By Ling Cheng (Senior Product Marketing Manager)
仮想化コンテナは、システムの展開と統合に革命をもたらし、ソフトウェア デファインド ビークル(SDV)の開発を大幅に加速しました。 アプリケーションに対して一貫性のある分離された環境を提供し、迅速な開発、テスト、および拡張を可能にします。 自動車メーカー(OEM)およびサプライヤーは、コンテナを使用することで、SDVの多様なハードウェア プラットフォームにわたってアップデートを合理化し、セキュリティを強化し、信頼性の高いソフトウェア パフォーマンスを確保することができます。
このようにコンテナには多くの利点がありますが、その利用の拡大に伴い、セキュリティに関する新たな考慮事項も出てきています。自動車業界でコンテナ技術の採用が拡大するにつれ、SDVの環境で生じる、より広範な影響を認識することが重要です。コンテナは効率性と柔軟性を高めますが、このアーキテクチャ特有の潜在的なセキュリティ上の懸念にも注意を払う必要があります。
コンテナの攻撃ベクトル
既存のアーキテクチャで遭遇する攻撃ベクトルに加えて、コンテナ技術は、セキュアではないネットワーク、ホスト アプリケーションの脆弱性、ホストの脆弱性など、新たな攻撃ベクトルももたらします。これには以下が含まれます。
- コンテナイメージの侵害:コンテナイメージ(実質的にはパッケージ化されたアプリケーション環境)が改ざんされたり、悪意のあるコードが含まれていた場合、コンテナが展開された際にセキュリティ上の脆弱性を招く可能性があります
- コンテナの脆弱性コンテナの実行時または設定に存在するセキュリティ上の弱点や欠陥が攻撃者に悪用されると、不正アクセス、特権の昇格、システムの侵害につながる可能性があります
- コンテナエスケープ: コンテナ内で実行されているアプリケーションやプロセスがコンテナのセキュリティ分離を回避して、本来アクセスできないはずのホストシステムに不正アクセスを行う行為を指します。攻撃者はコンテナエスケープを利用して、ホストのリソースやデータを悪用する可能性があります
- ホストの設定不良: ホストシステムが不適切または安全でない設定になっていると、脆弱性が露呈し、攻撃者に悪用されて、その上で実行されているコンテナやホスト自体が侵害される可能性があります
図1. コンテナの攻撃ベクトル
万一コンテナが侵害された場合、攻撃者はより高い権限を獲得し、それを悪用して個人識別情報(PII)を盗んだり、車両機能を操作することさえ可能になります。このため、多くの開発者はコンテナ自体のセキュリティ問題を適切に考慮する重要性を認識しています。一部の設計では、仮想マシン(VM)の使用など、追加の保護レイヤーを実装することで、異なるドメイン間の分離をさらに強化しています。しかし、ホストの脆弱性やデバッグ機能の未削除により、異なるアプリケーションやジョブを分離するためにコンテナやVMを使用していても、このような保護策は効果を発揮できない場合があります。例えば、ドイツの自動車メーカーのEV車に発見されたホストの脆弱性については、車両内インフォテインメント(IVI)システムや速度表示を操作する攻撃が可能になったことが実証されています。
コンテナ化されたアーキテクチャでは、すべてのアプリケーションが同じハードウェア リソースを共有します。アプリケーションが十分に最適化されていない場合や攻撃の対象となった場合、リソースを過剰に消費する結果になりかねません。その結果、重要な自動車機能のパフォーマンスが低下したり、サービス拒否(DoS)状態に陥る可能性があります。例えば、先進運転支援システム(ADAS) における重要な意思決定プロセスが遅延したり、自律走行機能の応答性が損なわれる可能性もあります。
SDVにおけるリスクへの備え:コンテナの安全確保
コンテナの攻撃ベクトルに対処する一般的な方法は以下の通りです。
- 特権が過剰に与えられた構成ファイルのロックダウン:コンテナ構成ファイルは、コンテナの構築と実行のパラメータを設定します。適切に定義されていない場合、特権が過剰に与えられたコンテナや安全でないネットワークなど、セキュリティ上のリスクにつながる可能性があります。攻撃者は、特権の昇格やデータ盗難などの悪意のある行為のために、適切に定義されていない構成ファイルを悪用する可能性があります。「構成ロックダウン」機能を備えたソリューションを使用することで、不正アクセスを防止し、安全な構成を確保することができます。
- 不正または悪意のあるプログラムを防止するためのアプリケーションのロックダウン:コンテナ化された環境におけるセキュリティリスクを低減するためには、特権の制限、イメージの整合性の確保、ネットワークの分離、リソースの制御、およびアクティビティの監視などのアプローチが推奨されます。「コンテナアプリケーションのロックダウン」機能を備えたソリューションを使用することで、不正または悪意のあるプログラムの実行をさらに防止することができます。
- コンテナエスケープの動的検知:コンテナエスケープの試みを阻止するには、異常な動作の継続的な監視が不可欠です。攻撃者は、コンテナエスケープを試みる際に、しばしば異常なパターンを示します。推奨されるソリューションは、これらのエスケープ動作に適応し、そこから学習し、攻撃シグネチャを抽出し、さらにエキスパートルールを適用して、同様の脅威を効果的に検知および防止するものです。
図2. コンテナエスケープの挙動に対する抽出と検出
攻撃手法は常に進化しています。自動車は10年以上使用されることを考えると、新たに発生するリスクに対応するための包括的な対策を講じることが不可欠です。したがって、採用するセキュリティソリューションやそれを提供するセキュリティベンダーを選択する際には、関連する以下のような要因を考慮すべきです。
- 実用的な脅威情報:検討中のセキュリティベンダーは、ディープウェブやダークウェブの脅威情報を継続的に監視し、その情報を潜在的に影響を受ける可能性のあるベンダーやコンポーネントと関連付け、実用的な洞察を提供しているでしょうか。
- ビヘイビア分析能力:検討中のセキュリティベンダーは、コンテナアプリケーションの動作を分析し、異常を検出する経験豊富な社内脅威リサーチャーの能力を備えているでしょうか。
- AI技術:検討中のセキュリティには、自己学習や新しい攻撃パターンへの適応を目的としたAI機能が備わっているでしょうか。
- ソフトウェアの品質と信頼性:検討中のソリューションは関連するプロセスフレームワーク(例:ASPICEなど)を満たし、徹底的なテストを受けていますか。
VicOneのフリクションレス侵入検知・防御システム(IDS/IPS)であるxCarbonは、コンテナのセキュリティを提供するだけでなく、仮想マシン(VM)環境内の挙動も検知し、SDVにおけるリスクへの対応を確実にします。
この記事は、侵害されたコンテナや仮想マシン(VM)がもたらす潜在的な影響を説明する目的で、2024年11月15日15:00 UTCに更新されました。