹になる』と解釈している点にRed Hatのスタンスが垣間見える。
北村氏は、「もはやKubernetesがデファクトスタンダードになってきている」ことを、Gartnerが提供しているハイプ・サイクル図を用いて説明し、日本における クラウドプラットフォームのコンテナ管理は「幻滅期」の中にあると指摘した。だからこそ「Kubernetes で実現すべきセキュリティとは?」という問いかけに「コンテナセキュリティ」「CNAPP」「ソフトウェア・サプライチェーン・セキュリティ」の3点を挙げた。
これらについてRed Hatがどのようにアプローチしていくかというテーマでは、北村氏もまた「NIST SP 800-190」を挙げた。この「NIST SP 800-190」に対応した環境を構築することをSTEP1とし、ツールの選定から環境構築、運用後のサポートまでを行うサービスをRed Hat・Sysdig・CTCの3社によって実現し、これがこれからのコンテナセキュリティスタンダードになると強調した。
そこに含まれるRed Hatが持つサービスメニューとして「OpenShift」「Quay」「Trusted Profile Analyzer」「Trusted Artifact Signer」の内容を紹介したうえで、「Red Hatが提供するのはセキュリティ対策のレイヤーなので、検知と合わせて環境を構築する必要がある」とSysdig社のサービスについても言及した。これらの組合せの最適化を熟知しているCTCが、クライアント企業の状況に沿った環境構築をすることで、ユーザーは自分たちの要望を相談するだけで「NIST SP 800-190」に準じた統合プラットフォームを構築でき、またエンタープライズレベルのサポートとコンサルティングが受けられることがメリットであるという説明には強い説得力がある。
北村氏はその次のSTEP2を「Sustain」と位置付けた。そのポイントに、シフトレフトによる早期セキュリティ統合による、セキュリティの実現を持続し続けるものとしてDevSecOpsPipelineを紹介した。BuildからDeployにかかる工程でRed HatとSysdigの役割を体系的に示すことで、具体的なイメージを掴むことができる内容であった。最後となるSTEP3では大規模環境のセキュリティをいかに少人数で運用できるかについて、従来のセキュリティ規約の方法論ではスピード感が足りないという点から、クラウドネイティブ環境における開発環境&開発アセットの一例を示した。これをセルフサービス化できるものの一つとしてInternal Developer Portal と呼ばれる開発者向けのサービスを紹介する。これは大規模な環境を少人数で運用できる形が実現できるものとして注目されているものであり、Red Hatが提供していることも強くアピールされていた。実際の画面をデモンストレーションしながらの解説に参加者の関心が集まっていたことが伺える。
3.既存のオンプレミス環境を強化しつつクラウドネイティブにチャレンジ
次のプラットフォームに最適な国内実績豊富なCNAPP、Sysdigのご紹介
最後のセッションに登場したのはSysdig Japan合同会社、執行役員の川端真氏だ。余談ではあるが、Red Hatの北村氏はSysdigのユニフォームを着用して登壇しており、川端氏はRed Hatの真っ赤なユニフォーム姿で登場した。こんなところでも両社のアライアンスの強さが象徴されていると感じる。
Sysdigはクラウドとコンテナの一貫したセキュリティを提供する米国企業である。「クラウドイノベーションを安全に、加速させる」ことをミッションとして、日本国内での事例も多く発表されている。川端氏はまず1990年代からのセキュリティ業界の歴史を振り返り、2010年代初頭のDocker OSS、Kubernetes、の登場あたりとSysdigの創業はほぼ同時期であることを説明する。Sysdigは『クラウドネイティブを学ぼう』というWebコンテンツを運営しており、日本語で多くのクラウドに関する学習を得ることができるという。こちらもぜひ参考にしていただきたい。
川端氏は、2021年頃はまだコンテナを使っている企業はほとんどいなかったと振り返る。その潮目の変わり目となった出来事として、デジタル庁の発足によって国が取り組みを始めたこと、米ブロードコムがVMwareを買収したこと、AIにおける機械学習の基盤がほぼコンテナ環境であること、の3点を挙げた。
企業におけるコンテナ活用が広がりつつある昨今、従来のセキュリティ方針を遵守していくとコンテナ環境は正常に動作しない可能性が高い。そこでSysdigとして提案する新しいセキュリティの形が「ソフトウェアの脆弱性」「設定ミス」「過剰なパーミッション」「ランタイム脅威検知と検査」の4つの脆弱性管理だ。
図 1. Developer Experienceを阻害しない新しいセキュリティ
従来のセキュリティ方針であれば、それぞれで見つかった脆弱性の全てに対応する必要があり、重要なものを特定しなければ開発者はその対応だけに時間を取られることになる。
川端氏によれば、対応すべきことはシンプルに考えて「穴を塞ぐこと(設定ミス、IDと権限のチェック、脆弱性の管理)」と「見張ること(リアルタイム監視)」の2点でよいという。これからクラウドネイティブを進めていくために、Sysdigがこの2点をフォローしていることも、しっかりとアピールする。
まとめとして「すべての環境をクラウドにすることがベストとは限らない」としながら、段階的にハイブリッド環境に進めていく場合においてもSysdigで監視することができると説明し、一部のデモ画面を紹介した。
4.Red Hat×Sysdigの環境をCTCによって構築することのメリット
今回のセミナーでは、最近よく聞かれるようになっているコンテナ技術が現在どのような状況にあり、それらの課題であるセキュリティをどのように担保していくべきか、ということを網羅的に学ぶことができた。
クラウドネイティブの構築はこれからの主流になっていくだろう。だからこそ簡易的なチャレンジではなく、長期的な視野で自社に合ったRed Hat×Sysdigの環境構築を考えていく必要がある。その足掛かりとしてCTCが有効なパートナーであることを理解するとともに、プラットフォームであるRed Hatが勧めるSysdigの機能も取り入れていくべきだと強く感じるセミナーであった。
