1. 序論 2. プロトタイプの展開 ステージ0：プラットフォームの証明と評価されたワーカーノード の設定 ステージ1：信頼されたワークロードの配置 ステージ2：アセットのタグ付と信頼された位置情報 3. プロトタイピングのステージ0 4. プロトタイピングのステージ1 5. プロトタイピングのステージ2

1. 2021年6月
Cloud Security Alliance
Application Containers and Microservices WG
「NISTIR 8320A
ハードウェア対応セキュリティ：コンテナ
プラットフォームのセキュリティプロトタイプ」
概説

2. 2
クラウドセキュリティアライアンス
アプリケーションコンテナ／マイクロサービスWGのご紹介
[目的]
セキュアなアプリケーションコンテナおよびマイクロサービス利用の
ためのガイダンスやベストプラクティスを発行する
アプリケーションコンテナおよびマイクロサービスのセキュリティに
関する啓発活動を行う
[WGリーダー]
Anil Karmel（NIST SP 800-180(Draft) 筆頭著者）
Andrew Wild（QTS Data Centers・CISO)

3. 3
クラウドセキュリティアライアンス
アプリケーションコンテナ／マイクロサービスWGの
作成ドキュメント例
「Challenges in Securing Application
Containers and Microservices」
(2019年7月発行）
「Best Practices for Implementing a Secure
Application Container Architecture」
(2019年7月発行）
「Best Practices in Implementing a Secure
Microservices Architecture」
（2020年2月発行）

4. 4
コンテナプラットフォームのハードウェア対応セキュリティ
米国NIST 「NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype 」（2021年6月）
• 目的：
マルチテナント型クラウド環境におけるアプリケーション
コンテナの展開を保護するための手法を記述する
• IaaS（Infrastructure as a Service）クラウドコンピュー
ティング技術や、リソースアセットのタグ付けフォームにおける
位置情報など、セキュリティの課題を説明する
• これらの課題に取組むために設計された概念実証の展開
（プロトタイプ）を説明する

5. 5
[構成](1)
• 1. 序論
• 2. プロトタイプの展開
• ステージ0：プラットフォームの証明と評価されたワーカーノード
の設定
• ステージ1：信頼されたワークロードの配置
• ステージ2：アセットのタグ付と信頼された位置情報
• 3. プロトタイピングのステージ0
• 4. プロトタイピングのステージ1
• 5. プロトタイピングのステージ2

6. 6
[構成](2)
• 参考文献
• 附属書A – ハードウェアのアーキテクチャと前提条件
• 附属書B – プラットフォームの展開：AMI TruE
• 附属書C – プラットフォームの展開：Kubernetes
• 附属書D – NIST SP 800-53のセキュリティコントロール
• 附属書E – サイバーセキュリティフレームワークのサブカテゴリーの
マッピング
• 附属書F – 頭字語およびその他の略語

7. 7
ステージ0(1)
プラットフォームの証明と評価されたワーカーノード の設定
• コンテナ展開ソリューションの基本的要素は、コンテナの展開が稼働する
プラットフォームが信頼できることを保証する仕組み
• プラットフォームが信頼できないと、テナントのアプリケーションやデータの
侵害リスクが高まるだけでなく、要求されたクラウドサーバーのアセット
タグが正確であることが保証されなくなる
• ステージ0の前提条件
1. 信頼されたものとして、クラウドサーバープラットフォームを構成する
2. 各コンテナのワーカーノードを設定する前に、クラウドサーバープラット
フォームの信頼性を検証（評価）する
3. コンテナランタイムの実行中、クラウドサーバープラットフォームの信頼性を
監査する

8. 8
ステージ0(2)
【参考文献】
• NIST SP 800-128, Guide for Security-Focused Configuration Management of
Information Systems
• NIST SP 800-137, Information Security Continuous Monitoring for Federal
Information Systems and Organizations
• NIST SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing
• NIST SP 800-147B, BIOS Protection Guidelines for Servers
• Draft NIST SP 800-155, BIOS Integrity Measurement Guidelines
• NIST SP 800-190, Application Container Security Guide

9. 9
ステージ1
信頼されたワークロードの配置
• ワークロードの配置は、クラウドコンピューティングの重要な属性であり、
拡張性や信頼性を向上させる
• ワークロードが配置されたサーバーについて、ワークロードのセキュリティ
ポリシーに基づいて、セキュリティ保証の要求レベルを満たすことが目的
• ステージ1の前提条件
1. 信頼済プラットフォームを有するクラウドサーバーのみに、
ワークロードを展開する
【参考文献】
• Draft NIST IR 8320, Hardware-Enabled Security: Enabling a Layered Approach to
Platform Security for Cloud and Edge Computing Use Cases
• NIST SP 800-137, Information Security Continuous Monitoring for Federal
Information Systems and Organizations
• NIST SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing
• NIST SP 800-147B, BIOS Protection Guidelines for Servers
• Draft NIST SP 800-155, BIOS Integrity Measurement Guidelines

10. 10
ステージ2
アセットのタグ付と信頼された位置情報
• ステージ１に基づいて、継続的にモニタリングし、アセットタグの制限を強制す
る機能を追加する
• ステージ2の前提条件
1. 個々の信頼済プラットフォームのインスタンス向けに、信頼された
アセットタグ情報を有する
2. アセットタグ制限の強制を含む、信頼済プラットフォーム向けの構成管理
およびポリシー強制メカニズムを提供する
3. ワークロードのオーケストレーション中、アセットタグのポリシー制限に対す
るクラウドサーバープラットフォームのアセットタグを定期的に監査する
【参考文献】
• NIST SP 800-128, Guide for Security-Focused Configuration Management of Information
• NIST SP 800-137, Information Security Continuous Monitoring for Federal Information Systems and
Organizations
• NIST SP 800-147B, BIOS Protection Guidelines for Servers
• Draft NIST SP 800-155, BIOS Integrity Measurement Guidelines

11. 11
プロトタイピングのステージ0(1)
ソリューションの全体像：信頼された計算処理プールの概念
• 証明（Attestation）
ハードウェアにセキュアに保存
された一連の評価結果の
デジタル証明を提供し、依頼者に署名
および評価の妥当性を確認
させる
• 証明のためには、信頼の起点
（Roots of Trust)が必要
出典：NIST「NISTIR 8320A Hardware-Enabled Security: Container Platform Security
Prototype」（2021年6月）(https://csrc.nist.gov/publications/detail/nistir/8320a/final)

12. 12
プロトタイピングのステージ0(2)
ソリューションシステムアーキテクチャ
• ワーカーノード
• Kubelet（Kubernetes
のエージェント）
• コンテナランタイム
• OS
• ハードウェア
• 暗号モジュール
• コントロールプレーン
• コンテナオーケストレーション
ソフトウェア
• 証明サービス
• 管理サーバー
出典：NIST「NISTIR 8320A Hardware-Enabled Security: Container Platform Security
Prototype」（2021年6月）(https://csrc.nist.gov/publications/detail/nistir/8320a/final)

13. 13
プロトタイピングのステージ1(1)
ソリューションの全体像：
• 同一クラウド内にサーバーAと
サーバーBがあると想定
出典：NIST「NISTIR 8320A Hardware-Enabled Security: Container Platform Security
Prototype」（2021年6月）(https://csrc.nist.gov/publications/detail/nistir/8320a/final)

14. 14
プロトタイピングのステージ1(2)
ステージ1のステップ（前頁表中の番号順）：
1. サーバーAは、ハードウェアモジュールに評価結果を追加する、強化されたハード
ウェアベースのセキュリティ機能を装備して、measured launch機能を実行
する
2. サーバーAは、認証局に要求を送信する（要求には、様々なプラットフォームの
ファームウェアやOSコンポーネントに関する署名付きハッシュが含まれる）
3. 認証局は、署名およびハッシュ値を検証して、プラットフォームが完全な状態で
あることの証明を管理サーバーに送信する
4. 管理サーバーは、ユーザー要件に基づいて、サーバーB上でワークロードポリシー
要件を強制する
5. サーバーBは、信頼済と証明されたサーバープラットフォームのみに信頼済
インフラストラクチャを要求するワークロードを実行する
6. 各サーバープラットフォームは、それぞれの評価値に基づいて、定期的に監査
される

15. 15
プロトタイピングのステージ2
ソリューションの全体像：
• ステージ2は、ガバナンス／リスク／コンプライアンス（GRC）ダッシュボードで、
評価結果のモニタリング・可視化機能を追加する
出典：NIST「NISTIR 8320A Hardware-Enabled Security: Container Platform Security
Prototype」（2021年6月）(https://csrc.nist.gov/publications/detail/nistir/8320a/final)
信頼済ブート・コンプライアンス・ビュー
単一サーバーの概要