@esasahara
Cloud Security Alliance
Application Containers and Microservices WG
世界のコンテナ／マイクロサービス技術動向
から俯瞰する関西の2025年

2
はじめに
• IoTとAPIを軸とする自律サービスの疎結合型アーキテクチャ
IaaS
PaaS
SaaS
OS
ミドル
ウェア
アプリ
ケー
ション
ミドル
ウェア
アプリ
ケー
ション
アプリケーションコンテナ
コンテナ管理
ソフトウェア
APIゲートウェイ
UI/
UX
UI/
UX
UI/
UX
UI/
UX
処理A
処理B 処理C
データ
データ データ
マイクロサービスクラウドサービス
出典：ヘルスケアクラウド研究会（2016年1月)

3
クラウドセキュリティアライアンス
アプリケーションコンテナ／マイクロサービスWGのご紹介
[目的]
セキュアなアプリケーションコンテナおよびマイクロサービス利用の
ためのガイダンスやベストプラクティスを発行する
アプリケーションコンテナおよびマイクロサービスのセキュリティに
関する啓発活動を行う
[WGリーダー]
Anil Karmel（NIST SP 800-180(Draft) 筆頭著者）
Andrew Wild（QTS Data Centers・CISO)

4
クラウドセキュリティアライアンス
アプリケーションコンテナ／マイクロサービスWGの
作成ドキュメント例
“Challenges in Securing Application
Containers”(2019年7月発行）
“Best Practices for Implementing a
Secure Microservices Architecture”
(2019年7月発行）
“A Unified Standard for the
Microservices Architecture”（作成中）

5
AGENDA
1. アプリケーション・ライフサイクル管理の技術動向
2. アプリケーションコンテナ／マイクロサービスの技術動向
3. クラウドネイティブAI／IoTの技術動向
4. クラウドネイティブIoTの技術動向
5. 金融・決済サービスICT市場動向とコンテナ／マイクロサービス
6. ホスピタリティ・ダイニング・旅行ICT市場と
コンテナ／マイクロサービス
7. 製造業ICT市場動向とコンテナ／マイクロサービス
8. ライフサイエンス・健康医療ICT市場動向と
コンテナ／マイクロサービス
9. フリートーク＆ネットワーコング

6
1. アプリケーション・ライフサイクル管理の技術動向
「IDC FutureScape: Worldwide Developer and
DevOps 2020 Predictions」（2019年12月）
• アプリケーション開発の一部としての人工知能（AI)／機械学習
（ML)検証から、開発・設計・品質・セキュリティ・展開に渡るAI／
MLの最適化フェーズに移行する
• 開発側がビジネスKPIsにフォーカスする一方、運用側はエンドツー
エンドのアプリケーション・パフォーマンスやビジネス・インパクトで重要
な役割を果たす

7
DevOpsのセキュリティ課題
• Cloud Security Alliance「The Six Pillars of
DevSecOps」（2019年8月7日）
1. 選択的な責任
2. 協働と統合
3. 実用的な展開
4. 法令遵守と開発の橋渡し
5. 自動化
6. 評価、モニタリング、報告、行動

8
DevOps向けクラウドサービス事例
• 「CloudBees Announces CloudBees CI/CD
Powered by Jenkins X, a SaaS Solution Built
on Google Cloud Platform」（2019年12月4日）
• Google Cloud Platform環境のKubernetesの
インスタンス上で稼働する、Jenkins Xを採用した
継続的インテグレーション／継続的デプロイ(CI/CD)
向けSaaSプラットフォーム
• マイクロサービス・アプリケーションの開発・導入の最適化
• Kubernetesクラスターの複雑なプロビジョニングを回避

9
2. アプリケーションコンテナ／マイクロサービスの技術動向
「IDC FutureScape: Worldwide Cloud 2020
Predictions」（2019年11月）
• エンタープライズユーザーの大半が、オンプレミスからプライベート
クラウド、パブリッククラウドに渡るマルチクラウド環境の運用管理／
ガバナンスを強化するために、統合型VMs、Kubernetesおよび
マルチクラウド管理プロセス／ツールを導入する
• クラウドネイティブなアプリケーション・プラットフォームにおける開発
ライフサイクル管理の自動化、オーケストレーションに投資する

10
マルチクラウド・サービスのセキュリティ・リスク(1)
• CPO Magazine「Multi-Cloud Security Is the New
#1 IT Challenge for Businesses」（2019年12月13日）
• BPI「Mapping the Multi-Cloud Enterprise」
• 回答企業の10社に8社が、単一クラウド導入から
マルチクラウド導入に移行済
• 回答企業の48％が仮想コンテナを利用／1年以内に
利用予定
• 課題点：①マルチクラウド・セキュリティ（63%）
②認証の集中化（62%）
③セキュリティポリシーの集中化（46%）

11
マルチクラウド・サービスのセキュリティ・リスク(2)
• Cloud Security Alliance「Cloud Security
Complexity: Challenges in Managing Security
in Hybrid and Multi-Cloud Environments」
（2019年5月21日）
• クラウドは構成と可視化の問題を生み出す
• 人為的エラーと構成ミスが停電の最大原因
• クラウドの懸念事項は法令遵守と法務問題
• クラウドプロジェクトの懸念事項はセキュリティ

12
マルチクラウド・サービス事例(1)
• Google Cloud Platform「Anthos」
（https://cloud.google.com/anthos/?hl=ja）
• Kubernetesをベースに、
コンテナ化したアプリケーション
をオンプレミスとクラウドの
どちらでも実行可能にする、
ハイブリッドクラウドおよび
マルチクラウドのための
プラットフォーム
出典：「Technical overview | Anthos | Google Cloud」
（https://cloud.google.com/anthos/docs/concepts/overview）

13
マルチクラウド・サービス事例(2)
• 「Microsoft Cloud App Security」
（https://docs.microsoft.com/ja-jp/cloud-app-security/）
• クラウドサービスプロバイダーが
提供するCASB
• シャドウ IT の使用を検出し、制御する
• クラウド全体で機密情報を保護する
• サイバー攻撃の脅威と異常に
対する保護
• クラウドアプリのコンプライアンスを
評価する
出典：「Microsoft Cloud App Security」
（https://docs.microsoft.com/ja-jp/cloud-app-security/）

14
3. クラウドネイティブAIの技術動向
「IDC FutureScape: Worldwide Artificial
Intelligence 2020 Predictions」（2019年11月）
• AIがあらゆるビジネスに組み込まれ、イノベーションの規模やビジネス
の価値を上げる“Outcomes as a Service”型AIソリューション
への支出が拡大する
• コンピューターの視覚、会話、自然言語、拡張現実（AR）／仮想
現実（VR）が拡張されるタッチポイントにおいて、ユーザーエクスペ
リエンスが再定義され、AIが新たなユーザーインタフェースとなる

15
AI向けクラウドサービス事例
• Google Cloud Platform「AI Platform」
• クラウドとオンプレミスの両方で簡単に実行できる
AIアプリケーション開発プラットフォーム
（例）AI Platformの機械学習への応用
出典：Google Cloud Platform「AI Platform の概要」(https://cloud.google.com/ml-engine/docs/technical-overview?hl=ja）

16
4. クラウドネイティブIoTの技術動向
「IDC FutureScape: Worldwide IoT 2020
Predictions」（2019年11月）
• コンテナ技術を利用したIoTプラットフォーム組込型のエンター
プライズIoTアプリケーションが普及する
• 企業の大半が、IoTのエッジ側でデータ処理を実行するようになり、
IoTエッジを支えるインフラストラクチャへの投資が拡大する
• IoTデバイスから生成されるデータ容量が急増して、ユーザー組織に
おけるデータのガバナンス、保持、利用に関するポリシーの再評価が
必要となる

17
デジタルツイン向けクラウドサービス事例
• Microsoft 「Azure Digital Twins」
• Azure Security Center for IoT
• Azure Active Directory
• ロールベースのアクセスコントロール
• マネジメントAPI認証 など
出典： Azure Digital Twins (https://azure.microsoft.com/en-us/services/digital-twins/)

18
IoTエッジ向けクラウドサービス事例
• AWS IoT for the Edge
• AWS IoT Greengrass：クラウドの機能をローカル
IoTデバイスに拡張するソフトウェア
• Dockerアプリケーションのデプロイコネクター機能
出典：Amazon Web Services
「AWS IoT Greengrass とは」
https://docs.aws.amazon.com/ja
_jp/greengrass/latest/developer
guide/what-is-gg.html

19
IoTインフラ向けクラウドサービス事例
• “Siemens MindSphere” on the Cloud
• MindSphere：Siemensが開發・提供するクラウドベースの
オープンIoTオペレーティングシステム製品
• AWSと連携したPaaS開発環境を提供
• 医薬品業界向けソリューションを開発中
• Alibaba Cloudと連携し、中国製造業市場への展開を図る
出典： Siemens 「Pharma Event Introduction to MindSphere」（2019年9月24日）

20
5. 金融・決済サービスICT市場動向とコンテナ/マイクロサービス
「IDC FutureScape: Worldwide Payment
Strategies 2020 Predictions」（2019年11月）
• オープンAPI経由で銀行に接続し、リアルタイムのスキームで実行さ
れるFintechによって企業間決済が組成され、新たなオープ
ンバンキングモデルを牽引する
「IDC FutureScape: Worldwide Financial
Services 2020 Predictions」（2019年12月）
• 銀行の大半が、クラウドマーケットプレイス経由で、Fintech
ソリューションを調達し、統合する

21
金融の事例
• Alibaba Cloud「The Open Application Model
from Alibaba’s Perspective」(2019年12月27日)
• Open Application Model (OAM)：
• MicrosoftとAlibaba Cloudが共同で構築している
• Alibaba Cloudは、Ant Financialのユースケースを活用
• Kubernetes上でアプリケーションを開発・運用するための
オープンな標準規格
• OAMのコンポーネント
• ワークロードの記述：コンポーネントの稼働方法
• コンポーネントの記述：何を稼働させるか
• スキーマとして表現される、上書き可能なパラメーターのリスト

22
6. ホスピタリティ・ダイニング・旅行ICT市場と
コンテナ／マイクロサービス
「IDC FutureScape: Worldwide Hospitality
2020 Predictions」（2019年10月）
• ホテル企業の大半が、デジタルプラットフォームやオープンAPIを
活用して、協働イノベーションプログラムを立ち上げ、技術知財
（IP)の販売による収益モデルをめざす
• ダイニング企業の大半が、コンテキスト化されたカスタマーエンゲー
ジメントや自動会話の価値を最大化するために、同意取得ベース
のアプローチを利用する

23
ホスピタリティ・ダイニング・旅行の事例(1)
• CSA Summit 2019
「Case Study:
Behind the
Scenes of
MGM Resorts
International’s
Digital
Transformation」
（2019年3月19日）
出典：Scott Howitt et al. 「Case Study: Behind the Scenes of MGM Resorts International’s
Digital Transformation」（2019年3月19日）

24
ホスピタリティ・ダイニング・旅行の事例(2)
• 「Retail & Hospitality ISAC」
• 米国小売・ホスピタリティ産業のセキュリティ情報共有・
分析組織(ISAO）
• MGMの前CISOであるScott Howitt氏が共同創設者
出典：Retail & Hospitality ISAC (https://rhisac.org/)

25
7. 製造業ICT市場動向とコンテナ／マイクロサービス
「IDC FutureScape: Worldwide Manufacturing
2020 Predictions」（2019年11月）
• 製造企業の大半が、業種横断的で顧客主導の協働イノベーション
のために、クラウドベースのイノベーションプラットフォームやマーケット
プレイスを利用する
• 製造企業の一部で、コーディングスキルを必要としないビジネス関連
アプリケーション開発のために、ローコード技術を利用するデジタル
アプリケーション・ユニットが設置される

26
製造業のIT/OTセキュリティ
• 米国「NIST IR 8228：インターネット・オブ・シングス（IoT）のサイバー
セキュリティとプライバシーリスクを管理する際の考慮事項」(2019年6月)
考慮事項1：デバイスと物理的世界との相互作用
IoTデバイスの多くは、伝統的なITデバイスには通常ない方法で、物理的世界と相互作用する
(例）資産管理、脆弱性管理
考慮事項2：デバイスのアクセス、管理、モニタリング機能
IoTデバイスの多くは、伝統的なITデバイスと同じ方法では、アクセス、管理、モニタリング
できない
（例）データ保護、データセキュリティ・インシデント検知
考慮事項3：サイバーセキュリティおよびプライバシー機能の可用性、効率
性、有効性
サイバーセキュリティ／プライバシー機能の可用性、効率性、有効性は、伝統的なITデバイスより
もIoTデバイスの方が異なることが多い
（例）個人情報処理許諾管理、プライバシー侵害検知

27
製造業の事例(1)
• GE Digital「PREDIX: The Industrial IoT Application
Platform」
• PREDIX: GE Digitalが開発・提供する産業用IoTアプリケーション
開発プラットフォーム（PaaS）
• 資産中心型デジタルツイン上に構築されたプラットフォーム
出典：GE Digital「PREDIX: The Industrial IoT Application Platform」

28
製造業の事例(2)
• Predix Cloud: マイクロサービス・アーキテクチャとAPI
出典：GE Digital「PREDIX: The Industrial IoT Application Platform」

29
製造業の事例(3)
• Predix Cloudのセキュリティ管理策
• 2019年9月、Cloud Security Allianceの
STAR認証を取得
出典： Cloud Security Alliance 「STAR Registry: GE Digital, LLC」（2019年9月）

30
8. ライフサイエンス・健康医療ICT市場動向と
コンテナ／マイクロサービス
「IDC FutureScape: Worldwide Health Industry
2020 Predictions」（2019年11月）
• 医薬品企業やバイオ企業の大半が、サプライチェーン最適化の
ために、IoTデータを利用した処方的分析やAIを導入する
• ヒューマンマシン・コラボレーションとAI主導のインタフェースが、
医療施設における未来の働き方を変革する

31
ライフサイエンス・健康医療の事例(1)
• Novartis「Amazon Web Services (AWS) announces
strategic collaboration with Novartis to accelerate
digital transformation on its business operations」
(2019年12月4日)
• AI・IoT・機械学習を利用した医薬品製造・サプライチェーンの再投資
出典：AWS「AWS and Novartis: Re-inventing pharma manufacturing」 (2019年12月4日)

32
ライフサイエンス・健康医療の事例(2)
• McKinney SM, et al.「International evaluation
of an AI system for breast cancer screening.」
（2020年1月1日）
• Google Cloud Platformの「AI Platform」を利用
出典：McKinney SM, et al.
「International evaluation of an AI
system for breast cancer
screening.」（2020年1月1日）

33
参考
• Top 10 Strategic Technology Trends for
2020 by Gartner
• コンテナ・セキュリティのガイドライン
• マイクロサービスのガイドライン

34
IoT Business News「Gartner Identifies the Top
10 Strategic Technology Trends for 2020」
(2019年12月22日）
• Hyperautomation
• Multiexperience
• Democratization of Expertise
• Human Augmentation
• Transparency and Traceability
• The Empowered Edge
• Distributed Cloud
• Autonomous Things
• Practical Blockchain
• AI Security

35
コンテナサービスとセキュリティ
• コンテナ=移植性の高いコード実行環境
[主要コンポーネント]
• 実行環境
• 統合管理とスケジューリングのコントローラ
• コンテナイメージまたは実行するコードのリポジトリ
• コンテナのセキュリティ要件
• 基盤となる物理インフラ（コンピューティング、ネットワーク、
ストレージ）のセキュリティを確保する
• イメージリポジトリを適切に保護する
• コンテナ内で実行されているタスク／コードにセキュリティを組込む

36
コンテナ・セキュリティのガイドライン
• 米国NIST 「SP 800-190: Application Container
Security Guide」（2017年9月）
• コンテナ技術アーキテクチャ層と構成要素
出典：NIST “SP 800-190: Application Container Security Guide”（2017年9月）

37
・コンテナ技術のコアコンポーネントのリスク
コンポーネント リスク
イメージ ・イメージの脆弱性
・イメージ構成の欠陥
・組込まれたマルウェア
・組込まれた平文の秘密
・信頼できないイメージの使用
レジストリ ・セキュアでないレジストリへの接続
・レジストリにおける古いイメージ
・不十分な認証および権限付与の制限
オーケストレーター ・制限のない管理者のアクセス
・不正なアクセス
・分離が不十分なコンテナ内のネットワークトラフィック
・ワークロードの機微度レベルの混在
・オーケストレーター・ノードの信頼性
出典：NIST “SP 800-190: Application Container Security Guide”（2017年9月）

38
・コンテナ技術のコアコンポーネントのリスク（続き）
コンポーネント リスク
コンテナ ・ランタイム・ソフトウェア内の脆弱性
・コンテナからの制限のないネットワークアクセス
・セキュアでないコンテナ・ランタイムの構成
・アプリケーションの脆弱性
・不正なコンテナ
ホストOS ・大規模攻撃の対象領域
・共有されたカーネル
・ホストOSコンポーネントの脆弱性
・不適切なユーザーアクセス権限
・ホストOSのファイルシステムの改ざん
出典：NIST “SP 800-190: Application Container Security Guide”（2017年9月）

39
マイクロサービス・セキュリティのガイドライン
• 米国NIST 「SP 800-204(Draft): Security Strategies
for Microservices-based Application Systems」
（2019年3月）
• 伝統的なモノリシック(一枚岩)・アーキテクチャのネット通販
アプリケーション
出典：NIST “SP 800-
204(Draft): Security
Strategies for
Microservices-based
Application Systems ”
（2019年3月）

40
• マイクロサービス運用のアーキテクチャ・フレームワークの役割
アーキテクチャ・フレームワーク アーキテクチャ全体における役割
APIゲートウェイ ・南北・東西のトラフィックを制御するのに使用される
（後者はマイクロゲートウェイを使用）
・マイクロサービスがweb／アプリケーションサーバー
に展開される時、マイクロゲートウェイが導入される
サービス・メッシュ ・コンテナを使用してマイクロサービスが展開される時、
純粋に東西のトラフィックのために導入されるが、マ
イクロサービスがVMまたはアプリケーションサーバー
にハウジングされる状況下で使用することができる
出典：NIST “SP 800-204(Draft): Security Strategies for Microservices-based
Application Systems ”（2019年3月）

41
・マイクロサービスの脅威とセキュリティ戦略
脅威 セキュリティ戦略
アイデンティティ／アクセス管理 ・認証（MS-SS-1）
・アクセス管理（MS-SS-2）
サービス・ディスカバリーの
メカニズム
・サービスレジストリ構成（MS-SS-3）
セキュアな通信プロトコル ・セキュアな通信（MS-SS-4）
セキュリティモニタリング ・セキュリティモニタリング（MS-SS-5）
遮断機能の展開 ・遮断機能の展開（MS-SS-6）
ロードバランシング ・ロードバランシング（MS-SS-7）
レート制限 ・レート制限（MS-SS-8）
出典：NIST “SP 800-204(Draft): Security Strategies for Microservices-based
Application Systems ”（2019年3月）

42
・マイクロサービスの脅威とセキュリティ戦略(続き）
脅威 セキュリティ戦略
完全性の保証 ・マイクロサービスの最新版の導入（MS-SS-9）
・セッション維持の取扱（MS-SS-10）
ボットネット攻撃への対抗 ・資格情報の悪用やリスト型攻撃の防止（MS-SS-11）
マイクロサービスのアーキテク
チャ・フレームワーク
・APIゲートウェイの展開（MS-SS-12）
・サービス・メッシュの展開（MS-SS-13）
出典：NIST “SP 800-204(Draft): Security Strategies for Microservices-based
Application Systems ”（2019年3月）

43
AGENDA
4. フリートーク＆ネットワーコング
https://www.linkedin.com/in/esasahara
https://www.facebook.com/esasahara
https://twitter.com/esasahara