米国家安全保障局、「Kubernetes」ユーザー向けのセキュリティ強化ガイダンス公開

今回は「米国家安全保障局、「Kubernetes」ユーザー向けのセキュリティ強化ガイダンス公開」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国家安全保障局（NSA）は米国時間8月3日、コンテナー管理基盤「Kubernetes」を配備している組織を支援する目的で、同機関初となるKubernetes強化ガイダンスを公開した。

　このガイダンスは、リスクの最小化に向け、ユーザーに対して重要となる脅威や設定の啓発を目的としている。米国土安全保障省（DHS）のサイバーセキュリティ・インフラセキュリティ庁（CISA）も執筆に携わっている。

　両機関は共同発表の中で、「Kubernetesが標的にされるよくある理由として、データ窃盗と、演算能力の窃盗、DoS攻撃のための武器という3つが挙げられる」としている。

　また、「データ窃盗は以前から一番の動機となっている。しかしサイバー犯罪者らは、暗号資産（仮想通貨）のマイニングなどに用いる演算能力をネットワークの基盤インフラから得るために、Kubernetesを用いる場合がある」と述べている。

　サイバーセキュリティ企業Intezerの研究者らも最近のレポートで、Kubernetes配備時の誤設定を悪用して、企業のハードウェアに暗号資産（仮想通貨）のマイニングプログラムをインストールするという攻撃ベクターの存在を警告している。

　今回発表された強化ガイダンスの柱に特殊な内容は含まれていないが、クラウドに配備されることもしばしばある複雑な環境下で標準的なセキュリティ対策を適用する上での注意点が詳しく解説されている。大まかに述べるとこのガイダンスには、コンテナーやポッドにおける脆弱性／誤設定のスキャンや、コンテナーやポッドにおける最小権限の原則のほか、ネットワーク分離やファイアウォール、強力な認証、ログ監査の採用といったものが含まれている。

　もちろんながら、リスクを最小化するためのパッチやアップデート、アップグレードの適用といった、標準的なサイバー衛生も重要となる。脆弱性をスキャンし、パッチの適用を確認することも推奨されている。

　このガイダンスはKubernetesクラスターやコントロールプレーン、（クラスター用にコンテナー化されたアプリの実行のための）ワーカーノードとともに、それらノード上でホストされるコンテナー用ポッドについて網羅している。

　両機関は、サプライチェーンのリスクについても特に注意を促している。こういったリスクには、配備前のあらゆるタイミングで攻撃される可能性のあるソフトウェアやハードウェアの依存関係も含まれている。

　両機関は「Kubernetes上で実行されているアプリケーションや、サードパーティー製品との依存関係がからむセキュリティでは、開発者に対する信頼や、開発インフラの防御が要となる。サードパーティーによる悪意あるコンテナーやアプリケーションによって、サイバー犯罪者らに対してクラスターへの足掛かりがもたらされかねない」と記している。

　また、適切なアクセス制御が施されていないコントロールプレーンコンポーネントや、ロックダウンされたコントロールプレーンの外側に置かれたワーカーノードがリモート攻撃の標的になっているとも警告している。

　内部の脅威には、高い権限を有した管理者や、システムやハイパーバイザーに対する物理アクセスも含まれている。

　ポッドは、攻撃者がコンテナーに侵入した後に最初に活動する実行環境であるため、攻撃に対する防御を特に強化しておく必要がある。

　またこのガイダンスでは、多くのコンテナーサービスがデフォルトでは特権を有したルートユーザーとして実行されている点から、ルートでの実行を避ける上で、非ルートコンテナーや、ルートレスコンテナーエンジンの実行が推奨されている。

「新たなランサムウエア攻撃が目立った」、IPAの情報セキュリティ白書2021 | 日経クロステック（xTECH）

　情報処理推進機構（IPA）は2021年7月30日、情報セキュリティ白書2021を発刊した。同白書では新たなランサムウエア攻撃やサプライチェーン攻撃などを取り上げている。

Ipa、夏休みに向けた情報セキュリティ対策の再確認呼びかけ | Tech+

情報処理推進機構(IPA)が8月3日、お盆休みや夏休みなどの長期休暇を迎えるにあたって、情報セキュリティ対策を再度確認するよう呼びかけた。長期休暇は普段と違った状況になることでセキュリティリスクが生じやすいとして、備えるべきセキュリティ対策を紹介している。

「8割解けるCTF」セキュリティの基礎を競技形式で学ぶオンラインイベントが参加者募集中 - INTERNET Watch

セキュリティ学習イベントを運営するWEST-SECは、8月31日にオンラインで開催するCTF（Capture The Flag）形式のセキュリティ学習イベント「WEST-SEC #6 ...

「サイバーセキュリティ予算」を率先して投じるべき4分野とは？：サイバーセキュリティ予算の賢い立て方・使い方【前編 ...

CISOはサイバーセキュリティ予算を確保した後、どのような分野に予算を配分し、使用すればよいのか。率先してサイバーセキュリティ予算を投入すべき4つの分野を紹介する。

サイバーセキュリティクラウド、2021年上半期の攻撃動向を調査した「2021年1月〜6月サイバー攻撃検知レポート」を ...

SecurityInsight（セキュリティインサイト）は情報セキュリティを中心としたエンタープライズITの情報サイトです。

次世代セキュリティ「SASE」対応がアフターコロナを見据えた働き方に不可欠な理由｜ニュースイッチ by 日刊工業新聞社

こちらは、次世代セキュリティ「SASE」対応がアフターコロナを見据えた働き方に不可欠な理由のページです。日刊工業新聞社のニュースをはじめとするコンテンツを､もっと新鮮に､親しみやすくお届けするサイトです。

マクニカネットワークス、セキュリティリスクを5段階で評価する「SecurityScorecard」を販売 | IT ...

マクニカネットワークスは2021年8月4日、サイバー攻撃に対するセキュリティリスクを分析・評価するクラウドサービス「SecurityScorecard」の販売を開始した。パッチ適応頻度や公開Webサービスなど攻撃者が初期段階で集める情報を元に、対象企業のセキュリティリスクを評価する。総合評価と主要10項目について、5段階および100点満点で評価する。開発会社は、米SecurityScorecard。

IPA、「情報セキュリティ白書2021」のPDF版を公開 - SecurityInsight | セキュリティインサイト

SecurityInsight（セキュリティインサイト）は情報セキュリティを中心としたエンタープライズITの情報サイトです。

東急セキュリティ24

東急セキュリティの皆さま、こんにちは。 ガースーです。臨警お疲れさまです 金メダルラッシュでガースーフォンに大忙しです。 余計な仕事ふやしやがって

【8/5(木)14時】テレワーク時の「人財」と「セキュリティ」の取り扱いに焦点を当てた無料ウェビナーを開催 ...

14:25-14:45：テレワーク下におけるセキュリティ 14:45-15:00：質疑応答 本ウェビナーで学べること ・テレワーク導入時に意識すべきこと ・テレワークとセキュリティの関係性 ・テレワーク導入時に必須のセキュリティ対策 お申込はこちら

米国家安全保障局、「Kubernetes」ユーザー向けのセキュリティ強化ガイダンス公開 - ZDNet Japan

米国家安全保障局（NSA）は、コンテナー管理基盤「Kubernetes」を配備している組織を支援する目的で、同機関初となるKubernetes強化ガイダンスを公開した。

V2Xサイバーセキュリティの世界市場は2027年までCAGR 26.8%で成長する見込み - All About NEWS

2021年8月03日にREPORTOCEANが発行した新しいレポートによると、-世界のV2Xサイバーセキュリティ市場は、2020年から2027年の予測期間において、26.8%以上の健全な成長率が見込まれています。 世界のV2Xサイバーセキュリティ市場は ...

次世代セキュリティ「SASE」対応がアフターコロナを見据えた働き方に不可欠な理由(ニュースイッチ) - goo ニュース

コロナ禍によるリモートワークの急速な広がりは、ネットワーク・セキュリティの問題を顕在化させた。その解決策として、ガートナー社が提唱する「SASE」（サシー）が注目さ...

パロアルトネットワークス ／国内企業のクラウド活用の現状と課題に関する実態調査：最大の課題は包括的なセキュリティの ...

～ マルチクラウドへシフトし、多様なコンピューティングリソースが活用される中で、クラウド全体での可視化とセキュリティ確保を実現するセキュリティプラットフォームが不可欠に ～ パロアルトネットワークス についてのリリース。

増加するSQLインジェクションに注意――サイバーセキュリティクラウド調査：EnterpriseZine ...

サイバーセキュリティクラウドは、2021年上半期（2021年1月1日～6月30日）を対象としたサイバー攻撃検知レポートを発表した。なお、本データは同社...

国内企業のクラウド活用の現状と課題に関する実態調査：最大の課題は包括的なセキュリティの確保｜パロアルトネットワークス ...

パロアルトネットワークス株式会社のプレスリリース（2021年8月5日 12時36分）国内企業のクラウド活用の現状と課題に関する実態調査：最大の課題は包括的なセキュリティの確保

NRIセキュア、パロアルトの「Cortex XDR」を活用したセキュリティ管理サービスを提供 - 週刊BCN+

NRIセキュアテクノロジーズ（NRIセキュア）は、エンドポイント（端末）、企業のネットワーク、クラウド環境のデータを統合し、一元的な防御・検知・対処を実現するパロアルトネットワークスのXDRソリューション「Cortex XDR」を活用した「マネージドXDRサービス powered by Cortex XDR from Palo Alto Networks」の提供を8月3日に開始した。

マクニカネットワークス、サプライチェーンのセキュリティリスク管理を支援するSecurityScorecardの取り扱いを開始

マクニカネットワークス、サプライチェーンのセキュリティリスク管理を支援するSecurityScorecardの取り扱いを開始

情報セキュリティ方針 | ニッセン・クレジットサービス株式会社

情報セキュリティ理念 法を遵守し、企業が保有する情報を安全に管理しながら、有効且つ迅速に活用して、事業目標を達成させることが、今日の情報化社会における企業経営に求められています。

KDDI、クラウド型セキュリティサービス「Zscaler Internet Access」のURLフィルタ機能を拡充 ...

KDDI株式会社は5日、クラウド型セキュリティサービス「Zscaler Internet Access（ZIA）」のURLフィルタリング機能において、KDDIグループのラックが提供 ...

フロスト＆サリバン、ウェビナー 「拡大するサイバー攻撃に求められるセキュリティ対策」を 8月18日(水) に開催 ...

フロスト＆サリバン、ウェビナー 「拡大するサイバー攻撃に求められるセキュリティ対策」を 8月18日 (水) に開催. フロスト・アンド・サリバン・ジャパン 株式会社. 2021-08-05 12:00. 米国に本社を置くビジネスコンサルティング企業、フロスト・アンド ...

V2xサイバーセキュリティの世界市場は2027年までcagr 26.8%で成長する見込み (2021年8月5日 ...

2021年8月03日にREPORTOCEANが発行した新しいレポートによると、-世界のV2Xサイバーセキュリティ市場は、2020年から2027年の予測期間において、26.8%以上の健全な成長率が見込ま...

イエラエセキュリティ、サイバーセキュリティ人材育成プログラム「イエラエアカデミー」 を提供開始：イザ!

株式会社イエラエセキュリティ攻撃者の視点を理解し企業の重要な情報資産を守るために株式会社イエラエセキュリティ（所在地：東京都千代田区、代表取締役社長：牧田誠、以…

Androidの2021年8月のセキュリティパッチ情報が公開 - ケータイ Watch

米グーグル（Google）は、2021年8月付のセキュリティパッチで修正されたセキュリティに関する情報を公開した。脆弱性は、8月5日以降の ...

ゼロトラストのセキュリティ対策にログ管理--本当に必要なアラートをチェック - TechRepublic Japan

エネルギー関連事業などを手掛けるアイエスジーは、ゼロトラストをベースにしたセキュリティ対策を導入する中でログ管理ツール「ALog ConVerter」を活用。本当に必要なアラートなどを自分たちで設定しているという。

小学校へのセキュリティ教材の無償提供で、次世代人財を育成支援：時事ドットコム

［株式会社日立ソリューションズ］セキュリティ教材が、消費者教育教材資料表彰2021の「優秀賞」を受賞　株式会社日立ソリューションズ（本社：東京都品川区、取締役社長：山本　二雄／以下、日立ソリューションズ）は、小学校の社会科向けセキュリティ教材「わたしたちのくらしと情報」を制作し、2021年6月9日から7月28日にかけて、希望する1,000校に無償提供しました。　本教材は、2020年8月20日に文部科学省から学校用教育教材として選定されており、昨年も、希望する小学校1,000校に提供しています。　…

イエラエセキュリティ 川田氏著書「ペネトレーションテストの教科書」発売 | ScanNetSecurity

株式会社イエラエセキュリティは8月2日、同社のエンジニア川田柾浩氏が執筆した「ペネトレーションテストの教科書（ハッカーの技術書）」の発売を発表した。

情報セキュリティ基本方針 | パンチングメタル｜松陽産業株式会社

当社は、本情報セキュリティ基本方針および関連する諸規則、管理体制の評価と見直しを定期的に行い、情報セキュリティの継続的な改善を図ります。. 制定日: 2019年12月26日. 松陽産業株式会社. 代表取締役 竹内 和彦.

イエラエセキュリティ、サイバーセキュリティ人材育成プログラム「イエラエアカデミー」 を提供開始 (2021年8月4日 ...

攻撃者の視点を理解し企業の重要な情報資産を守るために株式会社イエラエセキュリティ（所在地：東京都千代田区、代表取締役社長：牧田誠、以下：イエラエセキュリティ）は、サイバーセキュリティ人材の育成プログラ...(5/5)