1. @esasahara
Cloud Security Alliance
Application Containers and Microservices WG
APIエコノミーを支える
マイクロサービスのセキュリティ

2. 2
クラウドセキュリティアライアンス
アプリケーションコンテナ／マイクロサービスWGのご紹介
[目的]
セキュアなアプリケーションコンテナおよびマイクロサービス利用の
ためのガイダンスやベストプラクティスを発行する
アプリケーションコンテナおよびマイクロサービスのセキュリティに
関する啓発活動を行う
[WGリーダー]
Anil Karmel（NIST SP 800-180(Draft) 筆頭著者）
Andrew Wild（QTS Data Centers・CISO)

3. 3
クラウドセキュリティアライアンス
アプリケーションコンテナ／マイクロサービスWGの
作成ドキュメント例
「Challenges in Securing Application Containers
and Microservices」(2019年7月）
「Best Practices for Implementing a Secure
Application Container Architecture」 (2019年7月）
「Best Practices in Implementing a Secure
Microservices Architecture」（2020年2月）
「Microservices Architecture Pattern (MAP)」
（2020年12月予定）

4. 4
コンテナ／マイクロサービスの定義に関するガイドライン
• 米国立標準技術研究所（NIST） 「SP 800-180(Draft):
NIST Definition of Microservices, Application
Containers and System Virtual Machines」
（2016年2月）
• アプリケーションコンテナ:
共有OS上で稼働するアプリケーションまたはそのコンポーネントとして
パッケージ化し、稼働するように設計された構成物
• マイクロサービス：
アプリケーション・コンポーネントのアーキテクチャを、疎結合のパターンに
分解した結果生まれる基本的要素であり、標準的な通信プロトコルや
明確に定義された API を利用して相互に通信する自己充足型サービス
を構成し、いかなるベンダー、製品、技術からも独立している

5. 5
クラウドからアプリケーションコンテナ、マイクロサービスへの
移行
APIを軸とする自律サービスの疎結合型アーキテクチャへ
IaaS
PaaS
SaaS
OS
ミドル
ウェア
アプリ
ケー
ション
ミドル
ウェア
アプリ
ケー
ション
アプリケーションコンテナ
コンテナ管理
ソフトウェア
APIゲートウェイ
UI/
UX
UI/
UX
UI/
UX
UI/
UX
処理A
処理B 処理C
データ
データ データ
マイクロサービスクラウドサービス
出典：ヘルスケアクラウド研究会（2016年1月)

6. 6
AGENDA
• 1. ユースケース1：Fintechにおけるコンテナ／マイクロ
サービス／API利用とセキュリティ
• 2. ユースケース2：Healthtechにおけるコンテナ／
マイクロサービス／API利用とセキュリティ
• 3. マイクロサービス／APIのセキュリティ脅威と対策
• 4. Q&A

7. 7
AGENDA
• 1. ユースケース1：Fintechにおけるコンテナ／マイクロ
サービス／API利用とセキュリティ

8. 8
ドイツ銀行「APIプログラム」 （https://developer.db.com/）
・ビジョン：金融データ、商品、サービスを、デジタルな手法により
アクセス可能にする
• Getting Started Guide
• 認証
• OAuth 2.0
• 証明書ベースの認証
• 権限付与（認可）
• メッセージ署名
• ワンタイムパスワード利用
• API Explorer
出典：Deutsche Bank「API Program」（https://developer.db.com/）

9. 9
ドイツ銀行のクラウドネイティブ技術利用事例(1)
・Deutsche Bank AG「Fabric recognised at Red Hat Innovation
Awards 2019 – Deutsche Bank’s Cloud Technology honoured」
（2019年5月7日）
• 次世代デジタルトランスフォーメーション戦略プラットフォーム「Fabric」で、
コンテナ、マイクロサービス、DevOpsなどの技術を採用
（https://www.db.com/newsroom_news/2019/deutsche-bank-s-cloud-technology-fabric-recognised-
at-red-hat-innovation-awards-2019-en-11483.htm）
・Deutsche Bank AG「Deutsche Bank and Google to form
strategic global, multi-year partnership to drive a fundamental
transformation of banking」（2020年7月7日）
• 最新のクラウド技術を活用して、次世代金融商品を構築するために連携
（https://www.db.com/newsroom_news/2020/deutsche-bank-and-google-to-form-strategic-global-
multi-year-partnership-to-drive-a-fundamental-transformation-o-en-11628.htm）

10. 10
ドイツ銀行のクラウドネイティブ技術利用事例(2)
・Deutsche Bank AG「Deutsche Bank China’s Blue Water Fintech
Space wins Digital Transformation and Innovation Project of
the Year 2019」（2019年12月18日）
• 2019年9月、ドイツ銀行が中国・上海にBlue Water金融科技空間を開設
• 同年12月、「2019年プロジェクト・オブ・ザ・イヤー」を受賞
（https://www.db.com/newsroom_news/2019/deutsche-bank-china-s-blue-water-fintech-space-wins-
digital-transformation-and-innovation-project-of-the-year-20-en-11663.htm）
・Deutsche Bank AG「Deutsche Bank’s Corporate Bank
onboards its first digital employee for client-facing role」
（2020年7月20日）
• 中国現法の法人金融部門が、Blue Waterで開発されたRPAベースの Blue
Bot ‘Yi’を顧客対応デジタル行員として導入
（https://www.db.com/newsroom_news/2020/deutsche-bank-s-corporate-bank-onboards-its-first-
digital-employee-for-client-facing-role-en-11639.htm）

11. 11
米国連邦金融機関検査協議会（FFIEC）
「クラウドコンピューティング環境におけるセキュリティ」
（2020年4月30日）
・クラウドコンピューティング・サービスのリスク管理
出典：FFIEC 「Security in a Cloud Computing Environment」（2020年4月30日）を基にヘルスケアクラウド研究会作成
項目 管理策
ガバナンス ・金融機関のIT戦略計画やアーキテクチャの一部としてクラウドコンピューティング・サービスを利用するための
戦略
クラウド
セキュリティ
管理
・クラウドサービスプロバイダーのセキュリティに関する適切なデューデリジェンスと継続的な監視・モニタリング
・金融機関およびクラウドサービスプロバイダー向けの契約上の責任、能力、制限
・クラウドコンピューティング環境に存在するシステムおよび情報資産向け在庫プロセス
・セキュリティの構成、プロビジョニング、ロギング、モニタリング
・アイデンティティ／アクセス管理とネットワーク制御
・機微データに対するセキュリティ・コントロール
・情報セキュリティ啓発およびトレーニングプログラム

12. 12
・クラウドコンピューティング・サービスのリスク管理（続き）
項目 管理策
変更管理 ・変更管理およびソフトウェア開発ライフサイクルのプロセス
・マイクロサービス・アーキテクチャ
レジリエンス
と復旧
・ビジネスレジリエンスと復旧の機能
・インシデント対応機能
監査および
コントロー
ルの評価
・重要システムに対する金融機関のコントロールに関する定期的検証
・クラウドサービスプロバイダーが管理するコントロールに関する監視およびモニタリング
・クラウドコンピューティングサービス固有のコントロール
-仮想インフラストラクチャの管理
-クラウドコンピューティング環境におけるコンテナの利用
-クラウドコンピューティング環境向けのマネージド・セキュリティサービス（例．CASB）の利用
-データおよびサービスの相互運用性とポータビリティの考慮
-データの破壊または無毒化
出典：FFIEC 「Security in a Cloud Computing Environment」（2020年4月30日）を基にヘルスケアクラウド研究会作成

13. 13
AGENDA
• 2. ユースケース2：Healthtechにおけるコンテナ／
マイクロサービス／API利用とセキュリティ

14. 14
米国保健福祉省（HHS）「国家医療IT調整室（ONC)
21世紀治療法最終規則」（2020年3月9日）
• 電子保健医療情報の相互運用性に関わる標準規格「HL7-FHIR
（Fast Healthcare Interoperability Resources）」を採用して、
認証電子健康記録技術プログラムの一部であるAPIの利用を支援
• 患者が、スマートフォンを利用して、医師の電子健康記録（EHR)から、
重要な医療情報にアクセスすることを可能に
• 「メディケア・メディケイド・サービス・センター（CMS)相互運用性および
患者アクセス最終規則」と組合せて、APIを介したデータの相互運用性を
推進する医療機関やベンダーに経済インセンティブを付与
• Amazon、Google、IBM、Microsoft、Oracle、Salesforceなどが、
HL7-FHIRの普及・促進を図ることを表明

15. 15
FHIRセキュリティ (v4.0.1: R4) (https://www.hl7.org/fhir/security.html)
1. 時刻同期（Time Keeping）
2. 通信セキュリティ（Communications Security）
3. 認証（Authentication）
4. 権限付与／アクセス制御（Authorization/Access Control)
5. 監査(Audit)
6. デジタル署名(Digital Signitures)
7. 添付物(Attachments)
8. ラベル(Labels)
9. データ管理ポリシー(Data Management Policies)
10.記述(Narrative)
11.入力の検証(Input Validation)

16. 16
米国保健福祉省（HHS）「ONC FHIR at Scaleタスク
フォース (FAST)：
データ交換を促進する
拡張性のあるFHIR
インフラストラクチャ」
（2020年8月25日）
• 保健医療データ交換における
APIの役割
出典：HHS 「ONC FHIR at Scale Taskforce
(FAST): Scalable FHIR Infrastructure to
Facilitate Data Exchange」（2020年8月25日）

17. 17
・統合型アーキテクチャの全体的イメージ
出典：HHS 「ONC FHIR at Scale Taskforce (FAST): Scalable FHIR Infrastructure to Facilitate Data Exchange」
（2020年8月25日）

18. 18
FHIRの適用：技術的課題とFASTが提案するソリューション
出典：HHS 「ONC FHIR at Scale Taskforce (FAST): Scalable FHIR Infrastructure to Facilitate Data Exchange」
（2020年8月25日）

19. 19
・信頼されたエコシステムの提案
• ユーザー認証：
UDAPの階層化された
OAuth
• 信頼された動的クライアント
レジストリ（DCR)：
UDAPの信頼されたDCR
• 属性情報伝達：
UDAP JWTベースの
属性情報伝達
• クライアント認証：
UDAP JWTベースの
クライアント認証
出典：HHS 「ONC FHIR at Scale Taskforce (FAST): Scalable FHIR
Infrastructure to Facilitate Data Exchange」（2020年8月25日）

20. 20
・信頼された動的クライアント・レジストリとトークン要求の提案
出典：HHS 「ONC FHIR at Scale Taskforce (FAST): Scalable FHIR Infrastructure to Facilitate Data Exchange」
（2020年8月25日）

21. 21
・ONC FAST検証＆認証プログラムの提案
出典：HHS 「ONC FHIR at Scale Taskforce (FAST): Scalable FHIR Infrastructure to Facilitate Data Exchange」
（2020年8月25日）

22. 22
米国保健福祉省（HHS）「HIPAAとクラウドコンピューティ
ングに関するガイダンス」（2016年10月7日）
No. 質問 回答
1 HIPAAの適用対象主体（CE）または事業提携者（BA）は、電子保護対象保健情報（ePHI）を保存または処理するために、クラウ
ドサービスを利用可能か？
はい
2 クラウドサービスプロバイダー（CSP)が暗号化されたePHIのみを保存し、復号化鍵を持たない場合、それはHIPAAの事業提携者
か？
はい
3 CSPを、郵便サービスのような「導管」であり、従ってHIPAA規則の遵守義務がある事業提携者でないと考えることはできるか？ いいえ
4 どのCSPが、HIPAA遵守のクラウドサービスを提供しているか？ ---
5 HIPAAの適用対象主体(または事業提携者）が、最初にCSPとの間で事業提携契約書（BAA)を締結することなく、CSPを利用して
ePHIを維持した場合、どうなるか？
---
6 CSPが、HIPAAの適用対象主体または事業提携者のePHIを含むセキュリティインシデントを経験した場合、そのインシデントを
適用対象主体または事業提携者に報告しなければならないか？
はい
7 HIPAA規則は、クラウド上でePHIにアクセスするために、医療提供者がモバイル機器を利用することを認めるか？ はい
8 HIPAA規則は、適用対象主体または事業提携者向けサービスの提供を終了した後の一定期間、CSPに対して、ePHIの維持を要求
するか？
いいえ
9 HIPAA規則は、適用対象主体または事業提携者が、米国外のサーバー上にePHIを保存するCSPを利用することを認めるか？ はい
10 HIPAA規則は、事業提携者であるCSPに対し、適用対象主体または事業提携者である顧客のセキュリティプラクティスについて、
文書化の提供を要求したり、監査を認めたりするか？
いいえ
11 CSPが、HIPAAプライバシー規則に従って非識別化された情報のみを受け入れ維持する場合、それは事業提携者に該当するか？ いいえ
出典：U.S. Department of Health & Human Services「Guidance on HIPAA & Cloud Computing」（2016年10月7日）
（https://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html）

23. 23
HL7-FHIR向けクラウドサービスのセキュリティ管理策
• Microsoft「FHIR Server for Azure: An open source project for
cloud-based health solutions」（2018年11月12日）
• Microsoft「Lighting up healthcare data with FHIR®:
Announcing the Azure API for FHIR」(2019年2月7日)
• Microsoft「Azure API for FHIR® moves to general
availability」 (2019年10月21日)
• 主要なセキュリティ管理機能
• Azure Active Directoryを利用した
アイデンティティ／アクセス管理
（例．OAuth 2.0）
• 強制されたロールベースのアクセス制御
• 多層防御によるセキュアなデータ保存
出典：GitHUb 「microsoft/fhir-server」
(https://github.com/microsoft/fhir-server)

24. 24
AGENDA
• 3. マイクロサービス／APIのセキュリティ脅威と対策

25. 25
DevOpsとは？
• アプリケーションの開発と配備を自動化することにフォーカスした、アプリケー
ション開発の新しい方法論であり考え方である
• 開発チームと運用チームの間の協力とコミュニケーションを改善してより深く
結びつけることを意味し、特にアプリケーション配備とインフラストラクチャ運用
の自動化に焦点を当てている
• コード堅牢化、変更管理、本番アプリケーションのセキュリティを改善するだけ
でなくセキュリティ運用全般をも強化してくれる
出典：日本クラウドセキュリティ
アライアンス「クラウドコンピュー
ティングのためのセキュリティガイ
ダンス v4.0」日本語版1.1
（2017年7月）
継続的インテグレーション／
継続的デプロイ（CI/CD）
パイプライン

26. 26
DevOpsのセキュリティへの波及効果
項目 波及効果と長所
標準化 DevOps では、本番に組み込まれるものはすべて、承認済みのコードと設定用テンプレートに基づき、継続的
インテグレーション／継続的デプロイ（CI/CD）パイプラインによって生み出される。開発、テスト、本番（の
コード）はすべて完全に 同一のソースファイルから派生しており、周知となっている優れた標準からの逸脱を防
いでいる。
自動化された
テスト
広範な種類のセキュリティテストは、必要に応じて補助的に手動 テストを加えることで、CI/CD パイプラインに
組み込むことが可能である。
不可変性(immutable) CI/CD パイプラインは、素早く確実に、仮想マシンやコンテナ、インフラストラクチャスタックのマスターイメージ
を生成する。これにより配備の自動化と不可変(immutable)なインフラストラクチャを実現する。
監査と変更管理の改善 CI/CD パイプラインはソースファイルにある 1 文字の変更に至るまでの全て を追跡調査できる。バージョン管
理リポジトリに格納され たアプリケーションスタック（インフラストラクチャを含む）の全履歴と共に、その変更は
変更を行った人物と紐づけられる。
SecDevOps/DevSecO
ps と Rugged DevOps
SecDevOps/DevSecOps は セキュリティ運用を改善するために DevOps の自動化技術を使う。
Rugged DevOps はアプリケーション開発過程にセキュリティテスティングを組み入れることを意味し、よ り強
固で、よりセキュアで、より障害耐性の高いアプリケーションを生み出す。
出典：日本クラウドセキュリティアライアンス「クラウドコンピューティングのための
セキュリティガイダンス v4.0」日本語版1.1（2017年7月）

27. 27
マイクロサービス・セキュリティのガイドライン
• 米国NIST 「SP 800-204: Security Strategies for
Microservices-based Application Systems」
（2019年8月）
• マイクロサービスの設計原則
• 個々のマイクロサービスは、他のマイクロサービスから独立して、管理、
複製、スケーリング、アップグレード、展開される
• 個々のマイクロサービスは、単独の機能を有し、制限された
環境（例．制限された責任を有し、他のサービスに依存する）で
稼働する
• すべてのマイクロサービスは、一定の障害や復旧のために設計されるべき
であり、可能な限りステートレスである必要がある
• 状況管理のために、既存のトラステッドサービス（例．データベース、
キャッシュ、ディレクトリ）を再利用すべきである

28. 28
マイクロサービスのコア機能
• 認証とアクセス制御
• サービス・ディスカバリー
• セキュリティ監視・分析
マイクロサービスのAPIゲートウェイ機能
• 最適化されたエンドポイント
• リクエストやレスポンスの共有、API変換、プロトコル変換
• サーキットブレーカー
• ロードバランサー
• レート制限
• ブルー／グリーン・デプロイメント
• カナリア・リリース

29. 29
• マイクロサービス運用のアーキテクチャ・フレームワーク
アーキテクチャ・フレームワーク アーキテクチャ全体における役割
APIゲートウェイ ・南北・東西のトラフィックを制御するのに使用される（後者
はマイクロゲートウェイを使用）
・マイクロサービスがweb／アプリケーションサーバーに展開さ
れる時、マイクロゲートウェイが導入される
サービス・メッシュ ・コンテナを使用してマイクロサービスが展開される時、純粋に
東西のトラフィックのために導入されるが、マイクロサービスが
VMまたはアプリケーションサーバーにハウジングされる状況下
で使用することができる
出典：NIST “SP 800-204: Security Strategies for Microservices-based Application Systems ”
（2019年8月）

30. 30
・マイクロサービスの脅威とセキュリティ戦略(1)
脅威 セキュリティ戦略
アイデンティティ／アクセス管理 ・認証（MS-SS-1）
・アクセス管理（MS-SS-2）
サービス・ディスカバリーのメカニズム ・サービスレジストリ構成（MS-SS-3）
セキュアな通信プロトコル ・セキュアな通信（MS-SS-4）
セキュリティモニタリング ・セキュリティモニタリング（MS-SS-5）
遮断機能の展開 ・遮断機能の展開（MS-SS-6）
ロードバランシング ・ロードバランシング（MS-SS-7）
レート制限 ・レート制限（MS-SS-8）
完全性の保証 ・マイクロサービスの最新版の導入（MS-SS-9）
・セッション維持の取扱（MS-SS-10）
ボットネット攻撃への対抗 ・資格情報の悪用やリスト型攻撃の防止（MS-SS-11）
マイクロサービスのアーキテクチャ・フレーム
ワーク
・APIゲートウェイの展開（MS-SS-12）
・サービス・メッシュの展開（MS-SS-13）
出典：NIST “SP 800-204: Security Strategies for Microservices-based Application Systems ”（2019年8月）

31. 31
サービス・メッシュを利用したマイクロサービスのセキュリティ
米国NIST 「SP 800-204A: Building Secure
Microservices-based Applications Using Service-Mesh
Architecture」（2020年5月）
• サービス・プロキシーに基づく手法におけるサービス・メッシュの
コンポーネント向け展開ガイドラインを提供する:
• サービス・プロキシー向け通信構成
• Ingressプレキシー向け構成
• 外部サービスへのアクセス向け構成
• アイデンティティ／アクセス管理向け構成
• 監視機能向け構成
• ネットワーク・レジリエンス向け構成
• オリジン間リソース共有(CORS)向け構成

32. 32
・なぜサービス・メッシュか？
No. セキュリティ戦略
SM-
AR1
サービス・メッシュ・コードをマイクロサービス・アプリケーション・コードに組込んで、
サービス・メッシュが、アプリケーション開発フレームワークで重要な役割を果たすよう
にすることができる
SM-
AR2
サービス・メッシュ・コードがライブラリとして展開されると、アプリケーションは、API
コール経由でサービス・メッシュにより提供されるサービスに結合される
SM-
AR3
サービス・メッシュ機能は、マイクロサービス・インスタンスの前にデプロイされた各プロ
キシとともにプロキシに展開され、マイクロサービスベース・アプリケーション向けのイン
フラストラクチャサービスを集合的に提供する（サイドカー・プロキシ）
SM-
AR4
サービス・メッシュ機能は、マイクロサービス・インスタンスごとではなく、ノードごとにデ
プロイされたプロキシ（例．物理的ホスト）とともにプロキシに展開される
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

33. 33
・マイクロサービス・ベース・アプリケーションのセキュリティ
項目 考慮点
認証と権限付与 ・認証／アクセスポリシーは、マイクロサービスが呼び出すAPIの種類に依存する
・証明に基づく認証は、公開鍵インフラストラクチャ（PKI)と鍵管理を要求する
サービス・ディスカバリー
（サービスリクエストの間に
サービスを発見する機能）
・動的に変わるロケーションを持った各サービスに関連して、相当数のサービスと多くのインスタン
スが存在する
・各マイクロサービスには、仮想マシン（VM)またはコンテナとして展開されたものがあり、動的
にIPアドレスが割り当てられた可能性がある
・サービスに関連するインスタンスの数は、負荷変動によって異なる
ネットワーク・レジリエンス
技術を介した可用性の向上
・ロードバランサー（負荷分散）
・サーキットブレーカー（遮断機能）
・レート制限／調整
・ブルー／グリーン・デプロイメント
・カナリア・リリース
アプリケーション監視の要求
事項
・分散ロギング、メトリクス生成、分析パフォーマンス、追跡を介したマイクロサービスの内外の
ネットワークトラフィックのモニタリング
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

34. 34
・サービス・メッシュの定義と技術的背景(1)
項目 考慮点
マイクロサービスの機能 ・ビジネスロジック：ビジネス機能、計算処理、サービス構成／統合
・ネットワーク機能：サービス間の通信メカニズム
サービス・メッシュのコン
ポーネント
データプレーン：アプリケーションからのリクエストをフォワードする機能を提供するデータパス
コントロールプレーン：メッシュに渡ってデータプレーン（プロキシ）の行動を制御・構成するために
使用されるAPIツール類
サービス・メッシュの機
能
・認証と権限付与
・サービスディスカバリー
・セキュアなコミュニケーション
・コミュニケーション向けのレジリエンス／安定性機能
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

35. 35
・サービス・メッシュの定義と技術的背景(2)
項目 考慮点
Ingressコントロー
ラー
・サービスメッシュ内部にある実際のAPIを覆っているすべてのクライアント向けの共通API
・HTTP／HTTPSのようなwebに適したプロトコルから、RPC／gRPC／RESTのようなマイクロサー
ビスが使用するプロトコルへのプロトコル変換
・クライアントからのシングルコールに対応して、サービスメッシュ内部の複数サービスへのコールから受け
取った結果の構成
・負荷分散
・パブリックTLS終了
Egressコントロー
ラー
・メッシュ外にあるマイクロサービス向けのマイクロサービスから発生する内部トラフィックをコントロールす
るサービス・プロキシ
・外部ネットワークへの通信をホワイトリスト化する単一セットのワークロード（例．ホスト、IPアドレス）
・資格情報の交換：外部システムの資格情報に直接アクセスするアプリケーションなしに、内部のID資
格情報から外部の資格情報（例．SSOトークン、API鍵）に変換する
・webに適したプロトコル（例．HTTP／HTTPS）から、マイクロサービスに適したプロトコル（例．
RPC／gRPC／REST）へのプロトコル変換
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

36. 36
・サービス・メッシュの定義と技術的背景(3)
項目 考慮点
通信ミドルウェアとし
てのサービス・メッ
シュ：相違点
・伝統的な分散システム向けミドルウェア：アプリケーションデリバリー・コントローラー（ADC)、負荷分
散装置、APIゲートウェイ
・マイクロサービスの通信トラフィックの特徴：「東西」＞「南北」
• 「南北」トラフィック：クライアントとアプリケーション間の通信トラフィック
• 「東西」トラフィック：マイクロサービス間の通信トラフィック
・軽量通信ミドルウェアとしてのサービス・メッシュ：プロダクションアプリケーションとして許容できるパ
フォーマンス・レベルが要求される
・クラウドネイティブ・アプリケーションの機能として、マイクロサービス・アプリケーションが、コンテナなしで
導入されるケース：サービスベース・アーキテクチャ、APIドリブン通信、コンテナベース・インフラストラク
チャ、DevOpsプロセスに関するバイアスなど
サービス・メッシュ：最
先端の手法
・各マイクロサービスをコンテナとして展開する
・アプリケーションは、コンテナ・オーケストレーション・ツールを利用して管理されるコンテナ・クラスター（可
用性とパフォーマンスの向上目的）を活用する
・クラウドプロバイダーが提供し、コンテナ管理／オーケストレーション環境に必要な展開／構成ツールを
有するContainer as a Service (CaaS) 経由で、アプリケーションをホストする
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

37. 37
サービス・メッシュ展開の推奨事項
• サービス・プロキシー向け通信構成（1）
項目 推奨事項 概要
SM-
DR1
サービス・プロキシーに
許容されたトラフィック
に関する推奨事項
サービス・プロキシーが関連サービス向けのトラフィックを受容できるプロトコルおよびポートの
セットを指定する機能があるべきである。デフォルトで、サービス・プロキシは、この構成により
指定された通り、トラフィックの例外を許容スべきでない。
SM-
DR2
サービス・プロキシーの
到達可能性に関する
推奨事項
サービス・プロキシーが到達できるサービス・セットは制限されるべきである。名前空間、すなわ
ち所与の名前空間またはサービスのランタイム・アイデンティティ内で特別に命名されたサービ
スに基づいてアクセスを制限する機能があるべきである。サービス・メッシュのコントロール・プ
レーンへのアクセスは、常に、リレー・ディスカバリー、異なるポリシー、テレメトリーデータに提
供されるべきである。
SM-
DR3
プロトコル転送機能に
関する推奨事項
サービス・プロキシーは、ターゲットのマイクロサービスよりも、クライアントの異なるプロトコル
との通信を支援する組込み機能を有するべきである（例．REST／HTTPリクエストからｇ
RPCリクエストへの変換またはHTTP／1.1からHTTP／2への更新）。これにより、攻撃表
面を増加させる、クライアントごとに分離したサーバー構築へのニーズを回避することが要求
される。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

38. 38
• サービス・プロキシー向け通信構成（2）
項目 推奨事項 概要
SM-
DR4
ユーザーの拡張可能
性に関する推奨事項
サービス・プロキシは、ネットワーク機能を処理する組込ロジックに加えて、カスタム・ロジックを
定義するための機能を有するべきである。これにより、ユースケース固有のポリシー（例．予
め存在するまたは自家製のポリシー・エンジン）を展開するために、サービス・プロキシを拡張
できることの保証が要求される。この展開では、サンドボックス化、使用する言語のAPI／ラ
ンタイム制限、または安全を保証する事前分析の実行（例．WASM、eBPF）など、拡張
性のリスクをコントールする手段を提供すべきである。
SM-
DR5
プロキシー向け動的構
成機能に関する推奨
事項
静的構成に加えて、動的にプロキシを構成する（例．イベント・ドリブン構成アップデート）
選択肢があるべきである。言い換えれば、既知の展開時よりも、動的であることが見込まれ
る主体向けのディスカバリー・サービスがあるべきである。さらに、従来の構成下で未解決のリ
クエストを効率的に処理する（例．完了または終了）一方、プロキシはランタイム時、新た
な動的構成へ原子的に交換すべきである。これにより、ユーザートラフィックの劣化やダウンタ
イムなく（例．サービス・プロキシを再起動することなく）、ランタイム時、迅速にポリシー変更
を強制することが要求される。
SM-
DR6
アプリケーション・サー
ビスとプロキシ間の通
信構成に関する推奨
事項
アプリケーション・サービスおよびその関連プロキシは、ループバック・チャンネル（例．ローカ
ルホストIPアドレス、UNIXドメイン・ソケットなど）経由のみで通信すべきである。さらに、
サービス・プロキシは、すべての交換データ・パケットが暗号化された相互TLS（mTLS）セッ
ションを設定することによってのみ個々の通信を行うべきである。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

39. 39
• Ingressプレキシー向け構成
項目 推奨事項 概要
SM-
DR7
Ingressプレキシー
に関する推奨事項
サービス・プロキシのように、Ingress（スタンドアロン）プロキシ向けにトラフィック・ルーティ
ング・ポリシーを構成する機能を有すべきである。アプリケーション・ディプロイメントのエッジま
で幅広くルーティング・ポリシーの一貫した強制が要求されるため、これが必要とされる。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

40. 40
• 外部サービスへのアクセス向け構成
項目 推奨事項 概要
SM-
DR8
外部リソースへのアク
セス制限に関する推
奨事項
外部リソースまたはメッシュ外部のサービスへのアクセスは、デフォルトで無効化し、特定の目
的地へのアクセスを制限する明示的ポリシーよってのみ許容されるべきである。加えて、外部
リソースまたはサービスは、サービス・メッシュ自体のサービス（例．サービス・メッシュのサービ
ス・ディスカバリー・メカニズムに含まれる）としてモデル化すべきである。
SM-
DR9
外部リソースへのセ
キュアなアクセスに関
する推奨事項
サービス・メッシュ内部のサービス向けに構成される、同様の可用性向上機能（例．タイムア
ウト、サーキットブレーカー）が、外部リソースおよびサービスへのアクセス向けに提供される
べきである。
SM-
DR10
Egressプロキシーに
関する推奨事項
サービスおよびIngressプロキシのように、Egress（スタンドアロン）プロキシ向けにトラ
フィック・ルーティング・ポリシーを構成する機能を有すべきである。ディプロイされた時、外部リ
ソースおよびサービスへのアクセスは、これらEgressプロキシにより調整されるべきである。
Egressプロキシは、アクセスおよび可用性のポリシー（SM-DR8）を展開スべきである。こ
れは、伝統的なネットワークに基づくセキュリティ・モデルとともに作業するのに役立つ。たとえ
ば、インターネットへのアウトバウンド・トラフィックが、ネットワーク内の特定のIPからのみ許
容されると仮定する；Egressプロキシは、メッシュにおける一連のサービス向けのトラフィック
を代理する一方、そのアドレスとともに稼働するよう構成することができる。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

41. 41
• アイデンティティ／アクセス管理向け構成（1）
項目 推奨事項 概要
SM-
DR11
ユニバーサル・アイデ
ンティティ・ドメインに
関する推奨事項
マイクロサービスのすべてのインスタンスのアイデンティティは、一貫性があり一意であるべきで
ある－稼働場所に関係なく共通の名前を有すべきであるという点で一貫性があり、システム
全体に渡ってという点で一意であり、サービス名がそのサービスに対応してさえすればよい。こ
れは、異なるロケーションに異なる論理的サービスがあることを意味しているのではない；
個々のサービスに各自のDNS名が割り当てられた、典型的なドメインネームシステム
（DNS)の利用は、この推奨事項を満たしている。サービス向けの一貫した名前（アイデン
ティティ）では、システムポリシーが管理可能であることが要求される。
SM-
DR12
証明書の展開の署
名に関する推奨事項
サービス・メッシュのコントロールプレーン証明管理システムでは、自己署名により証明を生成
する機能を停止すべきである。この機能は、サービス・メッシュにおいて、他のすべてのアイデン
ティティ証明向けにイニシャルサインを自動実行するために、しばしば利用される。その代わり、
メッシュのコントロールプレーンで利用される署名証明が、常に企業の既存のPKIの信頼の
基点（Root of Trust）に根付いたものである必要がある。これは、既存のPKI（例．
失効または監査向け）により、証明の管理を簡素化するものである。さらに、我々は、ロー
テーションを簡素化し、きめの細かい失効を可能にするために、別個の中間署名証明が異な
るドメイン向けに生成されるべきことを推奨している。
SM-
DR13
アイデンティティ証明
書の更新に関する推
奨事項
マイクロサービスのアイデンティティ証明の有効期間は、インフラストラクチャ内部で管理可能
なように、可能な限り短く－できれば時間の順序に従うべきである。攻撃者は、資格情報が
失効するまでの間、資格情報を利用しさえすればサービスになりすますことができるが、資格
情報を成功裏に再び奪うことは、攻撃者にとってますます難しくなっているので、この方法は
攻撃を制限するのに役立つ。

42. 42
• アイデンティティ／アクセス管理向け構成（2）
項目 推奨事項 概要
SM-
DR14
アイデンティティ変更
におけるサービス・プ
ロキシーのサイクル接
続に関する推奨事項
サービス・プロキシのアイデンティティ証明がローテーションしている時、サービス・プロキシは、
既存のコネクションを効率的に終了して、新たな証明とともに、すべての新たなコネクションを
設定すべきである。証明書は、mTLSのハンドシェイクの間のみ有効なので、新たな証明が
発行された時に既存のコネクションを置き換えることは厳格に要求されない；むしろ、遅れず
に攻撃を制限するために重要である。
SM-
DR15
アイデンティティ証明
書に署名しない場合
の推奨事項
マイクロサービスを識別するために利用される証明書は、署名認証であってはならない。
SM-
DR16
証明書発行前の
ワークロード認証に
関する推奨事項
サービス・メッシュのコントロールプレーンの証明管理システムは、アイデンティティ証明を発行
する前に、サービス・インスタンスの認証を実行すべきである。多くのシステムでは、システムの
オーケストレーション・エンジンに対するインスタンスを証明し、他のローカル証明（例．HSM
から収集した鍵）を利用することによって、これが達成可能となる。
SM-
DR17
セキュアなネーミング
サービスに関する推
奨事項
mTLSに利用される証明が、サーバー・アイデンティティを実行したら、サーバー・メッシュは、
セキュアなディスカバリー・サービスまたはDNSによって提供されるマイクロサービス名に、サー
バー・アイデンティティをマッピングするセキュアな命名サービスを提供スべきである。この要求
事項は、サーバーがマイクロサービス向けに認可されたロケーションであることを保証し、ネット
ワークハイジャックから保護するために必要である。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

43. 43
• アイデンティティ／アクセス管理向け構成（3）
項目 推奨事項 概要
SM-
DR18
きめ細かいアイデン
ティティに関する推奨
事項
個々のマイクロサービスは、各自のアイデンティティを有すべきであり、このサービスのすべての
インスタンスは、ランタイム時に同じアイデンティティを示すべきである。これにより、所与の名
前空間において、マイクロサービスのレベルでアクセスポリシーが適用されることが可能となる。
これが要求されることによって、サービスごとでなく、名前空間ごとにアイデンティティを発行す
ることが、共通のマイクロサービスのランタイムにおけるデフォルトとなり、同一の名前空間にあ
るすべてのサービスが、特に指定されない限り、共通のランタイムのアイデンティティとなる。加
えて、ラベルは、サービス名（アイデンティティ）を増大させて、きめの細かいロギング構成を
可能にし、きめの細かい認可ポリシーをサポートするために、利用することができる。
SM-
DR19
認証ポリシーのス
コープに関する推奨
事項
認証のポリシー・スコープを指定する機能は、最低限、以下の選択肢を有すべきである：
(a)すべての名前空間におけるすべてのマイクロサービス、(b)特別な名前空間におけるすべ
てのマイクロサービス、(c)所与の名前空間における特定のマイクロサービス（SM-DR17で
参照したランタイム・アイデンティティを利用）。
SM-
DR20
認証トークンに関す
る推奨事項
トークンは、その中に含まれる要求が認証を保証するように、デジタル的に署名・暗号化され
るべきであり、アクセスコントロールに関する意思決定を構築するために、認証されたアイデン
ティティの増強またはその一部として利用することができる。さらに、これらのトークンは、ルー
プバック・デバイス経由（ネットワーク・パスが含まれていないことを保証するため）または暗
号化されたチャンネル経由のみで通過させるべきである。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

44. 44
• 監視機能向け構成
項目 推奨事項 概要
SM-
DR21
イベントのロギングに
関する推奨事項
プロキシは、入力の妥当性エラーおよび特別な（予期しない）パラメーターのエラー、クラッ
シュ、コアダンプをロギングすべきである。共通の攻撃検知機能には、Bearerトークン再利
用攻撃およびインジェクション攻撃が含まれるべきである。
SM-
DR22
リクエストのロギング
に関する推奨事項
プロキシは、少なくとも、不規則なリクエスト（例．HTTP使用時の200番以外のレスポン
ス）向けの共通ログ形式フィールドをロギングすべきである。成功したリクエスト（例．200
番レスポンス）のロギングは、メトリックが利用可能な時、ほとんど意味がない傾向がある。
SM-
DR22
ログメッセージのコン
テンツに関する推奨
事項
ログメッセージは、最低限、イベントの日時、マイクロサービス名またはアイデンティティ、リクエ
ストトレースID、メッセージおよびその他コンテキスト情報（例．ユーザー識別子とURLのリ
クエスト時）を含むべきである。しかしながら、たとえばBearerトークンなど、機微な情報を
覆うために注意を払うべきである。
SM-
DR23
必須指標に関する推
奨事項
外部クライアントおよびマイクロサービスの呼び出し向けにサービス・メッシュを使用してメト
リックを収集するための構成には、最低限、(a)所与の期間におけるクライアント／サービス
のリクエスト数、(b)failureコードによる失敗したクライアント／サービスのリクエスト数、
(c)サービス当たりの平均レーテンシーおよび完了リクエストのライフサイクル当たり平均総
レーテンシー（理想的にはヒストグラム；またはfailureコードによる）を含むべきである。
SM-
DR24
分散トレーシングの
展開に関する推奨事
項
分散トレーシングの展開向けにサービス・プロキシを構成する時、アプリケーション・サービスが、
受け取った通信パケットのヘッダーを転送するように設定されていることを確認するよう注意を
払うべきである。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

45. 45
• ネットワーク・レジリエンス向け構成
項目 推奨事項 概要
SM-
DR25
サービス・インスタンス
のヘルスチェックの展開
に関する推奨事項
再試行、タイムアウト、サーキットブレーカーまたはカナリア・デプロイメントに関連するデータ
（一般的にすべてのコントロールプレーン構成データ）は、キーバリューストアのような、堅
牢なデータストアに保存スべきである。
SM-
DR26
サービス・インスタンス
のヘルスチェックの展開
に関する推奨事項
再試行、タイムアウト、サーキットブレーカーまたはカナリア・デプロイメントに関連するデータ
（一般的にすべてのコントロールプレーン構成データ）は、キーバリューストアのような、堅
牢なデータストアに保存スべきである。
項目 推奨事項 概要
SM-
DR27
オリジン間リソース共
有(CORS)に関する
推奨事項
エッジサービス（例．マイクロサービスのエントリーポイント）は、web UIクライアント・サー
ビスとしてのように、外部サービスと通信するCORS向けに構成されることがしばしばあり得る。
エッジサービス向けのCORSポリシーは、マイクロサービス・アプリケーション・サービスのコード
を経由して処理するよりも、サービス・メッシュ機能（例．」IstioにおけるVirtualService
リソースのCorsPolicy構成）を利用して構成されるべきである。
• オリジン間リソース共有(CORS)向け構成
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

46. 46
• 管理運用向け許可の構成
項目 推奨事項 概要
SM-
DR28
管理運用向けアクセ
ス・コントロールに関
する推奨事項
名前空間、名前空間内で命名されたサービスなど、すべてのサービスレベルで指定可能な、
サービス・メッシュにおける全管理運用向けの粒度の細かいアクセス・コントロール許可（例．
ポリシー指定、サービス・レジリエンシー・パラメーター向けの構成パラメーター、カナリア・デプ
ロイメント、再試行など）を有すべきである。一般的に、この機能を実行するインタフェースは、
サービス・メッシュ自体の一部でなく、アプリケーションサービス・クラスターの構成に利用され
るインストール用ソフトウェアまたはオーケストレーション・ソフトウェアの一部であることがある。
出典：NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」（2020年5月）

47. 47
AGENDA
• 4. まとめ／Q&A
https://www.linkedin.com/in/esasahara
https://www.facebook.com/esasahara
https://twitter.com/esasahara