カミナシ エンジニアブログ

株式会社カミナシのエンジニアが色々書くブログです

【AWS re:Invent 2024】コンテナセキュリティの近未来?を見た

はじめに

カミナシでID管理・認証基盤を開発しているmanatyです。ラスベガスで開催されているAWS re:Invent 2024に初めて参加しています。今回はワークショップセッションとして開催された「Secure containers from supply chain attacks」に参加したレポートをお届けします。

SBOMによるサプライチェーン攻撃対策

ソフトウェアにおけるサプライチェーン攻撃とは、ソフトウェアのビルドやデプロイを含むライフサイクルの過程を侵害して不正なソフトウェアを注入し、利用者に正規のソフトウェアとして悪意ある機能やデータが含まれたソフトウェアを提供する攻撃のことです。

supply chain attack - Glossary | CSRC

サプライチェーン攻撃は、2022年の米国大統領令14028で組織に対するサプライチェーン攻撃対策の要件を定めたことで注目が高まったほか、実例としてLinuxなどに広く使われる著名なOSSに攻撃が仕掛けられて不正なプログラムが提供されていたことから、近年具体的な対策について研究と開発が活発に進められているようです。

SBOM(Software Bill of Materials)はソフトウェアを構成するライブラリなどのメタデータであり、サプライチェーン攻撃の文脈では正規のデプロイパイプラインを通して正規の開発者が提供していることを示す属性値を含み、検証するためのデータとして利用されるようです。

SBOMの概念図

ワークショップ体験

本ワークショップではAWSサービスのCode Pipeline、CodeBuildを利用したソフトウェアのビルド、SBOMの生成、ビルド生成物へのデジタル署名、デプロイ時の署名検証を行うCI/CDパイプラインを構築しました。

ワークショップで考えるCI/CDパイプライン

ワークショップの開始時にソフトウェアのビルドとデプロイだけを行うCode Pipelineが与えられ、そこにSBOMを生成するビルドタスクやAmazon InspectorによるSBOMに含まれるライブラリの脆弱性診断、AWS Signerを利用したビルド生成物に対するデジタル署名や、コンテナイメージの署名や検証を行うOSSであるNotationを利用したデプロイ時のコンテナイメージ検証をCI/CDパイプラインに追加していくという内容でした。SBOMやサプライチェーンセキュリティという言葉は何となく聞いたことはあっても具体的にどんなものなのか、何をするといいのかイメージが全くなかった自分にとって非常に良い入門コンテンツでした。

What is AWS Signer? - AWS Signer

https://github.com/notaryproject/notation

一方で、このワークショップを通してサプライチェーン攻撃を防ぐことの難しさも感じました。本ワークショプではパイプラインの中でコンテナイメージに対する署名と検証を行なっています。従って、不正なコンテナイメージをECRにプッシュすると、デプロイ時の検証でエラーとなります。攻撃者によるECRへの不正なイメージプッシュは防げますが、ECSに直接不正なコンテナイメージをデプロイしてしまう攻撃にはどのように対処するのでしょうか。ECS自身が署名検証を行なって不正なコンテナイメージのデプロイを防いでくれないと、正規のサプライチェーンを迂回した攻撃がいくらでも可能となるように思いました。

この点についてワークショップ運営をされていたAWSの方に質問したところ、彼らも上述した論点は認識しており、今後ECSやEKSなどでビルトインの署名検証機能を持つ必要があることを理解しているようでした。このように、サプライチェーン攻撃はプラットフォーム利用者だけでは防御しきれないこともあり、様々な関係者が対策方法を積み上げていかなければ成立しないことがワークショップを通じて分かりました。

おわりに

本記事ではAWS re:Invent 2024のセッションレポートとして、コンテナアプリケーションのCI/CDパイプラインにおけるサプライチェーン攻撃対策のワークショップについて書きました。サプライチェーン攻撃対策は年々盛り上がっているように感じるので、このワークショップは具体的なイメージを掴むきっかけとなり充実した時間を過ごすことができました。

明日は弊社CTOの原トリの登壇が、明後日は弊社セキュリティエンジニア 西川の登壇もあります!

カミナシではサプライチェーン攻撃も考えたセキュアなソフトウェア開発により、堅牢なID管理・認証基盤を開発したいソフトウェアエンジニアも募集しています。OAuth/OIDCだけでなくサプライチェーン攻撃にも興味がある方は是非ご応募ください!