クラウド管理者にとってDockerなどのコンテナの安全性とその追跡はいまだに課題だ。Linux向けの大規模なサーバ実装技術とコンテナを開発するCoreOSは、これに対応すべく「Clair」を発表した。
Clairはコンテナのセキュリティをモニタリングするツールを提供するオープンソースプロジェクトとなる。CoreOSのソフトウェアエンジニアであるQuentin Machu氏は「API主導の解析サービスで、コンテナ内の脆弱性についての洞察を得られる」と説明する。「Clairを利用することで、継続して脆弱性を検出するサービスを容易に構築できる。CoreOSはすべてのユーザーとベンダーが世界のインフラの安全性を改善するツールを利用できるようにすることの重要性を信じており、Clairをオープンソースとして提供する」と続けている。
- TechRepublic Japan関連記事
- MesosクラスタでDockerコンテナ5万個を起動--バックエンド強化をVerizonディレクターに訊く
- ハイブリッドクラウド座談会(3):SDNやDockerは何を変えるのか
CoreOSはまた、同社のコンテナレジストリ「Quay」にClairを組み込んだ新しいセキュリティプログラム「Quay Security Scanning」も発表した。Quay Security Scanningは、コンテナにある脆弱性を自動で検出、レポートするという。
内部テストとしてQuay Security Scanningが数百万ものコンテナをスキャンした結果、約80%が「Heartbleed」のような脆弱性の潜在的脅威にさらされていることがわかったという。
幸いなことに、CoreOS Linuxには自動アップデートツールが含まれており、OSレベルでHeartbleed脆弱性にパッチをあててくれる。だが、残念なことにそれでもコンテナの多くが深刻なセキュリティ問題を隠れた形で含んでいる。
CoreOSで主席セキュリティソフトウェアエンジニアを務めるMatthew Garrett氏は、電子メールで以下のように説明している。
残念な事実として、ソフトウェアには脆弱性がある。管理者はできるだけ早く脆弱性の存在を知り、修正を当てることが重要になる。コンテナはアプリケーション間の境界を強固にし、新しいセキュリティレイヤを追加するものとなる。しかし、既存の運用ツールはときにコンテナに対応しておらず、管理者に潜在的な問題を通知してくれない。Clairを土台としたQuay Security Scannerはコンテナレイヤで脆弱性の可視化を改善するもので、管理者は自分たちのネットワークが安全であることを確認しやすくなるだろう。インターネットのセキュリティを改善するというCoreOSの目標達成を支援すべく、Clairをオープンソースとして公開し業界全体がメリットを享受できるようにした。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。