// シス担のミカタ
クラウドセキュリティ

Aqua Security あくあ せきゅりてぃ

コンテナセキュリティKubernetesDevSecOpsクラウドネイティブ脆弱性スキャンランタイム保護
Aqua Securityについて教えて

簡単に言うとこんな感じ!

コンテナやKubernetesを使ったシステムを「中身ごと守る」ためのセキュリティ専門ツール会社だよ!「コンテナ」という箱に入ったアプリを、箱ごとX線検査して危険なものを見つけてくれる、クラウド時代の警備会社みたいな存在なんだ!

Aqua Securityとは

Aqua Security(アクア セキュリティ)は、2015年にイスラエルで創業されたクラウドネイティブ・セキュリティの専門ベンダーです。特にコンテナDockerなど)・Kubernetesサーバーレスといった現代的なインフラを対象に、開発から本番稼働まで一貫してセキュリティを担保するプラットフォームを提供しています。

同社の製品群は、DevSecOps(開発・セキュリティ・運用を一体化するアプローチ)の考え方に基づいており、「作る段階で脆弱性を見つけ、動かしている最中も監視する」という思想が根幹にあります。従来のファイアウォールやウイルス対策ソフトは仮想マシンやサーバーを前提に設計されていたため、コンテナ特有のリスク(イメージの改ざん・特権昇格・コンテナエスケープなど)には対応しきれないケースが多く、Aqua Securityはそのギャップを埋めるために登場しました。

日本国内でも金融・製造・通信など、クラウドネイティブな開発を進める大手企業での導入事例が増えており、システム発注や開発委託時に「コンテナセキュリティ要件」として名指しで指定されることも珍しくありません。

Aqua Securityの主要機能と仕組み

Aqua Securityのプラットフォームは、ソフトウェアのライフサイクル全体をカバーする形で機能が設計されています。

フェーズ機能具体的な働き
開発(Build)イメージスキャンコンテナイメージ内のOSパッケージやライブラリの脆弱性を検出
配布(Ship)レジストリスキャンDockerHubやECRなどに保存されたイメージを継続的に検査
稼働(Run)ランタイム保護動作中のコンテナを監視し、不審な挙動を即時ブロック
横断ポリシー管理「このコンテナはrootで動かさない」などのルールを一元管理
横断コンプライアンスCIS BenchmarkやPCI DSSなどへの準拠状況をレポート

Aquaが守る主な脅威

  • コンテナイメージの改ざん:不正なライブラリが混入したイメージのデプロイを防ぐ
  • コンテナエスケープ:コンテナの外(ホストOS)に侵入する攻撃をブロック
  • シークレットの漏洩APIキーやパスワードがコードやイメージに埋め込まれていないか検出
  • 過剰な権限:必要以上の権限を持つコンテナ設定を警告

覚え方:「3つのScan」

Aqua Securityの守備範囲を覚えるなら 「作る→保存→動かす」の3段階スキャン と覚えると整理しやすいです。英語では Build / Ship / Run と呼ばれます。

歴史と背景

  • 2013年頃:Dockerの登場によりコンテナ技術が急速に普及し始める
  • 2014年:Kubernetesがオープンソースとして公開。コンテナのオーケストレーション(大量管理)が現実的になる
  • 2015年:Amir Jerbi・Dror Davidoffらがイスラエルでaquaを創業。コンテナに特化したセキュリティという当時は珍しいニッチ領域を選択
  • 2017年:シリーズBで2,500万ドルの資金調達。エンタープライズ向け製品が充実
  • 2019年:オープンソースプロジェクト「Trivy」を公開。コンテナイメージの脆弱性スキャナーとして世界中の開発者に普及
  • 2021年:評価額10億ドル超のユニコーン企業に。累計調達額は数億ドル規模に達する
  • 2022年以降:AWS・Azure・GCPのマーケットプレイスに掲載。クラウドプロバイダーとのパートナーシップを強化
  • 現在:CNCFのプラチナメンバーとして、クラウドネイティブセキュリティの標準化にも貢献

関連技術・製品との比較

Aqua Securityは単独で存在するわけではなく、競合・補完製品と組み合わせて使われることも多いです。

製品・サービス提供元特徴Aquaとの関係
TrivyAqua Security(OSS)無料の脆弱性スキャナー。CIに組み込みやすいAquaの商用版の入口・補完
Prisma CloudPalo Alto Networksクラウド全体をカバー。Aquaより広範囲競合(大規模エンタープライズ向け)
Sysdig SecureSysdigFalcoベースのランタイム監視に強み競合(ランタイム重視)
SnykSnyk開発者向けコード・依存関係スキャン補完(Buildフェーズ)
AWS InspectorAmazonAWSネイティブの脆弱性検出補完(AWS環境限定)

Aqua Securityのプラットフォーム構造

Aqua Security — Build / Ship / Run カバレッジ 🔨 Build (開発フェーズ) ソースコードスキャン IaC / OSS ライブラリ検査 イメージスキャン Dockerfile / CVE 検出 シークレット検出 APIキー埋め込みを発見 CI/CD 統合 Jenkins / GitHub Actions 🚢 Ship (配布フェーズ) レジストリスキャン ECR / ACR / GCR 対応 イメージ署名・検証 改ざん防止・Notary対応 ポリシーゲート 合格しないと本番に出せない SBOM 生成 部品表を自動作成・管理 🏃 Run (稼働フェーズ) ランタイム保護 異常動作をリアルタイム検知 ネットワーク制御 コンテナ間通信を可視化 Drift 検知 起動後の改ざんを検出 インシデント対応 自動ブロック・アラート 🛡️ 共通基盤(全フェーズ横断) ポリシー一元管理 全フェーズにルールを適用 コンプライアンスレポート PCI DSS / CIS Benchmark SIEM / SOAR 連携 Splunk / Datadog 等に連携

関連用語

  • コンテナ — アプリケーションをOS依存なく動かせる軽量な実行環境
  • Kubernetes — 大量のコンテナを自動で管理・スケールするオーケストレーションツール
  • DevSecOps — 開発・セキュリティ・運用を統合したソフトウェア開発手法
  • 脆弱性スキャン — システムやソフトウェアの欠陥・弱点を自動検出する仕組み
  • SBOM — ソフトウェアの部品一覧表。何のライブラリが使われているかを管理する
  • ゼロトラスト — 「何も信頼しない」前提でアクセス制御を設計するセキュリティモデル
  • Trivy — Aqua Securityが開発したOSSのコンテナ脆弱性スキャナー
  • CSPM — クラウド環境の設定ミスや過剰権限を自動検出するセキュリティ管理ツール