海外コメンタリー

コンテナの脆弱性をスキャンするCoreOSの「Clair」

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 石橋啓一郎 2016年03月25日 06時00分

  • このエントリーをはてなブックマークに追加

 コンテナは開発者コミュニティーに愛されている。コンテナを使えば、同じハードウェアで、仮想化されたマシンよりも多くのサーバアプリケーションを実行することができる。コンテナの唯一の(しかしあまり小さいとは言えない)問題は、セキュリティだ。CoreOSの「Clair」はコンテナに脆弱性がないかをチェックすることで、この懸念を払拭する。

Clairのロゴ

提供:CoreOS

 大規模サーバ群展開とコンテナ利用のためのLinuxを作っているCoreOSは、2015年11月、オープンソースのコンテナイメージセキュリティ分析ツールであるClairの初期バージョンを公開した。そして先週にはバージョン1.0をリリースし、本番環境で利用できるようにした。

 CoreOSの主席セキュリティソフトウェアエンジニアであるMatthew Garrett氏は、電子メールの中で、「ソフトウェアに脆弱性が存在することは残念ながら避けらない。管理者ができる限り早く脆弱性についての情報を手に入れ、パッチを適用することが重要だ。コンテナはアプリケーションの間に境界を作るという点でセキュリティの強化に寄与するが、既存の運用ツールは多くの場合コンテナを前提としておらず、管理者に潜在的な問題を通知する能力を持っていない」と述べている。

 CoreOSのソフトウェアエンジニアQentin Machu氏は、それがClairの役割だと述べ、「コンテナに存在する脆弱性に関する知見を提供する、APIによる分析サービス(Quay Security Scanning)」を提供することによってこれを実現すると説明している。これは、すべてのコンテナイメージをチェックし、「『共通脆弱性識別子』(CVE)のほか、Red Hat、Ubuntu、およびDebianによる類似の脆弱性データベースに基づいて、脅威となる可能性のある脆弱性についての通知を提供する」ことで行われるという。

 Clairの恩恵を受けるのはDevOpsのチームだ。Machu氏は、Clairの機能をこう説明する。「コンテナの脅威となる脆弱性に関する、有益で、対処に役立つ情報を提供する。Clairの最新機能の多くは、コミュニティーからのフィードバックを反映したもので、これには、脆弱性が存在するかどうかを判別するだけでなく、脆弱性を修正するパッチやアップデートについても提供する機能が含まれる。さらに、バージョン1.0では、性能や拡張性も改善されており、開発者や運用のプロフェッショナルが、Clairの分析エンジンを中心に独自のサービスを実装しようとする際に役立つものになっている」

 このバージョンでは、ユーザーがパッチや脆弱性の情報を追加することもできる。このことは重要で、Clairを使ってCoreOSのコンテナレジストリ「Quay」を分析およびインデックス化した調査で、次のようなことが明らかになっている。

  • 検知された脆弱性の70%以上は、単にコンテナのイメージにインストールされているパッケージをアップデートするだけで修正できる。
  • 高(High)または最高(Critical)と評価された脆弱性の80%以上は、イメージに含まれるパッケージに、簡単にアップデートを適用できる既知のパッチが存在するものだ。

 つまり、とにかくパッチを適用すればいいという、単純な問題が大半を占めていたわけだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]