編集部からのお知らせ
新着PDF:「Emotetの脅威」
新着記事まとめ「6G始動?」
海外コメンタリー

コンテナvs仮想マシン:セキュアなのはどっち? - (page 3)

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2018-08-20 06:30

 Bottomley氏はNablaランタイムが、「Kataテクノロジを搭載したハイパーバイザよりも優れたHAPを有しているという結果を得た。つまりわれわれはハイパーバイザよりも優れたHAPを備えた(すなわちよりセキュアな)コンテナシステムを実現したということだ」と述べた。

 しかし、よりセキュアだと証明されたのはIBMのプロジェクトだけではなかった。同氏は「(意図しないシステムコールをブロックするよう)適切に設定したseccompプロファイルを用いたDockerコンテナは、ハイパーバイザとほぼ同程度のセキュリティを実現している」と述べた。

 しかし、gVisorはまた別の話だ。gVisorはDockerの場合と同程度にとどまり、python-tornadoではDockerよりも著しく劣る結果となった。Bottomley氏は、「gVisorではコンテナの隔離性を向上させるために、GoによってLinuxシステムコールのインターフェースを書き換えている。しかし、Goのランタイムが実際に使用しているシステムコールの量については誰も注意を払っていないために、こういった結果となった」と推測している。もしそうであれば、gVisorの将来のバージョンはよりセキュアなものになるだろうとBottomley氏は考えている。

 とは言うものの、ここで本当に重要なポイントは、どのテクノロジが本質的にセキュアなのかという話ではない。セキュリティに甘いところがある場合、コンテナもVMも同じレベルでしかない。実際Bottomley氏も、「ハイパーバイザよりもセキュアなコンテナを作り出すことは間違いなく可能であり、これによりどちらがよりセキュアな技術なのかという長きにわたる議論に終止符を打てるはずだ」と考えている。

 同氏は、「次のステップは、悪質なアプリケーションが利用できる攻撃対象領域をはっきりさせることであり、そのためには何らかのファズテストを実施する必要がある」と語った。

 Bottomley氏の成果は次のステージへの扉を開いたにすぎない。同氏によって、アプリケーションのセキュリティは客観的に評価できるという点が示された。同氏は「これが議論の結論になるとは思っていない。しかし、その手法を示して見せたことで、他の人々も定量的な測定を生み出せるようになってほしいと考えている」と述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]