Sysdig 2021年のコンテナセキュリティと利用レポート：シフトレフトするだけでは不十分

本文の内容は、2021年1月13日にAaron Newcombが投稿したブログ(https://sysdig.com/blog/sysdig-2021-container-security-usage-report/)を元に日本語に翻訳・再構成した内容となっております。

第4回目の年次レポートであるSysdigコンテナのセキュリティと利用は、あらゆる規模と業界のグローバルなSysdigのお客様がコンテナ環境をどのように使用し、セキュリティを確保しているかを調査しています。組織が開発ライフサイクルの中でどのように、いつ、どのようにセキュリティを実装しているかを調査することで、今年のレポートではいくつかの興味深いデータポイントを明らかにすることができました。

例えば、74%の組織がビルドプロセスでコンテナイメージをスキャンしていることがわかります。これは、コンテナセキュリティがシフトレフトしていることを示しています。

しかし、ランタイムスキャンのデータを見ると、58% のコンテナが root として実行されており、イメージの大部分は依然として過度に寛容であることがわかります。これは、シフトレフトすることは良いスタートであり、脆弱性を早期に発見するのに役立つかもしれませんが、設定エラーが発生したときに検出するためのランタイムスキャンの必要性がまだあることを示しています。

また、ユーザーがセキュリティ上の懸念に対処するためにオープンソースのソリューションを利用するようになったことで、Falcoの採用が300%も劇的に増加していることもわかります。

このレポートでは、メトリクスの使用方法、人気のあるアラート、コンテナ密度の傾向、Kubernetesの使用パターンについても掘り下げています。

Sysdigのデータにおける見解

当社のソフトウェアは、コンテナのセキュリティとコンテナの使用状況の両方を監視しているため、コンテナ環境におけるKubernetes、レジストリ、アラート、アプリケーションの使用状況をユニークな視点で把握することができます。この実世界のリアルタイムデータから、セキュリティリスク、コンテナの使用状況、デプロイされたサービスなど、200万個近くのコンテナの使用状況についての洞察を得ることができます。

今年のハイライトをいくつか見てみましょう。

セキュリティはシフトレフトしているが、ドアは開いたまま

DevOpsチームは、開発ライフサイクルの早い段階で重要な意味合いを考慮し始めることを目標に、「シフトレフト」している。これらの懸念事項の中でも、セキュリティは重要です。当社の分析では、CI/CDパイプラインのビルドフェーズの一部としてイメージのスキャンを行っている組織と行っていない組織の数を調べました。

当社の顧客の74%がデプロイ前にスキャンを行っています。これは良い兆候です。ビルドフェーズでスキャンを行うことで、本番環境に移行する前にイメージの潜在的なセキュリティリスクに対処することができるからです。

チームは脆弱性をスキャンする必要性を理解していますが、一般的な設定ミスをスキャンしていない可能性があります。

私たちが確認したのは、イメージの 58% が root として実行されており、特権コンテナが侵害される可能性があるということです。これは高いと思われたので、私たちはお客様に尋ねました。実際には、リスクの高い設定が実行時に検出されたとしても、チームはコンテナを停止させず、迅速にデプロイを継続できることがわかりました。

コンテナの寿命を前年比で比較してみると、大多数のコンテナが1週間未満で生きているという同じようなパターンが見られます。実際、最新のデータサンプルでは、これらのコンテナの49%が5分未満、21%が10秒未満であることがわかりました。

多くの監視ツールでは、このような小さな時間サンプルでは詳細な情報を提供できないため、これはセキュリティ問題を監査する上で大きな課題となっています。

ランタイムとレジストリの変化

この1年間で、containerdとCRI-Oの両方で200%の成長を見てきました。昨年は79%の成長だったDockerと比較すると、今年は50%まで落ち込んでいます。また、Kubernetesプロジェクトが2021年後半にDockerの使用を正式に廃止すると発表したことも注目に値します。

いくつかの選択肢が出てきたことを考えると、どのコンテナランタイムを使用するかを選択するのは少し不明確に思えるかもしれません。しかし、オープンスタンダードのおかげで、間違った選択をしてロックインしてしまうことへの懸念はなくなりました。さらに簡単にするために、OpenShift、GKE、および IKS のような人気のあるプラットフォームは、複数のコンテナランタイムの並列使用をサポートしており、通常は選択したランタイムで設計されているため、どのランタイムを使用するかを決定するために開発サイクルを費やす必要がありません。

コンテナレジストリは、コンテナイメージをホスティングして管理するためのリポジトリを提供します。Dockerレジストリーは、当社のお客様の36%が使用しています。この指標には、プライベートホスティングとパブリックリポジトリの両方が含まれています。

クラウドプロバイダーがホストするレジストリソリューションは、ますます人気が高まっています。過去数年と同様に、Google Cloud Registryが再びトップのパブリッククラウドリポジトリとなっており、当社のSysdigユーザーの26%が利用しています。しかし、Quayは昨年から若干の伸びを拾っており、14%から24%に増加しています。

組織はオープンソースに転向している

コンテナライフサイクルのビルドフェーズで既知の脆弱性に対処した後、チームは、異常な動作を検出してランタイムにセキュリティアラートをトリガーするポリシーを設定して、文書化されていない脅威に対処する必要があります。Kubernetesのランタイムセキュリティは、SysdigがコントリビュートしているCNCFオープンソースプロジェクトであるFalcoのようなオープンソースソリューションで対処し始めたばかりのものです。

私たちの調査によると、Falcoは2000万件以上のDocker Hubのプルがあり、急速に勢いと関心を集めていることがわかりました。これは、昨年の252%の増加と比較して300%の増加を示しています。Falcoは、セキュリティ違反を検出してアラートを生成するランタイムポリシーの定義を可能にします。ユーザーは一度Falcoを採用すると、Sysdig Secureがルールの作成とチューニングを自動化するためにFalcoの上に構築されていることを高く評価します。

カスタムメトリクスソリューションは、開発者やDevOpsチームがコードを計測して独自のメトリクスを収集する方法を提供します。このアプローチは、本番環境のクラウド環境でアプリケーションを監視するための一般的な方法となっています。

JMX、StatsD、Prometheusの3つの主力ソリューションのうち、2年連続で獲得したのはPrometheusでした。前年比では、当社の顧客全体で Prometheus のメトリクスの使用率が昨年の 46% から 62% に増加しました。

オープンソースは、エンタープライズコンピューティングの顔を変えました。それはインフラストラクチャーだけでなく、特にアプリケーション開発全体のイノベーションを後押ししています。コンテナ内のプロセスを自動検出するSysdigの能力は、お客様が本番で実行しているクラウドネイティブサービスを構成するソリューションを瞬時に把握することができます。

昨年、Node.jsとGo（別名golang）の両方がJavaの使用を追い越しました。今年は、Goの使用率が14%から66%に急増しています。以下は、Sysdigのお客様がデプロイしたオープンソース（非コンテナ関連）テクノロジーのトップ10です：

まとめ

コンテナのセキュリティは、前回の使用レポート以降、シフトレフトに力を入れていることやFalcoの驚異的な採用が示すように、企業の関心が高まっています。しかし、組織は、設定エラーや攻撃を検出できるようにランタイムアクティビティを検査する努力を怠らない必要があります。第4回年次レポートの主な洞察は、コンテナエコシステムで起こっている大きな変化と、企業が適応するための措置を講じる必要性を強調しています。

ランタイムリスクを先取りするために、クラウドチームは今すぐ行動して、セキュリティを DevOps に統合する必要があります。

短期間のコンテナの詳細な監査とフォレンジックの記録を提供するリアルタイムの可視性は、安全な運用に不可欠です。

組織は、Kubernetesネイティブのツールに投資して、スケールでの運用を簡素化する必要があります。

Prometheusがクラウドネイティブアプリケーションメトリクスの標準としてのリードを拡大していく中で、ユーザーは信頼性の高い、スケールでの活用方法を学ばなければなりません。

Sysdig 2021コンテナのセキュリティと使用状況に関するレポートを今すぐダウンロードして、すべての詳細を確認してください。