This is the Trace Id: 74e7e85144fad5599d256ece30f0e0b6
メイン コンテンツへスキップ 個人向け価格 家族向け 1 ユーザー向け プレミアム ユーザー向け 学生向け 詳細情報 一般法人向け価格情報 中小企業向け 学校向け 大企業向け価格情報 大企業向け フロントライン ワーカー向け 非営利団体向け Copilot の紹介 Copilot Chat AI エージェント 日替わりのプロンプト ガイド プランと価格 Microsoft Teams Word Excel PowerPoint Outlook OneDrive SharePoint Planner アプリとサービスをすべて表示 Microsoft Office Windows 365 Microsoft Viva Microsoft Edge Microsoft Agent 365 プランと価格 Copilot の使い方を知る コスト削減 アカウントと請求 よく寄せられる質問 セットアップとインストール テンプレート トレーニング 新機能 Microsoft Frontier プログラム Microsoft 365 のロードマップ Microsoft 365 のブログ 小規模ビジネス リソース センター セルフヘルプ リソース 請求に関するサポート コミュニティ セルフヘルプ リソース 管理者セルフヘルプ サポート プラン パートナーを探す 営業に問い合わせる コミュニティ セルフヘルプ リソース 教師センター サポートをリクエスト コミュニティ パートナーになる パートナー リソース すべてのサポートを見る 無料で試す
テーブルに置かれたデスクトップを使用している女性

コンテナーのセキュリティとは?

コンテナー セキュリティとは何か、その仕組み、そしてクラウド向けに構築されたベスト プラクティス、ツール、戦略を使ってコンテナー化された環境を保護する方法について説明します。
コンテナー セキュリティは、開発、デプロイ、ランタイム環境をカバーする、ライフサイクル全体を通してコンテナー化されたアプリケーションを保護するのに役立ちます。 マイクロサービス、DevOps ワークフロー、Kubernetes などのプラットフォームを採用する組織が増えるにつれて、コンテナーのセキュリティ保護は、最新のクラウド環境でのリスク管理の重要な一部となっています。適切な戦略があれば、イノベーションを遅らせることなく安全を維持できます。

重要なポイント

  • コンテナー セキュリティには、コンテナーを最初から最後まで保護することが含まれます。 コンテナーの構築と出荷から、クラウドでの安全な実行まで、すべてをカバーします。
  • 多層的なアプローチが最適です。 イメージのスキャン、アクセスの管理、ネットワークのセキュリティ保護、アクティビティの監視が連携して、リスクの低減に役立ちます。
  • Kubernetes の複雑さに対応するには専用のセキュリティが必要です。 Kubernetes は、コンテナー化されたワークロードのデプロイと管理を自動化する、主要なコンテナー オーケストレーション プラットフォームです。その複雑さから、環境を安全に保つために、アクセス、API、およびネットワーク ルールの管理が不可欠です。
  • コンテナー セキュリティは急速に進化しています。 AI、ゼロ トラスト セキュリティ モデル、行動ベースの検出、新しい規制が、組織のコンテナー セキュリティへの取り組み方を形成しています。
  • ニーズに合ったツールを選択してください。 オープン ソースでもエンタープライズレベルでも、適切なツールはスキャン、ランタイム保護、パイプライン統合をサポートする必要があります。

コンテナーのセキュリティとは?

コンテナー セキュリティとは、開発やデプロイからランタイムまで、コンテナー化されたアプリケーションのライフサイクル全体を保護する手法です。より広範なクラウド セキュリティ戦略の一部として、コンテナー セキュリティには、コンテナーと、それらが実行される環境の保護に役立つツール、プロセス、ポリシーが含まれます。主な領域は次のとおりです。
  • コンテナー イメージとレジストリのセキュリティ保護。
  • アクセスの制御と機密データの管理。
  • 脅威や異常を検知するためのランタイムのアクティビティの監視。
  • 継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインへのセキュリティの統合。
  • 環境間でのコンプライアンスの適用。
コンテナーは、実行に必要なすべてをアプリケーションと一緒にパッケージ化するため、コンテナー化されたアプリケーションは軽量で移植性に優れ、最新の開発に適しています。マイクロサービス、DevOps、Kubernetes のようなテクノロジにより、コンテナーはクラウド ネイティブ アプリケーションの構築と運用の中心になりました。ただし、アプリケーションをコンテナー化すると、イメージの脆弱性、構成ミス、オーケストレーションの課題など、新たなリスクも生じ、専用のセキュリティ制御が必要になります。

効果的なコンテナー セキュリティは、脆弱性の低減、攻撃対象領域の最小化、コンテナー化されたアプリケーションにおける規制コンプライアンス要件の達成に役立ち、イノベーションを妨げません。

コンテナー セキュリティのライフサイクル

コンテナーのセキュリティ保護とは、コンテナー化のプロセスのすべての段階、つまり構築、出荷、実行をカバーすることを意味します。ビルド フェーズでは、コンテナー イメージがデプロイ前にスキャンされ、脆弱な要素がないか確認されます。この “シフト レフト” テスト アプローチは、開発プロセスのセキュリティを早期に導入し、より大きな問題を回避するのに役立ちます。

コンテナーを出荷するときは、レジストリの保護が重要になります。つまり、アクセスできるユーザーを管理し、レジストリ データを移動する際に暗号化し、署名済みイメージを使用して信頼されたコンテナーだけが配布されるようにします。これにより、改ざんや不正なデプロイを防ぐことができます。

最後に、コンテナーが実行されている間は、継続的な監視と異常なアクティビティのリアルタイム検出により、脅威をすばやく見つけることができます。その後、自動応答によって、すべてが安全に保たれ、スムーズに実行されます。
コード、CI/CD パイプライン、およびランタイムなどのラベル付きコンポーネントを含む、コンピューター プログラム内の最新の脅威と脆弱性を示すダイアグラム。

コンテナー化されたアプリを保護するために組織が対処する必要がある主なリスクを確認します。

Kubernetes 環境の保護

Kubernetes は、コンテナーを管理し、アプリケーションのデプロイ、スケーリング、メンテナンスを自動化するための主要なプラットフォームです。非常に多くの組織がそれに依存しているため、Kubernetes 環境をセキュリティで保護する方法を知っておく必要があります。

Kubernetes には、一般にコンテナー化されたアプリケーションに影響するリスクに加えて、独自のリスクがあります。たとえば、構成が誤っているアクセス制御により、ユーザーに本来より多くの権限が付与され、未承認のアクセスが可能になるおそれがあります。API の脆弱性や特権エスカレーションの可能性も攻撃対象領域を広げるため、強力なセキュリティ制御が不可欠です。

Kubernetes のベスト プラクティスには、最小特権などの特権アクセス管理の原則を、適切なアクセス ロールの設定、pod 間のトラフィックを制御するネットワーク ポリシーの使用、構成の定期的な監査を通じて実装することが含まれます。これらの手順により、リスクを低減し、露出を抑え、Kubernetes クラスターを安全で回復力のある状態に保てます。

ビジネス向けコンテナー セキュリティ

組織がマイクロサービス、Kubernetes、DevOps の手法を採用するにつれて、コンテナーは最新のアプリケーションを構築およびデプロイするための基盤になっています。コンテナーをセキュリティで保護することは、アプリケーション ライフサイクル全体にわたって具体的なビジネス価値をもたらします。強力なコンテナー セキュリティの手法を実装することで、組織は機密データを保護し、コンプライアンスを維持し、信頼性の高い運用を確保できます。

コンテナー セキュリティは、組織に次のメリットをもたらします。
  • 開発および本番環境全体で機密データを保護します。
  • ダウンタイムや侵害のリスクを低減し、運用を円滑に維持します
  • イメージの改ざん、特権エスカレーション、横移動など、コンテナー固有の脅威から防御します
  • 医療保険の携行性と責任に関する法律 (HIPAA)、Payment Card Industry and Data Security Standards (PCI-DSS)、National Institute of Standards and Technology (NIST) などの標準に準拠します
  • 強力なセキュリティの実践を通じて、顧客、パートナー、および関係者からの信頼を築きます
コンテナーを保護する際の課題を強調するダイアグラム。さまざまなセキュリティの問題を説明するテキスト付き。

現代の組織にとってコンテナー セキュリティを難しくする課題を理解します。

コンテナーのセキュリティに関する一般的な課題

コンテナーは、アプリケーションの開発とデプロイに速度と柔軟性をもたらしますが、独自のセキュリティ上の課題も生じます。組織は、コンテナー環境が拡大して複雑になるにつれて、潜在的なサイバー攻撃からコンテナー環境を安全に保つために、これらのリスクに対処する必要があります。

脆弱なコンテナー イメージ
多くのコンテナーは、古いソフトウェアや既知の脆弱性を含む可能性がある公開イメージまたは共有ベース イメージを使用して構築されています。定期的なスキャンと検証を行わないと、これらの弱点によって運用環境が損なわれる可能性があります。

セキュリティで保護されていない構成と過剰な特権
構成が正しくないコンテナーや、ルート アクセスなどの不要なアクセス許可を持つコンテナーは、システムを攻撃にさらす可能性があります。

機密データの管理不備
API キーやパスワードなどの機密情報をプレーン テキストで、またはコンテナー イメージ内に保存すると、攻撃者がアクセスしやすくなります。

サプライ チェーン攻撃
コンテナーは、多くの場合、サードパーティのコードとライブラリに依存しているため、リスクが発生する可能性があります。悪意のあるコンポーネントや侵害されたコンポーネントが、ビルドまたはデプロイの過程で検出されないまま追加されることがあります。

ネットワーク分離が不十分
コンテナー ネットワークが適切に分離されていないと、アクセス権を得た攻撃者がサービス間を横方向に移動する可能性があります。通信を制限すると、侵害の封じ込めに役立ちます。

ランタイムのセキュリティ脅威
安全に構成されたコンテナーでも、特権エスカレーション、コード インジェクション、ゼロデイ脆弱性など、運用中に攻撃を受ける可能性があります。継続的な監視と異常検出は、問題の迅速な特定に役立ちます。

コンテナーのエスケープと横移動
攻撃者がコンテナーから脱出すると、ホスト システムや他のコンテナーにアクセスされる可能性があります。コンテナーはホスト カーネルを共有するため、この境界をセキュリティで保護することが不可欠です。

コンプライアンスと規制の要件
HIPAA、PCI-DSS、NIST などの標準への準拠は、動的なコンテナー環境では困難です。組織は、準拠を維持するために可視性、監査ログ、ポリシーの適用が必要です。

オープン ソース コードの脆弱性
多くのコンテナー化されたアプリケーションでは、未修正の脆弱性がある可能性のあるオープン ソース コンポーネントが使用されています。悪用を防ぐには、自動スキャンと依存関係の管理が必要です。

コンテナー セキュリティの主なコンポーネント

効果的なコンテナー セキュリティは、アプリケーション ライフサイクル全体を通して連携する複数のレイヤーに依存しています。これらの主要なコンポーネントと、それらが実際の環境でどのように適用されるかを理解すると、組織は強固で回復力のある防御を構築しやすくなります。

イメージ セキュリティ
イメージ セキュリティでは、信頼できるベース イメージから始めて、コンテナー イメージの脆弱性を確認し、デプロイ前に特定されたリスクへの対処方法を提供します。

例:
大手金融サービス企業では、自動イメージ スキャンを使用して古いソフトウェアを展開前に検出し、潜在的な侵害の防止に役立てています。

CI/CD パイプラインの統合
CI/CD パイプラインにセキュリティ チェックを追加すると、開発プロセスの早い段階でセキュリティ対策を実施できるようになり、問題をより早期に検出できます。

例:
エンタープライズ ソフトウェア ベンダーは、自動脆弱性スキャンをビルド パイプラインに組み込み、コードが運用環境に展開される前に問題を検出しています。

レジストリの保護
コンテナー レジストリを保護するには、厳格なアクセス制御の設定、転送中データの暗号化、整合性を確認するための署名付きイメージの使用が必要です。

例:
医療機関では、レジストリへのアクセスを承認済みのチームに限定し、すべてのイメージ転送を暗号化して、検証済みのイメージのみが展開されるようにしています。

ランタイム セキュリティ
ランタイム セキュリティでは、コンテナーを継続的に監視し、異常なアクティビティを検出し、脅威を調査して、稼働中のコンテナーを安全に保ちます。

例:
世界的な小売企業では、リアルタイム監視ツールを使ってコンテナーの異常な動作を検出し、影響を受けたコンテナー イメージを自動的に分離して、脅威の拡散を防いでいます。

ネットワーク セキュリティ
コンテナー環境のネットワーク セキュリティは、ネットワークのセグメント化、トラフィックの暗号化、通信経路を制限するポリシーの適用に依存します。

例:
大手通信会社では、マイクロセグメンテーションを適用してコンテナー ワークロードを分離し、攻撃者が横方向に移動するリスクを低減しています。

Kubernetes セキュリティ
ロールベースのアクセス制御 (RBAC) やネットワーク ポリシーなどの機能は、コンテナーをデプロイできるユーザーとその通信方法を制御することで、Kubernetes の保護に役立ちます。

例:
多国籍物流プロバイダーでは、Kubernetes RBAC を使用して、コンテナーのデプロイと管理を行えるユーザーを厳格に制御し、ガバナンスを向上させています。

コンテナー セキュリティの成功事例

コンテナーを効果的に保護するには、次のようなベスト プラクティスを中心に据えたプロアクティブな戦略が必要です。
  • コンテナー イメージを保護します。イメージを定期的に脆弱性スキャンし、信頼できるベース イメージを使用して、デプロイ前のリスクを低減します。
  • CI/CD パイプラインにセキュリティを統合します。 開発の早い段階で自動セキュリティ チェックを追加し、コードが運用環境に展開される前に問題を検出します。これは、DevSecOps アプローチの重要な要素です。
  • 厳格なアクセスの制御を実施します。 アクセス許可を制限し、ロールベースのアクセスを使用して、承認されたユーザーのみがコンテナーとレジストリにアクセスできるようにします。
  • ネットワーク セキュリティを強化します。 ネットワークをセグメント化し、ポリシーを適用してワークロードを分離し、攻撃者の移動を防ぎます。
  • コンテナーのランタイムを保護します。 稼働中のコンテナーを監視し、動作を監査して、迅速に修正し、脅威を阻止します。
  • 明確な インシデント対応計画を策定します。コンテナー セキュリティ インシデントに迅速に対応できるよう、手順とチームを整備しておきます。
  • 定期的に侵入テストを実施します。攻撃をシミュレートして隠れた弱点を見つけ、事前に防御を強化します。
  • チームにベストプラクティスのトレーニングを行います。 セキュリティ トレーニングを継続的に提供して、ポリシーと新しい脅威に関する最新情報を全員が把握できるようにします。
同時に、よくある落とし穴を避けることも同じくらい重要です。
  • 基本的なセキュリティ衛生を怠ること。修正や適切な構成などの基本手順を省くと、攻撃者が侵入しやすくなります。
  • コンテナー イメージの適切な検証を怠ること。 信頼できないイメージや古いイメージを使用すると、脆弱性や悪意のあるコードが入り込む可能性があります。
  • CI/CD パイプラインでのセキュリティを見落とすこと。 ビルド & デプロイでセキュリティを無視すると、アンマネージド コードが運用環境に送られるリスクがあります。
  • データを安全に管理しないこと。資格情報または API キーをコンテナー内に公開したままにすると、重要なシステムが危険にさらされます。
  • ネットワークの分割が不十分なこと。フラットなネットワークでは、攻撃者が侵入後にコンテナー間を自由に移動できます。
  • コンテナーの活動の可視性が欠如していること。適切な監視とログ記録がないと、脅威は手遅れになるまで見過ごされる可能性があります。
これらの戦略に従い、よくあるミスを避けることで、組織は強固なコンテナー セキュリティ体制を構築し、安全性を損なうことなくことなくイノベーションをサポートする強力なコンテナー セキュリティ体制を構築できます。

Microsoft のコンテナー セキュリティ ソリューション

統合された多層セキュリティ アプローチで、ライフサイクル全体にわたってコンテナー化されたアプリケーションを保護します。自動化された脅威と脆弱性の管理、安全なサプライ チェーン、Kubernetes とコンテナーのセキュリティ態勢、ランタイム保護は、リスクの低減と迅速な提供に役立ちます。

Microsoft Defender for Cloud は、アプリケーション ライフサイクルのすべての段階にわたって、コンテナー化された環境をエンド ツー エンドで保護します。サプライ チェーンを保護し、すべての Kubernetes クラスターとコンテナー ワークロードをリアルタイムでエージェントレスに可視化し、セキュリティのベスト プラクティスを適用することで、組織はコンプライアンスを維持し、セキュリティ態勢を強化できます。継続的なスキャン、リスク ベースの脆弱性優先順位付け、Microsoft Defender XDR とのネイティブ統合により、セキュリティ チームは脅威を迅速かつ効果的に検出、調査、対応でき、イノベーションを妨げずに強固な防御を実現できます。
リソース

Microsoft Security の詳細情報

ソリューション

クラウド ワークロード保護ソリューション

マルチクラウド、ハイブリッド、オンプレミスのワークロード全体で、サイバー攻撃を検出し、対応します。
コンピューターを見ている男性と女性。
セキュリティ 101

クラウド セキュリティの概要を確認する

ハイブリッドおよびマルチクラウド環境におけるクラウド セキュリティの基礎、メリット、課題を確認します。

よく寄せられる質問

  • コンテナーは、ホスト システムのカーネルを共有し、動的に変化するため、特有のセキュリティ課題を伴います。しかし、適切なセキュリティ プラクティス、ツール、監視を導入していれば、これらのリスクは効果的に管理できます。
  • コンテナー セキュリティでは、ビルド、配布、ランタイムの各段階を通じてアプリケーションを保護します。これには、イメージの脆弱性スキャン、アクセス制御、ネットワークのセグメント化、シークレットの管理、脅威の継続的な監視が含まれます。
  • コンテナー イメージや設定の脆弱性は、不正アクセスや特権エスカレーションの取得、運用の中断に悪用される可能性があります。これらの問題を早期に修正すると、侵害のリスクを軽減できます。
  • 組織は、コンテナーをセキュリティで保護するためにさまざまなツールを使用します。選択肢には、オープンソースの脆弱性スキャナーや、Microsoft Defender for Cloud のようなエンタープライズ向けプラットフォームがあり、包括的な脆弱性管理とランタイム保護を提供します。
  • コンテナー ドリフトを防ぐ最善の方法は、セキュリティを継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインに組み込み、ランタイム環境を継続的に監視し、厳格な構成管理を適用して、コンテナーを意図した状態に維持することです。

Microsoft Security をフォロー

日本語 (日本) コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について