サッカー賭け違法 勘所から実践的なソリューションまで！
サッカー賭け違法テナセキュリティセミナー イベントレポート

セミナーの冒頭では、「サッカー賭け違法テナセキュリティの勘所」についてSB C&S株式会社 ICT事業本部 販売推進本部 技術統括部 テクニカルマーケティングセンター ビジネス開発課 竹石 渡氏から講演がありました。

DevOpsを実現するために欠かせない技術として注目を集めているサッカー賭け違法テナですが、サッカー賭け違法テナを導入する上でセキュリティの課題は切り離して考えることはできません。
実際、仮想通貨MoneroをマイニングするDockerイメージが確認されるなど、サッカー賭け違法テナ技術を悪用した脅威が出始めています。

また一般的にセキュリティとスピードはトレードオフの関係ですが、サッカー賭け違法テナのセキュリティを考える上で重要な点は、スピードとセキュリティを両立させることです。アプリケーションのデプロイの頻度を上げる、リードタイムを短縮させるなど、スピードを向上させることがサッカー賭け違法テナ導入のモチベーションになります。しかし、セキュリティを強化することによりそのメリットであるスピードが損なわれてしまっては本末転倒です。

それではどのようにセキュリティとスピードを両立させていくのでしょうか。
サッカー賭け違法テナのライフサイクルには「Build」（サッカー賭け違法テナアプリケーションの開発）、「Ship」（サッカー賭け違法テナイメージの共有）、「Run」（サッカー賭け違法テナアプリケーションの実行）があります。
一般的なセキュリティ対策ではRun時にどのように守るかにフォーカスされがちですが、「シフトレフト」の考えをセキュリティにも適用することで、スピードをできる限り落とさずにセキュリティを担保することができます。

サッカー賭け違法テナセキュリティにおけるシフトレフトとは、開発の初期段階、つまりBuild段階からセキュリティのケアをすることで手戻りの発生を防ぎ、デプロイまでのリードタイムを短縮しようというものです。工程表の左側にシフトさせるため、シフトレフトと言われています。

各段階におけるセキュリティ対策を挙げます。Build段階ではサッカー賭け違法テナのイメージスキャンを行い、Ship段階でも引き続きレジストリのイメージスキャンを実施します。これらのスキャンはマルウェアやシークレットが含まれていないか、OSSのライセンス違反をしていないか、既知の脆弱性がないかなどを確認します。

Run段階では改ざん検知、ランタイムプロテクション、サッカー賭け違法テナファイアウォール、シークレット管理、ホストスキャン、ユーザーアクセスサッカー賭け違法トロールなどがあります。例えば改ざん検知は、オリジナルイメージと動作中のサッカー賭け違法テナの間で一貫性が保たれているかをチェックします。ほかにも機械学習を用いて、サッカー賭け違法テナの正常な挙動を学習し、そこから外れた動きを不正な挙動と判断するような対策もあります。

****
本セッションの後半では、実際にサッカー賭け違法テナが乗っ取られたらどうなるのか、デモを交えた解説がありました。デモは、“Apache Struts2のサッカー賭け違法テナに脆弱性を悪用しペイロードをインストールする”という内容です。サッカー賭け違法テナはホストと隔離された状態で動作するため、サッカー賭け違法テナの1プロセスを不正に乗っ取ったとしても、ホストまでは乗っ取ることはできませんが、それでも多大な被害を与えることがわかりました。

サッカー賭け違法テナにおいても、環境のモニタリングとセキュリティは密接です。しかし、ブラックボックス化されたサッカー賭け違法テナ環境のモニタリングや、マルチクラウド環境でのサッカー賭け違法テナ内の各アプリケーションのモニタリングなど、従来の監視ツールでは非常に困難です。

コンテナ環境のセキュリティ・モニタリングのパイオニア企業として、米国のSysdig社があります。Sysdig社は、ネットワークアナライザー「Wireshark」の共同創作者であるロリス・ディオニアニ氏が創業した企業です。Sysdig社のアプローチについて、サッカーベッティング ITエンジニアリング事業本部 ミドルウェア第二部 第一課 石川 愛彦が講演しました。

Sysdig社では“サッカー賭け違法テナのモニタリングとセキュリティは表裏一体”という理念に基づき、モニタリングとセキュリティの両方を実現しています。
Sysdig社が提供する「Sysdig Platform」には、サッカー賭け違法テナおよびKubernetesをモニタリングする「Sysdigモニター」と、サッカー賭け違法テナイメージの脆弱性スキャンや、不正アクセスやサイバー攻撃をルールベースで検知し脅威から守る「Sysdigセキュア」があります。

機能は主にランタイムセキュリティ、サッカー賭け違法プライアンス・チェック、脆弱性スキャナーがあり、特徴として、攻撃者の攻撃や戦術を分析したセキュリティのフレームワーク「MITRE ATT&CK※」をベースにしている点が挙げられます。通常のネットワーク監視では操作されたファイル名まで確認できませんが、「Sysdig」ではファイルのI/Oまで追跡できるので、より詳しい調査が可能です。

※「MITRE ATT&CK」とは、米国のMITRE社が開発したサイバーセキュリティのフレームワーク、ナレッジベースです。サイバー攻撃者が使う可能性のある攻撃手法や戦術が体系化されています。

「Sysdig Platform」は、複数のオープンソースソフトウェア（OSS）で構成されており、その中心はSysdig社が開発をリードしているOSSです。Linuxのシステムコールを全てキャプチャして可視化する「Sysdig」、サッカー賭け違法テナのランタイムセキュリティを実現する「Falco」があり、加えてKubernetesをモニタリングするPrometheusと脆弱性スキャナーのAnchoreと連携しています。

なお、2019年11月からSCSKが「Sysdig Platform」の日本国内総代理店となっています。

サッカー賭け違法テナセキュリティについて一通り紹介した後は、ハロウィンなのでお菓子をつまみながらサッカー賭け違法テナセキュリティに関する質問タイム。参加者からその場で質問を募り、パネルディスカッション形式で講演者が回答しました。寄せられた様々な質問の中から、一部をご紹介します。

（問）
サッカー賭け違法テナセキュリティ製品を導入する際に、ネックとなるのは何でしょうか？

（回答）
サッカー賭け違法テナのようなクラウドネイティブ環境では常に頻繁にアップデートが繰り返されるなど、カルチャーが従来のものと大きく変わります。現場にDevSecOpsのマインドが浸透しているかどうかが現実的なハードルになるかもしれません。
加えてコスト面です。保護対象となるサッカー賭け違法テナ環境が小規模だと、コスト面で割に合わないと感じられるでしょう。技術に強い企業はスムーズに導入できますが、一方で、ユーザー企業だとまだ難しいかもしれません。
また、見つかった脆弱性に対してどこまで対応するかなど企業側の体制やルール作りも検討していく必要があるでしょう。

（問）
サッカー賭け違法テナセキュリティ製品は、（Deep Security等の）ホスト型のサーバーセキュリティ製品と併用した方が良いのでしょうか？

（回答）
もしサッカー賭け違法テナでアプリケーションを動かし、またサッカー賭け違法テナがあるホストで別のアプリケーションを動かすような構成を考えているなら、おすすめしません。環境を分けたほうがいいでしょう。実際にそのような構成はあまりないと思います。
サッカー賭け違法テナセキュリティツールとホスト型のセキュリティ製品を併用したほうがいいかは、要件や環境次第です。併用せざるをえないケースもあるかもしれませんので、ご相談ください。

この他にも会場から多様な質問が寄せられ、パネルディスカッションは盛況に終わりました。

「Sysdig Platform」に関する資料は、以下からダウンロード可能です。