---
title: 安全なコンテナイメージを作るための新しい業界標準: Docker Hardened Images
tags:  #docker #security  
author: [根本 征(Tadashi Nemoto)](https://www.docswell.com/user/tadashi0713)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/4EQYVX49JP.jpg?width=480
description: 無償・OSSから始める、コンテナ脆弱性管理負荷を大幅に削減する新しいアプローチ https://dockerjapan.connpass.com/event/388164/  多数のOSSで構成されているコンテナイメージは、近年急増する脆弱性を狙ったサプライチェーン攻撃の主要な標的となっています。Docker ではこれに対するアプローチとして、脆弱性や依存関係を大幅に削減したデフォルトで安全なイメージ「Docker Hardened Images(DHI)」をリリースし、2025年12月に Community Edition として一部無償・オープンソースで提供しました。  このセッションではこの DHI の仕組み・哲学から既存のコンテナイメージからの移行方法、エンタープライズレベルのSLA・コンプライアンスを適用する方法までご紹介します。  ・Docker Hardened Images Community Edition の紹介 ・イメージの選択方法・既存イメージからの移行方法 ・Docker Hardened Images プランのアップデート (Community, Select, Enterprise, Extended Lifecycle Support)
published: April 17, 26
canonical: https://www.docswell.com/s/tadashi0713/KR82N3-docker-3shake-webinar
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/4EQYVX49JP.jpg)

安全なコンテナイメージを作るための
新しい業界標準
Docker Hardened Images
Tadashi Nemoto
Strategic Solutions Engineer, Docker


# Page. 2

![Page Image](https://bcdn.docswell.com/page/KJ4WM6LR71.jpg)

Dockerfile
FROM node:20-alpine
OSAlpine Linux)とランタイム
Node.js)、それに必要な依存関係がイ
ンストールされたベースイメージを利用
WORKDIR /app
RUN apk add --no-cache curl
必要な OS パッケージを個別に
インストール
COPY . .
RUN npm install --production
EXPOSE 3000
CMD [&quot;npm&quot;, &quot;start&quot;]
アプリケーションの依存パッケージ
(npm, pip, Maven, RubyGem など)
をインストール


# Page. 3

![Page Image](https://bcdn.docswell.com/page/LE1Y8VLV7G.jpg)

ソフトウェアサプライチェーン攻撃
コンテナイメージには、多くの OSS の依存関係を含む
ことになり、その依存関係の中に(意図的にインストー
ルしていなくても)脆弱性が含まれている場合、自分た
ちのコンテナイメージにも影響を受ける
1つのパッケージを改ざん・脆弱性を悪用するだけで、(意
図的にインストールしていないものも含め)多くのアプリ
ケーションに悪影響を与えることが
できる
https://anchore.com/software-supply-chain-security/what-is-sscs/


# Page. 4

![Page Image](https://bcdn.docswell.com/page/GEWGZLV3J2.jpg)

脆弱性(CVEs)の急増とサプライチェーン攻撃の深刻化


# Page. 5

![Page Image](https://bcdn.docswell.com/page/47ZL1M4GJ3.jpg)

Dockerfile
FROM node:20-alpine
WORKDIR /app
RUN apk add --no-cache curl
COPY . .
RUN npm install --production
EXPOSE 3000
CMD [&quot;npm&quot;, &quot;start&quot;]
➔ ベースイメージにも多くの依存関係
と脆弱性が含まれている
➔ 開発者が容易に修正することが
できない
➔ 一般的にはコミュニティが作成・
メンテナンスしている
➔ 脆弱性への対応がコミュニティの
努力次第
➔ 発行元が不明確だと、マルウェアの
混入やバックドアが仕掛けられる
可能性も


# Page. 6

![Page Image](https://bcdn.docswell.com/page/YJ6WLN3QJV.jpg)

CLI
$ docker run -e POSTGRES_PASSWORD=dev \
-p 5432:5432 postgres:17.1
$ psql -h localhost -U postgres
サードパーティーのイメージを本番環境などで動かした場合にも、
この依存関係・脆弱性の問題は残り続ける


# Page. 7

![Page Image](https://bcdn.docswell.com/page/GJ5M15L2J4.jpg)

Docker Hardened Images: Community Edition
CVEs がほぼゼロのイメージを 1000 以上提供
シェルやパッケージマネージャーを含めない攻撃対象領域を
大幅に削減した distroless ランタイムイメージも提供
既存の Linux ディストリビューション Debian, Alpine)
との高い互換性、簡単な移行を実現
SBOM, Provenance, CVE 情報の完全公開
SLSA Build Level 3 の実現
Apache 2.0 の完全なオープンソース


# Page. 8

![Page Image](https://bcdn.docswell.com/page/LE3W1NL1E5.jpg)

Docker Hardened Images
移行デモ


# Page. 9

![Page Image](https://bcdn.docswell.com/page/8EDKXWNK7G.jpg)

より強化されたセキュリティとコントロール
Critical / High CVE に対する 7 日以内の修正を
SLA として保証
FIPS / STIG 対応イメージを提供
追加コンポーネントなどを柔軟にカスタマイズ
Docker の安全な環境で新しくイメージをビルドし、提供
オプションで Extended Lifecycle Support ELS を提供


# Page. 10

![Page Image](https://bcdn.docswell.com/page/V7PKP953J8.jpg)

DHI Enterprise で脆弱性を 24 時間以内に修正
Golang プロジェクトで広く使われている
golang.org/x/crypto/ssh に影響を与える3つの脆弱性
(CVE-2025-47913, CVE-2025-47914, CVE-2025-58181)
DHI Enterprise は 24 時間以内にパッチ修正版を
リリース
●
バッチスケジュールではなく、 CVE が発表されたら
即時に Docker(Scout) アドバイザリー
データベースに取り込み、モニタリング
●
SBOM を参照し、影響のある DHI イメージを
即時評価
●
自動的にパッチワークフローを実施し、
修正版イメージを配布
https://www.docker.com/ja-jp/blog/how-docker-hardened-images-patch-cves-in-24-hours/


# Page. 11

![Page Image](https://bcdn.docswell.com/page/2JVV2MPNJQ.jpg)

柔軟なカスタマイズ


# Page. 12

![Page Image](https://bcdn.docswell.com/page/5EGLRGP5JL.jpg)

Extended Lifecycle Support ELS
アップストリーム(開発元)のサポートが終了した後も、イメージのパッチを継続して提供
5 年以上のイメージ・ SBOM の更新を提供
EOLサポート終了 ) 後も
セキュリティ・コンプライアンスを維持
長期間実行する、ミッションクリティカルな
アプリケーション・ワークロードに最適


# Page. 13

![Page Image](https://bcdn.docswell.com/page/4JQYVX2L7P.jpg)

2026/03 Docker Hardened System Packages
8000 以上の OS パッケージを Docker がソースコード
からビルド・署名し、個別にセキュリティ強化
全ての DHI イメージの OS パッケージは Hardened
Systems Packages から構成
DHI のカスタマイズ (有償版 Select, Enterprise) では
Hardened System Packages を個別に追加可能
CVE 修正に対する SLA サポート範囲内
(有償版 Select, Enterprise)


# Page. 14

![Page Image](https://bcdn.docswell.com/page/K74WM6L5E1.jpg)

Docker Hardened Images のみ
Docker Hardened
Images
→
Dockerfile に個別
に OS パッケージ
を追加
→
Output image
Not fully hardened ×
Docker Hardened Images + Hardened System Packages
Docker Hardened
Images
→
Hardened System
Packages を
カスタマイズで追加
Output image
→
Fully hardened ✓
SLA 保証


# Page. 15

![Page Image](https://bcdn.docswell.com/page/LJ1Y8VL2EG.jpg)

すべてのチームに、安全で最小構成のコンテナイメージを


# Page. 16

![Page Image](https://bcdn.docswell.com/page/GJWGZLV272.jpg)

Thank you!!
tadashi.nemoto@docker.com