クラウドネイティブに対する脅威を自動的に防ぐ

セッションの前半で5Gセキュリティの概要を説明したパロアルトネットワークス技術本部の田中健二氏は、すでに社会や産業を変えていくための重要な技術として5Gが活用され始めているとし、「現在全世界で約47％の組織が5Gの導入を計画しており、30％はすでに投資を開始している。大企業の96％が今後9年間に5Gへの投資を計画している」とするデータを紹介した上で、「ユーザーが独自に導入してきた情報セキュリティ対策を、5Gに向けて改めて見直す時期にきている」と強調した。5Gのセキュリティ環境は、既存のネットワークとは大きく異なるからだ。

パロアルトネットワークス 技術本部 システムエンジニア 田中健二氏

5Gではプラットフォーム上にMECやWi-Fi、閉域網、固定網、顧客システムなど、多様なエンティティ（要素）が連携・集約される。さらに接続される端末や設備の数も指数関数的に増加、Attack Surface（攻撃対象領域）が拡大するという。

さらに、汎用的なクラウド技術が広く採用され、APIで内部と外部との通信を行う5Gでは、システムが多くの脆弱性にさらされる可能性がある。5Gプラットフォーム上では、システムを制御するコンテナやユーザーが導入する各種コンテナが大量に動作する。こうした複雑性が、意図しない脆弱性や不適切なアクセス権限が放置されることにつながる懸念がある。

田中氏は、「5Gプラットフォームには、こうした変化に対応するため、導入当初から統合されたセキュリティプラットフォーム上での統一的なIDやガバナンスに基づいた管理が求められる」と述べた。

5Gセキュリティの3つの領域と、対応するパロアルトネットワークス製品

では、具体的にはどのような対策が必要になるのか。田中氏は、3つの領域で同社のセキュリティ製品を活用することで、これらの5Gセキュリティの課題に対応できるという。

1つが、不要な通信の検知、悪用されたデバイスの特定に利用できる「次世代モバイルファイアウォール」。

2つめは、関連ログの自動集約やインシデント対応の自動化を実現する「Cortex XSOAR」。

そして、田中氏が「本日のメイン」として詳述したのが、3つめの「Prisma Cloud」である。コンテナ間やパブリッククラウド上の不要な通信や脆弱性の検知などが可能だ。

田中氏は、5Gプラットフォームで用いられるクラウドネイティブ環境の特徴として、「複数のコンテナがお互いに通信をすることで1つのアプリケーションとして成立する」点を挙げた。その利点は、「軽量なリソースで実装・動作でき、開発性やポータビリティに優れる」ことにある。

他方、デメリットもある。「同一ホスト上に多数のコンテナが起動しており、ポリシーにより十分ロックされていない通信経路を介して不正にアクセス権限を奪取されると、横方向の通信経路を介して他のコンテナにも容易に侵入されてしまう」ことである。

田中氏はこう指摘した上で、「コンテナの多くは、状態を永続的に保持しない構成が通常であるため、セキュリティ的な問題を検知しづらい点も理解しなければならない」と警鐘を鳴らした。

こうした課題へ対処できるのがPrisma Cloudだ。「クラスタータイプのコンテナ間で行われる不審な通信や、コンテナそのものに対するランタイム保護やイメージスキャニング、ホストOS上に対する保護を含めて、常に最新のコンテナセキュリティを提供する」という。

最後に田中氏は、「法人向け5Gサービスの拡大に伴い、高いセキュリティレベルで、かつすぐに導入できる包括的なセキュリティソリューションが求められるようになっている」と解説。こうしたニーズに応える有力な手立てとなるのが、「クラウドネイティブそのものに対する脅威を自動的に防ぐこと」で、田中氏は「これをコンテナ（クラウド）セキュリティの軸としている」と語った。

5Gにおけるコンテナセキュリティの必要性