最近ではコンテナオーケストレーションソフトウェアである「Kubernetes」の人気が高まっており、今やあらゆるところで使われるようになった。しかし、四半期ごとにメジャーアップデートが行われ、誰もがそれを一斉に導入するため、セキュリティが大きな懸念事項になっている。この状況を受けて、Kubernetes製品セキュリティ委員会は、Cloud Native Computing Foundation(CNCF)の資金提供を受け、Kubernetesのセキュリティホールを発見したセキュリティ研究者に報いるバグ報奨金制度をスタートさせている。
この報奨金制度は、数カ月前からクローズドベータテストとして運用されていたが、提案から2年近く経って、ようやくすべてのセキュリティ研究者が制度を利用できるようになった。
Google Cloudのコンテナセキュリティ担当製品マネージャーMaya Kaczorowski氏は次のように述べている。
Kubernetesにはすでにしっかりしたセキュリティチームと対応プロセスがあり、最近実施されたセキュリティ監査によって、安全性はさらに強固なものになっている。かつてないほど強力で安全なオープンソースプロジェクトだ。今回のバグ報奨金プログラムの立ち上げは、資金を投じて口だけではなく行動で示そうとする取り組みであり、何よりもすでにこの重要な仕事を行っている研究者らに報いるためのものだ。これによって、さらに多くのセキュリティ研究者にKubernetesのコードに目を向けてもらい、セキュリティ脆弱性をなくすとともに、Kubernetesのセキュリティに対する貢献を金銭面で支援したいと考えている。
このバグ報奨金制度を運営するのは、エシカルハッカーのコミュニティーによってセキュリティインシデントのリスクを軽減するというバグ報奨金ソリューションのHackerOneだ。同社のチームは、全員がCertified Kubernetes Administrators(CKA)を取得している。ただし、これは簡単な仕事ではない。Kubernetesには100以上の認定ディストリビューションが存在しており、今回の報奨金制度ではそのすべてのコードが対象になっているためだ。
具体的には、GitHubに置かれている主なKubernetesのコードが対象となっている。また、継続的インテグレーションやリリース、ドキュメントなども対象となる。この制度で見つけようとしているのは、特にクラスターへの攻撃につながる可能性のあるセキュリティホールで、これには権限の昇格、認証に関するバグ、kubeletやAPIサーバーでの遠隔からのコード実行が含まれる。
ワークロードに関する情報の漏えいや、意図しないパーミッションの変更なども対象となっているほか、ビルドやリリースプロセスを含むKubernetesのサプライチェーンについても注意を払うよう推奨されている。
一方、KubernetesメーリングリストやSlackチャネルなどのコミュニティ管理ツールは対象になっていない。また、コンテナからのエスケープやLinuxカーネルに対する攻撃、「etcd」などのKubernetesが依存するものも制度の対象外で、それぞれのセキュリティチームに報告すべきだとしている。ただし説明では、バグ報奨金制度の対象外であっても、Kubernetesの脆弱性に関する情報があれば知らせてほしいと述べている。そのような脆弱性に関する情報は、Kubernetes製品セキュリティ委員会に非公開で通知する必要がある。
Kubernetesのコアプログラムにセキュリティホールが発見された場合の報奨金の金額は、優先度の低い問題の200ドル(約2万1000円)から、重大な問題の1万ドル(約110万円)までの幅がある。バグ報奨金制度の詳細については、HackerOneの公式ページを参照してほしい。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
