クラウドネイティブとは何を意味するのでしょうか。Linux Foundationによるプロジェクト傘下でコンテナ技術推進などを目的に2015年に創設された財団「The Cloud Native Computing Foundation(CNCF)」によると、クラウドネイティブのテクノロジーとは、企業や組織がクラウド環境やオンプレミスアーキテクチャを駆使することで、ソリューションを発展させるのに役立つ技術と定義しています。
現在のビジネス環境では、特にコロナによるパンデミックがデジタルトランスフォーメーションを加速させている中、企業や組織は、コンテナおよび「コードとしてのインフラ(Infrastructure as Code)」を含むクラウドネイティブテクノロジーを迅速に導入しています。こうした中、クラウドネイティブ環境でのセキュリティ対策は、クラウドアプリケーションを利用したプロジェクトが世界中のさまざまな企業や組織で使用されていることから大きな懸案の1つとなっています。これらのアプリケーションを使用している企業や組織は、アプリケーションにおける相互依存関係に脆弱性が存在するだけで、システム全体に影響を及ぼし、場合によってはアプリケーションが関わるクラスター全体が危険にさらされる可能性があることを認識する必要があります。
その他、例えば、クラウドネイティブプロジェクトのほとんどは、オープンソースのソフトウェアである各種ライブラリおよびそれらの関係性に依存しています。これらのライブラリは、通常、開発ライフサイクルの中で組み込まれ、アップデートや既知の脆弱性のチェックが行われることはほとんどありません。こうした現状も、クラウド資産へのセキュリティ侵害につながる可能性があります。
本稿では、クラウドネイティブアプリケーションへのセキュリティ対策における脆弱性を整理し、企業や組織が時間とリソースを割いてセキュリティ対策を講じるべき懸念事項がいかに拡大しているかを示します。
続きを読む