AppArmor（アップアーマー）

2025年11月5日

AppArmor（アップアーマー）

英語表記: AppArmor

概要

AppArmorは、Linuxカーネルに組み込まれたセキュリティモジュールの一つで、強制アクセス制御（MAC: Mandatory Access Control）を提供します。これは、コンテナ技術におけるセキュリティ境界を堅牢にするための非常に重要な仕組みです。特に、DockerやPodmanといったコンテナランタイム環境で利用され、個々のコンテナがホストOS上で実行できる操作やアクセスできるリソースを厳密に制限することを目的としています。従来のアクセス制御（DAC）よりも強力な防御壁を築き、コンテナの脆弱性がホストシステム全体に波及するのを防いでくれる、頼もしい存在だと考えていただければわかりやすいかと思います。

詳細解説

AppArmorの目的と役割

私たちがAppArmorをコンテナ技術（Docker, Podman）→ セキュリティとガバナンス → コンテナセキュリティという文脈で捉えるとき、その最大の目的は「多層防御の実現」にあります。コンテナはホストOSのカーネルを共有して動作するため、もし一つのコンテナが攻撃者に乗っ取られてしまうと、ホストOSのカーネル機能を通じて他のコンテナやホストシステム自体にまで被害が及ぶリスクがあります。

従来のLinuxのアクセス制御（DAC）は、ユーザーやグループに基づいて権限を割り当てますが、もしコンテナ内のプロセスが特権ユーザー（root）として実行されてしまった場合、そのプロセスはホストOS上でも非常に広範な権限を持つことになり危険です。そこで登場するのがAppArmorのようなMAC機構です。

AppArmorは、プロセスの実行を「事前に定義されたセキュリティプロファイル」に基づいて強制的に制限します。これにより、たとえコンテナ内のプロセスがroot権限を持っていたとしても、プロファイルで許可されていない操作（例えば、特定のシステムファイルの読み書きやネットワーク機能の利用など）は実行できなくなります。これは非常に心強い仕組みですよね。

主要コンポーネント：セキュリティプロファイル

AppArmorの中心的な要素は「セキュリティプロファイル」です。これは、特定のプログラム（コンテナ内で実行されるメインプロセスなど）に対して、何を許可し、何を拒否するかを詳細に記述したポリシーファイルです。プロファイルには以下のような項目が含まれます。

ファイルアクセス制限: どのファイルやディレクトリに対して読み取り（r）、書き込み（w）、実行（x）を許可するかを指定します。例えば、コンテナに不必要なシステム設定ファイルへのアクセスを禁止できます。
ネットワークアクセス制限: ネットワークソケットの作成や特定のプロトコルの利用を許可または禁止します。
ケーパビリティ制限: Linuxカーネルの特定の特権機能（例えば、システム時刻の変更やデバイスへのアクセスなど）の利用を制限します。

このプロファイルは、ホストOSのカーネルによってロードされ、実行中のプロセスの動作をリアルタイムで監視し、強制的に制御します。

動作モード：強制（Enforce）と監査（Complain）

AppArmorのプロファイルには主に二つの動作モードがあります。

強制モード（Enforcement Mode）:
このモードでは、プロファイルに違反する操作はすべて即座にブロックされます。本番環境でセキュリティを確保するための標準的な運用モードです。攻撃者の不正な試みを水際で食い止めてくれるわけですから、非常に重要です。
監査モード（Complain Mode）:
このモードでは、プロファイルに違反する操作が発生しても、それをブロックせず、ログに記録するだけにとどめます。これは、新しいアプリケーションやコンテナのプロファイルを作成・テストする際に非常に役立ちます。アプリケーションの通常の動作を妨げることなく、必要なアクセス権を特定するために利用されます。

コンテナ技術におけるセキュリティ戦略として、AppArmorは、SELinuxやseccompなどと並び、コンテナの「攻撃対象領域（Attack Surface）」を最小化する上で欠かせない技術です。特にDockerでは、デフォルトでAppArmorが有効化されていることが多く、私たちが意識せずとも高いレベルのセキュリティが提供されていることが多いのです。

具体例・活用シーン

AppArmorの役割を理解するために、少し具体的な例とメタファーを用いて考えてみましょう。

アナロジー：厳格な執事とゲストハウス

AppArmorは、コンテナという「ゲストハウス」に配置された「厳格な執事」のようなものだとイメージしてください。

コンテナ（ゲストハウス）の中には、様々なサービス（ゲスト）が滞在しています。ゲストハウスの住人（プロセス）は、ホストOS（ゲストハウス全体）の資源を使っていますが、勝手に他の住人の部屋を覗いたり、建物の構造を変えたりしてはいけません。

ここでAppArmorという執事が登場します。執事は、各ゲストに対して「行動規範（セキュリティプロファイル）」を渡します。

ウェブサーバーのゲスト: 「あなたは、ウェブコンテンツが置かれている特定の棚（/var/www）にあるファイルしか触ってはいけません。夜間に外線電話（ネットワーク通信）をかけることは禁止です。」
データベースのゲスト: 「あなたは、データベース専用の金庫（/data）にのみアクセスが許可されます。他の部屋の鍵（システム特権）を勝手に作ることはできません。」

もし、ウェブサーバーのゲストが攻撃者に騙されて暴走し、勝手に金庫の鍵を盗もうとしたり、建物の電気配線（カーネル機能）をいじろうとしたりした場合、AppArmor執事は即座にそれを阻止します。「申し訳ございません。その行動は行動規範に反します」と、強制的に止めに入ってくれるのです。

このようにAppArmorは、個々のコンテナの行動を細かく監視・制限することで、万が一コンテナが侵害されたとしても、その被害をコンテナ内部に封じ込める（コンテナエスケープを防ぐ）役割を果たしてくれます。これはコンテナセキュリティの基本中の基本であり、非常に頼りになる機能です。

活用シーン：Dockerでのプロファイル適用

コンテナ技術においてAppArmorは頻繁に利用されます。

デフォルトプロファイルの利用: DockerやPodmanは、コンテナ起動時にデフォルトでセキュリティを強化したAppArmorプロファイルを適用します。これにより、ユーザーが意識しなくても、多くの危険なシステムコールやファイルアクセスが制限されています。
カスタムプロファイルの作成: 非常に機密性の高いアプリケーションや、特定の機能だけを必要とするコンテナの場合、ユーザーは最小限のアクセス権だけを許可するカスタムプロファイルを作成し、それをコンテナ起動時に指定します。これにより、セキュリティをさらに強化できます。
- 例: $ docker run --security-opt "apparmor=my_strict_profile" my_image

資格試験向けチェックポイント

AppArmorは、特にセキュリティ分野が出題される基本情報技術者試験や応用情報技術者試験において、コンテナセキュリティ対策の一環として知識が問われる可能性があります。

| 項目 | 試験で問われるポイントと対策 |
| :— | :— |
| 定義と種類 | AppArmorがLinuxカーネルの強制アクセス制御（MAC）機構であることを理解しましょう。任意アクセス制御（DAC）との違いを明確に区別することが重要です。 |
| コンテナセキュリティ | なぜコンテナにAppArmorが必要なのか？その理由は「カーネル共有によるホストOSへのリスク」を防ぐため、という点を押さえてください。AppArmorは、コンテナの多層防御における「ホストOSレベルの防御層」として機能します。 |
| プロファイルの役割 | AppArmorがポリシー（プロファイル）に基づいて動作することを理解しましょう。プロファイルは、ファイルアクセス、ネットワーク、システムコールなど、プロセスの行動を細かく規定するものです。 |
| 関連技術との比較 | AppArmorとSELinuxは、どちらもMACを提供しますが、AppArmorの方が設定が比較的容易であるという特徴があります。また、コンテナのシステムコールを制限するseccompと組み合わせて利用されることも多いです。これらの技術が「排他的なものではなく、相互に補完し合うもの」として理解しておくと、応用的な問題に対応できます。 |
| 出題形式 | 「コンテナ環境におけるセキュリティ対策として、プロセスの実行権限を細かく制御し、ホストOSへの影響を最小限に抑える技術はどれか」といった選択肢問題や、MACとDACの違いを説明させる記述問題が想定されます。 |