Plexicus Logo

Command Palette

Search for a command to run...

コンテナ Kubernetesセキュリティ

あなたのコンテナには脆弱性がいっぱいです

  • コンテナイメージの87%が高深刻度の脆弱性を含んでいます
  • Kubernetesのデフォルト設定は特権昇格を許可します
  • コンテナレジストリは秘密を露出します

Plexicus Container Securityは、ビルドから実行までコンテナの脆弱性を発見し修正します。

コンテナセキュリティライフサイクル

コンテナセキュリティライフサイクル

コンテナライフサイクルの各段階での脆弱性スキャンによるビルドから実行までの完全な保護。

Learn More

イメージ脆弱性スキャン

イメージ脆弱性スキャン

ベースイメージ、依存関係、OSパッケージ、ライブラリの深層分析とSBOM生成。

Learn More

Kubernetes構成セキュリティ

Kubernetes構成セキュリティ

100以上のセキュリティコントロールを備えたCIS Kubernetesベンチマーク、ポッドセキュリティ標準、自動修復。

Learn More

ランタイム保護

ランタイム保護

プロセストラッキング、ネットワーク分析、エスケープ検出によるコンテナ動作監視。

Learn More

サプライチェーンセキュリティ

サプライチェーンセキュリティ

Docker Hub、Harbor、AWS ECRとのレジストリ統合によるCI/CDパイプラインセキュリティスキャン。

Learn More

パフォーマンス影響分析

パフォーマンス影響分析

<1%のCPU使用率、ノードごとに20MBのメモリ、<50msのネットワークレイテンシーでの最小オーバーヘッド。

Learn More

SBOM生成

SBOM生成

完全な依存関係追跡、ライセンスコンプライアンス、サプライチェーンの可視性を備えたソフトウェア部品表。

Learn More

自動修復エンジン

自動修復エンジン

Kubernetesの誤設定とポリシー違反に対する自動セキュリティ構成修正。

Learn More

コンテナエスケープ検出

コンテナエスケープ検出

システムコールモニタリング、マウントモニタリング、リアルタイムセキュリティアラートによる高度なブレークアウト検出。

Learn More

レジストリ統合

レジストリ統合

Docker Hub、Harbor、AWS ECR、Azure ACR、GCRのサポートとWebhook構成、自動スキャン。

Learn More

ポリシーエンジン

ポリシーエンジン

CVE閾値、ライセンスチェック、秘密検出、K8sベストプラクティス、ネットワークポリシーの施行。

Learn More

API統合

API統合

脆弱性の発見、Webhook統合、リアルタイムセキュリティ通知のためのREST API。

Learn More

ビルドステージ

攻撃ベクトル

ベースイメージの脆弱性
  • EOL Ubuntu 18.04における367 CVE
  • 未パッチのシステムライブラリ
  • ベースレイヤーにおけるマルウェア
Dockerfileの問題
  • イメージにハードコードされた秘密情報
  • rootユーザーとしての実行
  • パッケージのピンニングなし

Plexicus防御

Dockerfile分析
  • ベースイメージの脆弱性スキャン
  • 秘密情報の検出と削除
  • セキュリティのベストプラクティスの強制
SBOM生成
  • 完全な依存関係のマッピング
  • ライセンスコンプライアンスチェック
  • サプライチェーンの検証

レジストリステージ

レジストリの脆弱性

イメージの脆弱性
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • 露出したAPIキーと秘密情報
レジストリの露出
  • 公開レジストリの誤設定
  • 署名されていないイメージ
  • マルウェアの注入

レジストリセキュリティ

脆弱性スキャン
  • リアルタイムCVE検出
  • マルウェア分析
  • 秘密情報の発見と削除
イメージ署名
  • Cosign統合
  • SBOM検証
  • サプライチェーンの確認

デプロイステージ

デプロイメントリスク

Kubernetesの誤設定
  • 特権コンテナ
  • ホストネットワークアクセス
  • リソース制限なし
RBACの問題
  • 過剰な権限を持つサービスアカウント
  • 弱いネットワークポリシー
  • 不足しているアドミッションコントロール

ポリシーの強制

アドミッションコントローラー
  • Podセキュリティ基準
  • リソースクォータの強制
  • イメージ検証
ネットワークポリシー
  • ゼロトラストネットワーキング
  • インバウンド/アウトバウンドの制御
  • DNSセキュリティ

ランタイムステージ

ランタイム攻撃

特権の昇格
  • コンテナの突破試み
  • カーネルのエクスプロイト
  • SUIDバイナリの悪用
悪意のある活動
  • 暗号通貨の採掘
  • データの流出
  • 横方向の移動

ランタイム保護

挙動分析
  • プロセスの監視
  • ネットワークトラフィックの分析
  • ファイル整合性の監視
自動応答
  • プロセスの終了
  • コンテナの隔離
  • アラートの生成

コンテナ脆弱性現実チェック

Plexicusが実際のコンテナ脆弱性を検出し、修正する方法をご覧ください

典型的なコンテナイメージ分析

インタラクティブなターミナル比較
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# セキュアなDockerfile
2FROM ubuntu:22.04  # ✅ サポートされているベースイメージ
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \  # ✅ パッケージ固定
5    rm -rf /var/lib/apt/lists/*  # ✅ イメージサイズの削減
6COPY --chown=app:app . /app/  # ✅ 適切な権限
7RUN useradd -r app
8USER app  # ✅ 非rootユーザー
9EXPOSE 8080  # ✅ 非特権ポート
10# ✅ 環境による秘密管理
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# 脆弱なDockerfile
2FROM ubuntu:18.04  # ❌ EOLベースイメージ(367 CVE)
3RUN apt-get update  # ❌ パッケージ固定なし
4COPY secrets.json /app/  # ❌ イメージ内の秘密
5RUN useradd app
6USER root  # ❌ rootとして実行
7EXPOSE 22  # ❌ SSH公開
8ENV API_KEY=sk-1234567890  # ❌ 環境変数内の秘密
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Plexicus検出結果:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - 無限ループDoS
• 環境変数にハードコードされたAPIキー
• ルートユーザー実行 (UID 0)
• ポート22で公開されたSSHサービス
Auto-Fix Available: 19/23 critical issues

Kubernetesのセキュリティ災害

kubectl設定の比較

Vulnerable

  • 特権コンテナ (フルホストアクセス)
  • ルートユーザー実行
  • ホストファイルシステムがマウントされている
  • ホストネットワークアクセス
  • リソース制限なし

Plexicus保護済み

  • 特権昇格なし
  • 非ルートユーザー実行
  • 読み取り専用ファイルシステム
  • 最小限の機能
  • リソース制限の適用
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ Updated secure version
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ No privilege escalation
11      runAsNonRoot: true              # ✅ Non-root user
12      runAsUser: 1000                 # ✅ Specific UID
13      readOnlyRootFilesystem: true    # ✅ Read-only filesystem
14      capabilities:
15        drop: [ALL]                 # ✅ Drop all capabilities
16        add: [NET_BIND_SERVICE]     # ✅ Only required caps
17    resources:
18      limits:
19        memory: 256Mi               # ✅ Resource limits
20        cpu: 200m
21        ephemeral-storage: 1Gi
22      requests:
23        memory: 128Mi
24        cpu: 100m
25    livenessProbe:                    # ✅ Health checks
26      httpGet:
27        path: /health
28        port: 8080
29    readinessProbe:
30      httpGet:
31        path: /ready
32        port: 8080
33 
Lines: 33Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ 脆弱なバージョン
9    securityContext:
10      privileged: true  # ❌ フルホストアクセス
11      runAsUser: 0     # ❌ ルートユーザー
12    volumeMounts:
13    - name: host-root
14      mountPath: /host  # ❌ ホストファイルシステムアクセス
15  volumes:
16  - name: host-root
17    hostPath:
18      path: /          # ❌ ホストルートをマウント
19  hostNetwork: true    # ❌ ホスト ネットワークアクセス
20  hostPID: true        # ❌ ホストPID名前空間
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

マルチステージセキュリティアーキテクチャ

インタラクティブな監視によるコンテナライフサイクル全体にわたる包括的な保護

Build Stage Security
Dockerfileの分析、ベースイメージの検証、SBOM生成
Registry Protection
脆弱性スキャン、マルウェア検出、秘密の発見
Deploy Validation
ポリシー検証、RBACチェック、アドミッションコントロール
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
プロセス、ネットワーク、ファイル整合性のリアルタイム監視
Threat Detection
MLモデルによる行動分析と異常検出
Auto Response
自動修復とインシデント対応
94% CIS
Compliance Monitoring
CIS Kubernetesベンチマークと継続的なコンプライアンス検証

Kubernetes Policy Engine

リアルタイム検証と自動修復を備えたインタラクティブなポリシー管理

Pod Security Standards

no-privileged-containers

特権コンテナの実行を防止します

non-root-user

コンテナが非rootユーザーとして実行されることを保証します

read-only-filesystem

読み取り専用のルートファイルシステムを強制します

自動修復が利用可能

3つのポリシー違反はワンクリック修復で自動的に修正できます。

ネットワークポリシー検証

検出された問題

  • 本番環境の名前空間にネットワークポリシーがありません
  • ポッド間の通信が無制限です
  • すべてのポートで外部トラフィックが許可されています

自動生成されたポリシー

  • デフォルトの拒否ポリシーが作成されました
  • アプリ固有のインバウンドルール
  • データベースのアウトバウンド制限

RBACコントロール

サービスアカウント分析

23
最小特権
7
過剰特権
2
管理者アクセス

ロールバインディングの推奨事項

  • デフォルトのサービスアカウントからcluster-adminを削除
  • アプリケーション用の名前空間固有のロールを作成
  • デバッグのためのジャストインタイムアクセスを実装

アドミッションコントロール

Webhookステータス

plexicus-container-policy
アクティブ

最近のブロック

特権コンテナがブロックされました2分前
署名されていないイメージが拒否されました5分前
リソース制限違反8分前

ソフトウェアサプライチェーンセキュリティ

包括的なSBOM生成、依存関係分析、およびコンテナ署名機能を備えたソフトウェアサプライチェーン全体を保護します。

Active

SBOM Generation

完全な依存関係の可視性のための自動化されたソフトウェア部品表生成

CycloneDX Format
SPDX Compatible
リアルタイム更新
脆弱性マッピング
Scanning

Dependency Analysis

コンテナ依存関係とサプライチェーンリスクの詳細な分析

CVEトラッキング
ライセンスコンプライアンス
古いパッケージ
セキュリティ勧告
Secured

Container Signing

コンテナイメージの真正性のためのデジタル署名と検証

Cosign Integration
Notary Support
キー管理
署名検証
Protected

Supply Chain Attacks

サプライチェーンの妥協と悪意のある依存関係に対する保護

マルウェア検出
タイポスクワッティング
バックドア分析
脅威インテリジェンス
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

CI/CD Integration

コンテナセキュリティを既存のCI/CDパイプラインにシームレスに統合し、自動スキャン、ポリシー施行、リアルタイムフィードバックを提供します。

GitLab CI

合計スキャン数:2,341
最終実行2 min ago
パイプライン:container-security

GitHub Actions

合計スキャン数:1,892
最終実行5 min ago
パイプライン:security-scan

Jenkins

合計スキャン数:3,156
最終実行1 min ago
パイプライン:plexicus-scan

Azure DevOps

合計スキャン数:987
最終実行3 min ago
パイプライン:container-check

ライブパイプラインステータス

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

コンプライアンス自動化

複数のフレームワークにわたる自動コンプライアンス監視と報告をリアルタイムのポリシー施行と修正機能で提供します。

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Compliance Checks
+12% this month
89%
Auto-Remediated
+5% this month
23
Policy Violations
-18% this month

パフォーマンスへの影響

最大限のセキュリティカバレッジで最小限のパフォーマンスオーバーヘッド。軽量エージェントがパフォーマンスを損なうことなく包括的な保護を提供します。

23MB
ノードごと
メモリ使用量15%
<1%
平均
CPU使用量8%
12KB/s
テレメトリー
ネットワーク25%
45MB
7日間の保持
ストレージ35%

Runtime Agent Performance

+0.3s
コンテナ起動
+0.1ms
アプリケーションの待ち時間
-0.02%
ネットワークスループット

Security Processing Statistics

2.3M
処理されたセキュリティイベント
/日
12
生成されたアラート
/日
95%
自動解決済み
成功率
<2%
誤検知
精度
99.98% Uptime
サブ秒応答
リアルタイム監視

今日から始めましょう

役割を選択して、Plexicus Container Securityを始めましょう。 数分でコンテナをビルドから実行まで安全に保護します。

DevSecOps Engineers

コンテナーセキュリティスキャンのセットアップと自動ポリシー施行

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

Kubernetes環境のAPI統合とリアルタイム監視

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

開発中のローカルコンテナスキャンと脆弱性検出

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

フレームワーク全体のコンプライアンス報告と監査証跡生成

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
はじめにポリシーを見るお問い合わせ

クレジットカードは不要 • 14日間の無料トライアル • フル機能アクセス