多くの企業がDevOpsのことを気に掛けながら2019年を迎えました。それは全世界的な傾向です。実際、PuppetとSplunkは、南極大陸を除く全世界の組織から、『2018 State of DevOps Report』に対する回答を受け取っています。これらの組織の業界、規模およびDevOpsの成熟度はさまざまでしたが、どの企業も今後どのようにDevOpsを推進していくことができるかについて関心を持っていました。
企業はDevOpsを推進する過程で、課題に直面することになります。2019年には、DevOpsイニシアチブの拡大に向け努力する企業は、増大する複雑さとリスクに頭を悩ますようになるでしょう。多くの企業ではソフトウェアに対する透明性が欠如しているため、コンテナからもリスクがもたらされることになるでしょう。組織がリスクを適切に軽減し、デジタル上の脅威に対する露出を最小限に抑えるためには、コンテナの安全性を確保する必要があります。しかし、企業にその準備があるでしょうか?
その答えは『Tripwire State of Container Security Report』の中にあります。このレポートのために、Tripwireは従業員100人以上の企業でコンテナを使用して環境を管理する311人のITセキュリティの専門家を対象に調査を行いました。
その回答から、企業はコンテナのデプロイにおけるセキュリティ確保の影響を実際に経験済みであることがわかりました。調査回答者の60%が、過去1年以内に少なくとも1回のコンテナのセキュリティインシデントが発生したことを認めています。
調査対象となった組織の86%が、Tripwireによる調査時点でコンテナを本番運用していました。本番運用中のコンテナが多いほど、コンテナに絡むセキュリティ上の問題が多く発生していたようです。100以上のコンテナが本番運用中である組織のうち、75%がセキュリティインシデントを経験していました。そのため、コンテナのセキュリティを不安視している回答者が94%を占めていることも不思議ではありません。回答者の71%は、2019年にはコンテナのセキュリティに関する問題が増加すると予測しています。
この予測は、企業の現在のコンテナセキュリティ戦略に隙があることを表しています。たとえば、コンテナへの侵害を数分以内に検出できると答えた回答者はわずか12%でした。また、45%が数時間はかかると回答し、それより長くかかると答えた回答者もいました。また、ITセキュリティのプロの約半数(47%)が、自分の組織に本番運用中の脆弱なコンテナが存在すると答えました。一方でほぼ同じ数(46%)がそのようなコンテナが存在しているか不明であると答えています。
Tripwireの製品管理および戦略部門バイスプレジデントのTim Erlinは、この結果について次のように説明しています。
コンテナの普及が進むなか、企業はコンテナの展開を急がなければいけないプレッシャーを感じています。その要求に応えるために、ITチームはコンテナの保護対策を取らないというリスクを受け入れています。その結果として、企業の大半がコンテナのセキュリティインシデントを経験していることがこの調査から読み取れます。
このようなセキュリティ上の脆弱性に対処するために、一部の企業はDevOpsの展開を制限しています。Tripwireの調査では、42%の企業がコンテナに伴うセキュリティリスクが原因で、その採用を制限していると回答しています。ほぼすべての回答者(98%)が追加のセキュリティ環境が必要であると答え、82%はコンテナの採用に伴うセキュリティの責任範囲の再構築を検討していると答えました。
企業がこれらの実現を待つ間にも、DevOpsライフサイクルにセキュリティを組み込むことは可能であるし、またそうすべきであるとErlinは述べています。そのためには、脆弱性管理や監視/監査などのセキュリティコントロールを、ビルド環境、コンテナのセキュリティテスト/検証プロセス、およびコンテナランタイムなどのコンテナ全体に適用すればよいのです。
それらを含む基本的なセキュリティコントロールをコンテナ環境全体に適用する方法については、Tripwireの『Complete Guide to Complete Security』をご覧ください。
さらに、『Tripwire State of Container Security Report』の全文を読めば、コンテナのセキュリティのために企業が実践している取り組みについて学ぶことができます。
