見出し画像

Seccompとは?コンテナセキュリティを支える仕組み

toshi

Seccomp(Secure Computing Mode)は、Linuxカーネルが提供するセキュリティ機能のひとつで、特定のシステムコール(syscall)だけを許可する仕組みです。この機能を使うことで、プロセスが実行できる操作を制限し、不正な動作や攻撃のリスクを軽減できます。

本記事では、Seccompの基本的な仕組みや実際の活用方法をまとめていきます。

Seccompとは?

Seccompは、Linuxプロセスが使用できるシステムコールを制限することで、攻撃者が悪用可能なシステムコールを遮断する仕組みです。システムコールは、プロセスがカーネルにアクセスしてファイル操作やネットワーク通信を行う際に利用されるものです。

簡単に言えば、Seccompは「プロセスができること」を厳密に管理するフィルタリング機能です。

Seccompの動作モード

Seccompには2つの主要な動作モードがあります:

1. Strictモード

  • システムコールを極限まで制限します。

  • 許可されるのは基本的な操作(例: read, write, exit)のみ。

  • 他のシステムコールを実行しようとすると即座にプロセスが終了します。

  • 使用例:シンプルな計算アプリや、動作が非常に限定されたプログラム。

2. Filterモード

  • 許可するシステムコールを柔軟に設定できます。

  • Berkeley Packet Filter(BPF)を使用して、システムコールごとに動作を定義。

  • DockerやKubernetesなどのコンテナ技術でよく使われます。

Seccompを活用する場面

1. Dockerでの利用

Dockerでは、Seccompを使ってコンテナの安全性を高めています。
例えば、次のような危険なシステムコールが制限されます:

  • keyctlやmount:ホストシステムの設定変更に悪用される可能性がある。

  • kexec_load:カーネルに直接影響を与える可能性がある。

このように、Seccompはコンテナ内でのプロセスがホスト全体に影響を与えないように設計されています。

2. アプリケーションのセキュリティ強化

Seccompを使うと、必要なシステムコールだけを許可することで、アプリケーションの攻撃対象範囲を最小限に抑えられます。

実際のコード例(C言語)

以下のコードでは、writeとexitだけを許可し、それ以外のシステムコールを禁止しています:

#include <seccomp.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main() {
    // seccompを初期化し、デフォルトで禁止
    scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL); 

    // 許可するシステムコールを追加
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);

    // Seccompを適用
    if (seccomp_load(ctx) < 0) {
        perror("seccomp_load failed");
        exit(1);
    }

    // 許可されたシステムコール
    write(STDOUT_FILENO, "Hello, Seccomp!\n", 16);

    // 禁止されたシステムコール(ここでプロセスが終了)
    fork();

    return 0;
}

この例では、writeは正常に動作しますが、forkを呼び出すとプロセスが即座に終了します。

Seccompをわかりやすく例えると?

Seccompは「門番」として考えるとわかりやすいです。以下のように例えられます:

1. 門番としてのSeccomp

イメージとしては、Seccompは建物の入り口に立つ「厳格な門番」です。

  • プロセス(訪問者)が何か行動(システムコール)を起こすたびに、門番(Seccomp)が「この行動は許可されているか?」をチェックします。

  • 許可された行動(例えばファイルを読む)は門番を通過できますが、許可されていない行動(カーネルに直接変更を加える)は即座に止められます。

2. 例:空港のセキュリティゲート

Seccompを空港のセキュリティゲートに例えると:

  • システムコール:旅行者が持っている荷物や行動。

    • 必要な荷物(パスポートやチケット)は通過可能。

    • 危険物(ナイフや爆薬)は通過できません。

  • Strictモード
    最小限の持ち物だけが許可されるVIP専用の簡易ゲート。

  • Filterモード
    旅行者ごとに荷物や行動を細かくチェックして許可を決める通常のセキュリティゲート。

Seccompのメリット

  1. セキュリティ強化
    システムコールを制限することで、不正アクセスや攻撃を最小限に抑えられます。

  2. 軽量かつ高速
    他のセキュリティツールと比べてオーバーヘッドが少なく、効率的。

  3. 柔軟性
    Filterモードを使えば、必要に応じたきめ細かい設定が可能。

Seccompの限界

  1. 設定の複雑さ
    大規模なアプリケーションでは、許可すべきシステムコールのリストを管理するのが大変。

  2. 他の脆弱性には無力
    Seccompはシステムコールを制限するだけで、アプリケーションそのものの脆弱性は防げません。

  3. Linux専用
    SeccompはLinuxカーネルに依存しているため、他のOSでは利用できません。

まとめ

Seccompは、Linuxプロセスの「門番」として機能するセキュリティ機能です。DockerやKubernetesなどのコンテナ技術で利用され、システムコールを制限することで攻撃対象を減らし、セキュリティを大幅に向上させます。

軽量で柔軟な設計により、コンテナだけでなく、アプリケーションやサンドボックス環境のセキュリティ向上にも活用できます。ただし、他のセキュリティツールと組み合わせて利用することで、より強固な防御を実現できるでしょう。

Seccompを使うことで、自分のシステムにどんな「門番」を置くかを選べるようになります。ぜひこの仕組みを試して、アプリケーションを安全に守りましょう!

いいなと思ったら応援しよう!