目次

同じカテゴリの用語

• Machine Config Operator
• OpenShift OAuth

Security Context Constraint

英語表記: Security Context Constraint

概要

Security Context Constraint（SCC）は、Red Hat OpenShift環境において、コンテナが実行されるPodに対して適用されるセキュリティ権限とアクセス制御を定義するための強力なメカニズムです。これは、Kubernetesの標準的なセキュリティ機能（Pod Security Admissionなど）を補完し、企業環境で求められるより厳格で詳細なセキュリティポリシーを実現するためにOpenShiftが独自に提供している機能です。SCCは、Podがシステムリソースにアクセスする際の「許可証」のような役割を果たし、Podの実行を許可する前に、要求されたセキュリティ設定がポリシーに違反していないかを厳密にチェックします。

詳細解説

オープンシフトにおけるセキュリティの核

SCCは、私たちが議論している「オーケストレーション（Kubernetes, OpenShift） → OpenShift と企業向け拡張 → 管理/セキュリティ」という文脈において、特に「管理」と「セキュリティ」を両立させるための鍵となる要素だと感じています。Kubernetesは柔軟ですが、そのままでは特定のセキュリティ要件を満たせない場合があります。OpenShiftは、このSCCを導入することで、Podがホストシステムや他のリソースに与える影響を細かく制限し、セキュリティリスクを大幅に軽減することを目指しています。

目的と動作原理

SCCの主な目的は、最小権限の原則をコンテナワークロードに適用することです。コンテナは隔離されているとはいえ、もしセキュリティ上の脆弱性や設定ミスがあれば、ホストシステムへの権限昇格（エスカレーション）や、他のコンテナへの不正アクセスを許してしまう可能性があります。これを防ぐのがSCCの役割です。

具体的には、SCCは以下の要素を細かく制約できます。

1. 特権（Privileges）の制限: Podが特権モードで実行されることを許可するかどうか。特権モードは非常に危険なので、通常は厳しく制限されます。
2. ユーザーID/グループID（UID/GID）の管理: どのユーザーIDやグループIDでコンテナプロセスを実行できるかを指定します。ランダムなUIDを使用させることで、ホストシステムの既存ユーザーとの衝突や権限の悪用を防ぐことができます。
3. ボリュームアクセス: ホストパスや特定の種類のボリュームへのアクセスを許可するかどうか。ホストのファイルシステムにアクセスできると、コンテナからの脱出（コンテナエスケープ）のリスクが高まります。
4. 機能（Capabilities）の制限: Linuxカーネルの特定の機能（ネットワーク操作、ファイル所有権の変更など）の使用を許可するかどうか。不要な機能はすべて無効化することが推奨されます。

Podが作成される際、OpenShiftのコントロールプレーンは、そのPodが要求するセキュリティコンテキストと、Podに関連付けられたService Accountに紐づけられているSCCのリストを照合します。もしPodの要求がいずれかの許可されたSCCの制約を満たしていれば、Podの実行が許可されます。もし一つも満たさなければ、Podの作成は拒否されます。この厳格なチェック機構があるおかげで、私たちは安心してワークロードを展開できるわけですね。

主要コンポーネント

SCCの実装において重要なのは、以下の点です。

• SCCリソース: 制限事項を具体的に定義した設定ファイル（YAML形式）です。OpenShiftには、restricted（最も制限が厳しい）、anyuid（任意のUIDを許可）など、標準でいくつかのSCCが提供されています。
• Service Account: PodはService Accountを使用して実行されます。SCCは通常、このService Accountに対して紐付けられます。これにより、特定のアプリケーション群（Service Account）に対して、特定のセキュリティポリシー（SCC）を適用することが可能になります。

企業向けのOpenShift環境では、管理者（「管理/セキュリティ」の担い手）が、アプリケーションの特性に応じてカスタムSCCを作成し、それを開発チームが使用するService Accountに割り当てる運用が一般的です。この仕組みにより、開発者はセキュリティを意識しすぎることなくアプリケーションをデプロイでき、管理者は一元的にセキュリティポリシーを担保できるという、素晴らしい分業体制が実現します。

具体例・活用シーン

SCCの役割を理解するために、具体的な例と分かりやすい比喩を考えてみましょう。

• 活用シーン1: 標準的なWebアプリケーションのデプロイ

  • 多くのWebアプリケーションは、特権的なアクセスを必要としません。この場合、管理者は最も制限の厳しい標準SCCの一つであるrestricted SCCをService Accountに割り当てます。
  • もし開発者が誤ってPod定義ファイルでprivileged: true（特権モード）を設定しようとしても、SCCチェックで拒否されます。これにより、設定ミスによる重大なセキュリティホールを防ぐことができます。これは「管理/セキュリティ」の観点から非常に重要です。

• 活用シーン2: 特定のハードウェアアクセスが必要なワークロード

  • 監視エージェントやストレージ連携ツールなど、ホストシステムのリソース（例：特定のデバイスファイル）への限定的なアクセスが必要なPodが存在します。
  • この場合、管理者は、必要なデバイスへのアクセスのみを許可し、他の危険な設定（例：ホストネットワークの使用）は禁止する、カスタマイズされたSCCを作成して適用します。これにより、必要な機能は維持しつつ、セキュリティリスクを最小限に抑えることが可能になります。

比喩：空港のセキュリティチェックポイント

Security Context Constraint (SCC) は、「空港のセキュリティチェックポイント」のようなものだと考えると非常に分かりやすいです。

想像してみてください。あなたは飛行機（Pod）に乗ろうとしています。

1. 搭乗券（Podの要求）: あなたは搭乗券を持っています。そこには「私はライター（特権アクセス）を持ち込みたい」と書いてあるかもしれません。
2. セキュリティポリシー（SCC）: 空港には明確なポリシー（SCC）があります。「ライターの持ち込みは禁止」または「ライターは1つまで許可」など、複数のルールセットが存在します。
3. チェックプロセス: あなたがチェックポイント（OpenShiftのAdmission Controller）を通過しようとすると、係員はあなたの搭乗券の内容をポリシーと照合します。
4. 結果:
   • もしあなたが危険物（特権アクセスやホストネットワークアクセス）を要求していて、それがどのポリシー（SCC）にも許可されていなければ、あなたは飛行機に乗れません（Podの作成が拒否されます）。
   • もしあなたの要求が、許可されたポリシー（SCC）の範囲内であれば、搭乗が許可されます。

SCCのおかげで、管理者（空港当局）は、特定のユーザーグループ（Service Account）に対して、どのレベルのセキュリティチェック（SCC）を適用するかを細かく制御できるのです。これは、OpenShiftが企業向けの高度な「管理/セキュリティ」機能を提供している証拠だと言えますね。

資格試験向けチェックポイント

SCCは、OpenShift固有の機能であるため、ITパスポートや基本情報技術者試験で直接問われる可能性は低いですが、応用情報技術者試験や、より高度なクラウド/コンテナ関連の専門試験（例：Red Hat認定試験）では非常に重要なテーマです。

| 試験レベル | 典型的な問われ方と学習のポイント |
| :— | :— |
| ITパスポート/基本情報 | 「コンテナ技術を利用する際のセキュリティ対策として、最小権限の原則を適用する仕組みの重要性」といった、概念的な理解が問われます。具体的なSCCの名前よりも、「アクセス制御」や「権限分離」の文脈で理解しておきましょう。 |
| 応用情報技術者 | 「オーケストレーション環境における高度なセキュリティ管理手法」として出題される可能性があります。OpenShiftにおけるPodのセキュリティを強化する仕組みの名称や、Kubernetes標準機能（PSA）との違いを理解しておくことが重要です。キーワードとしては「最小権限の原則の実現」「コンテナエスケープ防止」「Pod単位のアクセス制御」を覚えておきましょう。 |
| 専門試験（例：クラウド、コンテナ） | SCCの具体的な設定項目（例：allowPrivilegedContainer、runAsUserの設定）や、標準SCC（restricted、nonrootなど）の特性、そしてService Accountとの紐付け方など、詳細な運用知識が問われます。「管理/セキュリティ」の視点から、いかにセキュアな環境を構築するかに焦点を当てて学習を進めてください。 |

重要ポイント: SCCは、Kubernetes標準のPod Security Admission (PSA) よりもきめ細やかな制御を可能にする、OpenShift独自の拡張機能である点を必ず押さえておきましょう。

関連用語

SCCはOpenShiftの「管理/セキュリティ」を支える重要な概念ですが、その周辺には、コンテナセキュリティを構成する多くの要素があります。

• Pod Security Admission (PSA): Kubernetesの標準機能として提供される、Podのセキュリティポリシー適用メカニズムです。SCCはPSAよりも詳細な制御を提供しますが、PSAはKubernetes全体で標準化されています。
• Service Account: Podがクラスター内部のリソースにアクセスするために使用するIDです。SCCはService Accountを通じてPodに適用されます。
• Security Context: Podやコンテナの定義内で指定されるセキュリティ設定（ユーザーID、特権設定など）です。SCCは、このSecurity Contextの内容を制限します。
• SELinux (Security-Enhanced Linux): ホストOSレベルでの強制アクセス制御（MAC）を提供する仕組みです。SCCはコンテナオーケストレーション層で機能しますが、SELinuxはOS層でセキュリティを強化します。

---

関連用語の情報不足:

現在、この項目ではSCCの直接的な関連用語を挙げましたが、読者が「オーケストレーション（Kubernetes, OpenShift） → OpenShift と企業向け拡張 → 管理/セキュリティ」という文脈でさらに深く学ぶためには、OpenShift固有のセキュリティ機能群（例：Network Policy、Operator Lifecycle Managementのセキュリティ側面）との連携に関する情報が必要です。具体的には、SCCが他のOpenShiftのセキュリティ機能とどのように協調して動作し、企業全体のセキュリティポリシーを形成するのか、その全体像を示す情報が不足しています。

---