NRIセキュアテクノロジーズは2021年3月25日、コンテナ技術を安全に利用できるようにセキュリティ水準に関する評価項目をまとめたフレームワーク「NRI Secure Framework for Container(NSF for Container)」を策定したと発表した。併せて、NSF for Containerを基にコンテナのセキュリティレベルを評価し、必要な対策の立案・実行までを支援する「コンテナセキュリティ評価サービス」の提供を開始した。
「NRI Secure Framework for Container(NSF for Container)」は、コンテナのセキュリティにまつわる知見・ノウハウを集約して体系化し、コンテナに対する総合的な評価項目としてまとめたフレームワークである。NRIセキュアテクノロジーズが、国内外の諸機関が定めるセキュリティ対策基準や、最新のサイバー脅威の動向を織り込んで策定した。
今回、同社は「コンテナセキュリティ評価サービス」の提供を開始する。すでに利用中のコンテナや、新規導入を検討しているコンテナを対象に、NSF for Containerに沿って、セキュリティレベルの評価と対策の実行支援を行う。
同サービスで、セキュリティ対策の立案や対応ロードマップの策定を支援する。コンテナの利用時に実施すべきセキュリティ対策を網羅的に評価・分析することで、対象システムにおけるセキュリティレベルや運用の状況を可視化する。
例えば、安全なCI/CD(継続的インテグレーション/継続的デリバリー)パイプラインの構築やコンテナイメージの管理、Kubernetesをはじめとした、コンテナの管理を自動化するオーケストレーションツールの設定など、コンテナとその利用に関するセキュリティ対策状況の把握を可能にする。
評価の結果、対策が不足している箇所や改善が必要な箇所に対して、セキュリティ対策の立案や対応ロードマップの策定を支援する。
コンテナセキュリティ対策の実行にあたっては、立案した対策やロードマップに基づき、ユーザーの要望や課題に応じてコンサルティングの提供や最適なセキュリティ製品の選定・提案などを行う。
また、情報システムや組織、インシデント対応態勢などの評価を目的とした、同社のNRI Secure Framework(NSF)と組み合わせることで、ユーザーのセキュリティ対策状況全体を可視化し、対策の実行支援を行うとしている。
サービス投入の背景として同社は、変化の激しいビジネス環境や顧客のニーズに企業が柔軟に対応するため、迅速なシステム開発と安定的な運用を両立する手法としてDevOpsの導入や、そのアプリケーション基盤としてコンテナを採用する動きが広がっている状況を挙げる。
「一方で、セキュリティ対策が適切に整備されていないケースも多く、コンテナを導入したシステム環境のセキュリティホールに端を発した情報漏洩などのインシデントも数多く発生している。コンテナを適切に導入・運用するためには、自社の利用環境とコンテナの特性を踏まえたうえで、コンテナそのものと、その利用環境全体についてセキュリティチェックや対策を行う必要がある」(NRIセキュア)