月別アーカイブ: 2024年6月

コンテナ/マイクロサービス/サーバーレスセキュリティとDevSecOps(組織編) (前編)

クラウドセキュリティアライアンス(CSA)ジャパンの関西支部とDevSecOps/サーバーレスWGは、2019年から2020年までの間、以下のようなワークショップを開催してきた。

  • 2019年7月16日:「アプリケーションコンテナ/マイクロサービスのセキュリティ概説」
  • 2019年9月17日:「エッジ/フォグコンピューティング環境におけるコンテナ/マイクロサービスのメリットとリスク」
  • 2019年11月12日:「北欧のリビングラボから俯瞰するスマートシティICTの現状と課題」
  • 2020年1月10日:「世界のコンテナ/マイクロサービス技術動向から俯瞰する関西の2025年」

現在、2025年大阪・関西万博開催に向けた準備が急ピッチで進む中、CSA関西支部およびDevSecOps/サーバーレスWGは、これらクラウドネイティブ技術の有効活用および安定的なDevSecOps体制の構築・運用支援に焦点を当てた情報発信および公開ワークショップを行う計画である。今回は、コロナ禍以降のアプリケーションコンテナ/マイクロサービス/サーバーレスに係るセキュリティ動向を概観する。

コロナ禍の保健医療分野で拡大したクラウドネイティブアーキテクチャ

コロナ禍の間に、コンテナ/マイクロサービス/サーバーレスに代表されるクラウドネイティブアーキテクチャが積極的に導入された事例として、欧州連合(EU)の新型コロナウイルス感染症(COVID-19)接触追跡アプリケーション越境連携ゲートウェイサービスがある。EU傘下のeヘルスネットワークが2020年6月16日に公表した技術仕様文書では、コンテナプラットフォーム(例:KubernetesベースのOpenShift)、REST API(例:Node.jsとExpress)、分散NoSQLデータベース(例:MongoDB)、ロードバランサー(例:Docker上のHAProxy)、Webサーバ(例:Docker上のNginx)から構成されるデプロイを例示している(https://health.ec.europa.eu/publications/ehealth-network-guidelines-eu-member-states-and-european-commission-interoperability-specifications_en)。

また、EUが、2021年6月1日に正式運用を開始した域内共通の「EUデジタルCOVID証明書」の技術仕様書においても、DockerやKubernetesなど、コンテナプラットフォームによるデプロイが例示されている(https://health.ec.europa.eu/document/download/c0a07892-a01c-4bc8-8e9f-1e91d9597d17_en)。さらに欧州委員会は、2023年6月5日、世界保健機関(WHO)と共同で、グローバルモビリティを推進し、パンデミックなど現在および将来の健康脅威に対する世界中の市民の保護を支援するために、「WHOグローバルデジタルヘルス認証ネットワーク(GDHCN)」を発足させることを発表した(https://www.who.int/news/item/05-06-2023-the-european-commission-and-who-launch-landmark-digital-health-initiative-to-strengthen-global-health-security)。直後の同年7月1日には、WHOが、GDHCN向けに、EUのCOVIDデジタル証明書システムを取り入れることを表明している(https://commission.europa.eu/strategy-and-policy/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_en#timeline)。

GDHCNは、医療機関の間や国境を越えて証明可能な保健医療文書のポータビリティを実現するグローバルなデジタル公共インフラストラクチャであり、2024年5月時点で、75カ国以上がネットワークに参画している、COVID-19パンデミック期間中のワクチン接種証明書の検証目的で生まれたGDHCNは、WHOを事務局として、以下のような領域にユースケースを拡大する方針である。

  • 小児の予防接種記録
  • 国際的な患者サマリ
  • ワクチン接種または定期補充療法の国際的証明
  • 保健医療従事者の資格情報(免許、登録および教育)
  • 電子処方せん
  • 越境遠隔診療
  • 健康保険証

GDHCNは、以下のようなコンポーネントを提供している。

  • 保健医療文書向けのデータ標準規格(例.LH7-FHIR)
  • デジタル保健医療文書の由来を証明するために利用するコードの共有向けの公開鍵インフラストラクチャ
  • 異なるシステム間での互換を可能にするような情報を有するナレッジライブラリ

なおWHOは、EUと同様に、オープンソースソフトウェアベースの概念を採用し、GitHubなどのオープンコミュニティを通じた活動を積極的に支援している(https://github.com/WorldHealthOrganization)。

ゲノムデータ研究でも浸透するクラウドネイティブアーキテクチャ

オープンソースソフトウェアベースのクラウドネイティブアーキテクチャを活用する動きは、ゲノムデータを取扱うバイオバンクの間でも広がりつつある。

たとえば欧州では、2022年までにEU域内で少なくとも100万人のシーケンスゲノムにアクセス可能にするという、EU加盟国による2018年宣言の実現をめざす組織として、2018年4月10日に「1+MGイニシアチブ」が創設された(https://digital-strategy.ec.europa.eu/en/news/eu-countries-will-cooperate-linking-genomic-databases-across-borders)。1+MGイニシアチブでは、EUの2014年~2020年研究開発促進プログラムである「ホライズン2020」の一環として、「B1MG(Beyond 1 Million Genomes)」プロジェクトが実施された(https://b1mg-project.eu/)。その後2022年より、EUのデジタルヨーロッパプログラムの支援金を受けた「欧州ゲノムデータインフラストラクチャ(GDI)」が進行中である(https://gdi.onemilliongenomes.eu/)。

GDIは、2023年6月26日、B1MGプロジェクトからの希少疾患およびがんの概念実証(PoC)をベースに、「GDIスターターキット」をリリースした(https://gdi.onemilliongenomes.eu/news/gdi-starter-kit)。このツールは、全ての国に、国境を越えて合成ゲノムデータおよび表現型データにアクセスするための技術的ケーパビリティを付与することを目的としており、GDIが共同開発したソフトウェアアプリケーションおよびコンポーネント群をソリューションパッケージとして提供している。ここでも、Dockerに代表されるクラウドネイティブなオープンソースプラットフォームが採用されている。GDIもープンソースソフトウェアベースの概念を採用し、GitHubなどのオープンコミュニティを通じた活動を積極的に支援している(https://github.com/GenomicDataInfrastructure)。

従来のバイオバンクは、クローズドなオンプレミス環境を前提とする境界型防御に依存したセキュリティ管理策をとってきた。これに対して、クラウドネイティブアーキテクチャやオープンソースソフトウェアをベースとする標準化されたプラットフォームが続々と登場しており、責任共有モデルを前提としたマルチステークホルダー型のセキュリティ管理体制へのシフトが求められつつある。

ハードウェア駆動型生成AI向けマイクロサービスの台頭

最近、コンテナを組合せたマイクロサービスの開発・提供に積極的に取り組んでいるのが、半導体業界である。たとえばNVIDIAは、2024年3月18日、独自のAIモデルと業界標準のアプリケーションプログラミングインタフェース(API)を装備したワークフローなど、クラウドネイティブアプリケーションの構築・デプロイ向けのビルディングブロックとして機能する、医療向け生成AI関連マイクロサービス群を発表している(https://nvidianews.nvidia.com/news/healthcare-generative-ai-microservices)。

元々、NVIDIAは、グラフィックス処理装置(GPU)の利点を生かしたコンテナ技術(Docker、Podman、Kubernetesなど)の開発・実装に積極的であり、開発者向けにコンテナツールキットを提供してきた(https://github.com/NVIDIA/nvidia-container-toolkit/)。NDIVIAは、今回発表したマイクロサービス群を、先進的画像処理や自然言語処理、デジタルバイオロジーの生成・予測・シミュレーションなどに提供するとしている。加えて、ドラッグディスカバリー、医用画像処理、ゲノム分析向けの医療ワークフローを加速させるために、ソフトウェア開発キット・ツールを、ソフトウェアライブラリのマイクロサービスとしてアクセスできるようにするとしている。

世界の主要半導体メーカーは、5Gネットワークやエッジコンピューティングなどの領域向けに、ハードウェア対応型セキュリティ機能の開発・実装を進めている。そのような流れに合わせて、国立標準技術研究所(NIST)も、ハードウェア対応型セキュリティにフォーカスしたNISTIR 8320シリーズのドキュメント作成・公開を行っている。参考までに現在、NISTIR 8320シリーズとして、以下のような文書が公表されている。

  • 「NIST IR 8320 ハードウェア対応型セキュリティ: クラウド・エッジコンピューティングのユースケース向けプラットフォームセキュリティの階層型アプローチ実現」(2022年5月4日) (https://csrc.nist.gov/pubs/ir/8320/final)
  • 「NIST IR 8320A ハードウェア対応型セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」(2021年6月17日)
    (https://csrc.nist.gov/pubs/ir/8320/a/final)
  • 「NIST IR 8320B ハードウェア対応型セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」(2022年4月20日)
    (https://csrc.nist.gov/pubs/ir/8320/b/final)
  • 「NIST IR 8320C ハードウェア対応型セキュリティ:マシンアイデンティティ管理と保護(初期公開草案)」(2022年4月20日)
    (https://csrc.nist.gov/pubs/ir/8320/c/ipd)
  • 「NIST IR 8320D ハードウェア対応型セキュリティ:ハードウェアベースの秘密計算(初期公開草案)」(2023年2月23日)
    https://csrc.nist.gov/pubs/ir/8320/d/ipd

コンテナを利用したアプリケーションの設計・開発・運用を行うエンジニアおよびアプリケーションのユーザーは、ハードウェア側で対処可能なセキュリティ管理策について、確認しておく必要がある。

コンテナ/マイクロサービスセキュリティにおけるNISTとCSAの連携

米国では、NISTがコンテナやマイクロサービスのセキュリティに係る標準規格を策定し、CSAの旧アプリケーションコンテナ/マイクロサービスWG(現DevSecOps WG)がベストプラクティス集を提供するという形で連携してきた。参考までに、NISTは、以下のような文書を公表している。

コンテナ/マイクロサービスセキュリティに関連してCSAは、以下のような文書を公表している。

なお現時点で、NISTは、サーバーレスコンピューティングのセキュリティに関連した文書を策定・公表していない。CSAでは、サーバーレスWGが、下記のような文書を公表している。

サーバーレス技術を利用したクラウドサービスには、「AWS Lambda」、「Google Cloud Serverless」、「Azure Functions」などがあり、日本国内でも広く利用されているが、現時点で、公的機関によるサーバーレスセキュリティ関連文書は特に公表されていない。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司