用語集 › 🔒 セキュリティ › コンテナセキュリティ
【こんてなせきゅりてぃ】

コンテナセキュリティ とは?

💡 軽くて便利な箱だからこそ、中身の検査は厳重に
📌 このページのポイント
コンテナセキュリティの多層防御 ビルド時 イメージスキャン ベースイメージ検証 イメージ署名 デプロイ時 権限制限 ネットワーク Pod Security ランタイム 異常行動検知 ログ監視 脆弱性パッチ Trivy / Snyk K8s RBAC / OPA Falco / Sysdig ビルド → デプロイ → 運用 の全フェーズで防御
コンテナセキュリティの多層防御アプローチ
ひよこ ひよこ

コンテナって便利そうだけど、セキュリティは大丈夫なの?

ペンギン先生 ペンギン先生

コンテナはホストOSのカーネルを共有しているから、VMより隔離レベルが低いんだ。だからこそ専用のセキュリティ対策が必要になるんだよ

ひよこ ひよこ

具体的にはどんな対策をするの?

ペンギン先生 ペンギン先生

まずはイメージスキャンだね。TrivyやSnykといったツールで、コンテナイメージに含まれるライブラリ脆弱性をチェックする。スーパーの食品検査みたいに、出荷前に中身を調べるイメージだよ

ひよこ ひよこ

動いてる最中のコンテナ監視するの?

ペンギン先生 ペンギン先生

もちろん。ランタイムセキュリティでは、コンテナ内で想定外のプロセスが動いたり、不審なファイルアクセスがあったりしたら検知する。FalcoやSysdigが有名なツールだね

ひよこ ひよこ

Kubernetesだとさらに複雑そう...

ペンギン先生 ペンギン先生

K8sではネットワークポリシーでPod間の通信を制限したり、RBACで誰が何を操作できるか制御したりする。あとはPodをroot権限で動かさない、読み取り専用ファイルシステムにする、といったベストプラクティスもあるよ

ひよこ ひよこ

サプライチェーン攻撃って最近よく聞くけど、コンテナも関係あるの?

ペンギン先生 ペンギン先生

大ありだよ。Docker Hubの公開イメージにマルウェアが仕込まれるケースもある。だから信頼できるベースイメージを使い、Cosignなどでイメージに署名して改ざんを検知する仕組みが重要なんだ。ビルドからデプロイまで全工程を守るのが現代のコンテナセキュリティだよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「コンテナセキュリティ」って出てきたら「Docker/K8s環境を多層防御で守ること」と思えればだいたいOK!
📖 おまけ:英語の意味
「Container Security」 = コンテナの安全対策
💬 Container は貨物コンテナと同じ語源で、アプリをまるごと箱詰めする技術のこと。その箱を安全に管理するのが Container Security だよ
🔗 あわせて読みたい
← 用語集にもどる