安全なコンテナイメージを作るための新しい業界標準: Docker Hardened Images
-- Views
April 17, 26
スライド概要
無償・OSSから始める、コンテナ脆弱性管理負荷を大幅に削減する新しいアプローチ
https://dockerjapan.connpass.com/event/388164/
多数のOSSで構成されているコンテナイメージは、近年急増する脆弱性を狙ったサプライチェーン攻撃の主要な標的となっています。Docker ではこれに対するアプローチとして、脆弱性や依存関係を大幅に削減したデフォルトで安全なイメージ「Docker Hardened Images(DHI)」をリリースし、2025年12月に Community Edition として一部無償・オープンソースで提供しました。
このセッションではこの DHI の仕組み・哲学から既存のコンテナイメージからの移行方法、エンタープライズレベルのSLA・コンプライアンスを適用する方法までご紹介します。
・Docker Hardened Images Community Edition の紹介
・イメージの選択方法・既存イメージからの移行方法
・Docker Hardened Images プランのアップデート (Community, Select, Enterprise, Extended Lifecycle Support)
複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOps、CI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。
関連スライド
各ページのテキスト
安全なコンテナイメージを作るための 新しい業界標準 Docker Hardened Images Tadashi Nemoto Strategic Solutions Engineer, Docker
Dockerfile FROM node:20-alpine OSAlpine Linux)とランタイム Node.js)、それに必要な依存関係がイ ンストールされたベースイメージを利用 WORKDIR /app RUN apk add --no-cache curl 必要な OS パッケージを個別に インストール COPY . . RUN npm install --production EXPOSE 3000 CMD ["npm", "start"] アプリケーションの依存パッケージ (npm, pip, Maven, RubyGem など) をインストール
ソフトウェアサプライチェーン攻撃 コンテナイメージには、多くの OSS の依存関係を含む ことになり、その依存関係の中に(意図的にインストー ルしていなくても)脆弱性が含まれている場合、自分た ちのコンテナイメージにも影響を受ける 1つのパッケージを改ざん・脆弱性を悪用するだけで、(意 図的にインストールしていないものも含め)多くのアプリ ケーションに悪影響を与えることが できる https://anchore.com/software-supply-chain-security/what-is-sscs/
脆弱性(CVEs)の急増とサプライチェーン攻撃の深刻化
Dockerfile FROM node:20-alpine WORKDIR /app RUN apk add --no-cache curl COPY . . RUN npm install --production EXPOSE 3000 CMD ["npm", "start"] ➔ ベースイメージにも多くの依存関係 と脆弱性が含まれている ➔ 開発者が容易に修正することが できない ➔ 一般的にはコミュニティが作成・ メンテナンスしている ➔ 脆弱性への対応がコミュニティの 努力次第 ➔ 発行元が不明確だと、マルウェアの 混入やバックドアが仕掛けられる 可能性も
CLI $ docker run -e POSTGRES_PASSWORD=dev \ -p 5432:5432 postgres:17.1 $ psql -h localhost -U postgres サードパーティーのイメージを本番環境などで動かした場合にも、 この依存関係・脆弱性の問題は残り続ける
Docker Hardened Images: Community Edition CVEs がほぼゼロのイメージを 1000 以上提供 シェルやパッケージマネージャーを含めない攻撃対象領域を 大幅に削減した distroless ランタイムイメージも提供 既存の Linux ディストリビューション Debian, Alpine) との高い互換性、簡単な移行を実現 SBOM, Provenance, CVE 情報の完全公開 SLSA Build Level 3 の実現 Apache 2.0 の完全なオープンソース
Docker Hardened Images 移行デモ
より強化されたセキュリティとコントロール Critical / High CVE に対する 7 日以内の修正を SLA として保証 FIPS / STIG 対応イメージを提供 追加コンポーネントなどを柔軟にカスタマイズ Docker の安全な環境で新しくイメージをビルドし、提供 オプションで Extended Lifecycle Support ELS を提供
DHI Enterprise で脆弱性を 24 時間以内に修正 Golang プロジェクトで広く使われている golang.org/x/crypto/ssh に影響を与える3つの脆弱性 (CVE-2025-47913, CVE-2025-47914, CVE-2025-58181) DHI Enterprise は 24 時間以内にパッチ修正版を リリース ● バッチスケジュールではなく、 CVE が発表されたら 即時に Docker(Scout) アドバイザリー データベースに取り込み、モニタリング ● SBOM を参照し、影響のある DHI イメージを 即時評価 ● 自動的にパッチワークフローを実施し、 修正版イメージを配布 https://www.docker.com/ja-jp/blog/how-docker-hardened-images-patch-cves-in-24-hours/
柔軟なカスタマイズ
Extended Lifecycle Support ELS アップストリーム(開発元)のサポートが終了した後も、イメージのパッチを継続して提供 5 年以上のイメージ・ SBOM の更新を提供 EOLサポート終了 ) 後も セキュリティ・コンプライアンスを維持 長期間実行する、ミッションクリティカルな アプリケーション・ワークロードに最適
2026/03 Docker Hardened System Packages 8000 以上の OS パッケージを Docker がソースコード からビルド・署名し、個別にセキュリティ強化 全ての DHI イメージの OS パッケージは Hardened Systems Packages から構成 DHI のカスタマイズ (有償版 Select, Enterprise) では Hardened System Packages を個別に追加可能 CVE 修正に対する SLA サポート範囲内 (有償版 Select, Enterprise)
Docker Hardened Images のみ Docker Hardened Images → Dockerfile に個別 に OS パッケージ を追加 → Output image Not fully hardened × Docker Hardened Images + Hardened System Packages Docker Hardened Images → Hardened System Packages を カスタマイズで追加 Output image → Fully hardened ✓ SLA 保証
すべてのチームに、安全で最小構成のコンテナイメージを
Thank you!! [email protected]