Docker Hardened Images (以下、DHI) は 5 月に提供を開始して以来、わずか 2 カ月半で業界全体で急速に導入が進んでいます。俊敏なスタートアップから世界規模の大企業まで、あらゆる組織が DHI を活用し、CVE をほぼゼロに抑え、攻撃対象領域を縮小し、ソフトウェア サプライ チェーンを強化しています。それも、開発者のスピードを損なうことなく実現しています。
短期間で、DHI は本番環境のワークロードを支える信頼できる基盤となりました。ミニマル構成、署名付き、継続的なパッチ適用、そして大規模環境でも通用するセキュリティをゼロから構築しています。プラットフォーム チームもセキュリティ チームも、かつてないスピードと安全性を両立できています。
この勢いをさらに加速させるため、DHI に強力な新機能を追加します。イメージ カタログの拡充、柔軟なカスタマイズ機能、AI 移行エージェント、そして日常的に利用されているツールとのより緊密な統合です。
エンドツーエンドのワークロードを支えるセキュアなイメージ
特にセキュリティ重視の環境にいるお客様からよくいただく声のひとつは、「単にいくつかの基本的なコンテナーを動かしているわけではない」というものです。実際には、RabbitMQ や Redis のようなメッセージキュー、Tomcat や NGINX のような Web サーバー、PostgreSQL や Prometheus といったデータベース/ストレージ ツール、Azure Functions や Grafana のような開発者向けツールまで含む、フルスタックのシステムをデプロイしています。さらに、Envoy のようなネットワーキング コンポーネント、Grafana/Loki/Netdata のような監視、オブザーバビリティ スタック、さらには Kubeflow のような ML/AI 基盤にまで依存しています。
こうした実運用に即したワークロードを支えるため、DHI のカタログには、これらすべてのカテゴリにわたる信頼性の高い本番対応イメージを追加しました。すべてのイメージは SLSA 準拠で署名付き、継続的にメンテナンスされており、セキュリティ チームは開発スピードやコンプライアンスの複雑化を犠牲にすることなく、安全で検証可能なコンテナーを利用できます。
さらに、DHI の導入はこれまで以上に簡単になりました。Docker の AI アシスタントが既存コンテナーを自動分析し、対応する Hardened Images を推奨または適用します。これにより、コミュニティ製や Docker 社製イメージからの移行をスムーズに進められます。下記のデモ動画で、その動きをぜひご覧ください。
DHI カスタマイズ ~ 柔軟性と安全性の両立
ユーザーからよくいただくフィードバックのひとつが、DHI の柔軟性を高く評価しているという点です。DHI は、チームごとの状況に合わせて対応し、画一的な制約に縛るのではなく、固有のニーズに基づいてカスタマイズできる環境を提供します。セキュリティを第一に設計された堅牢な基盤を保ちながら、イメージを自由に調整できる点は大きなメリットです。そして今回、その体験をさらに進化させました。
新たに追加されたセルフサービス UI により、DHI のカスタマイズはこれまでになくスピーディかつシンプルになりました。社内証明書の挿入、信頼済みパッケージのインストール、ランタイム設定の調整、ユーザー ポリシーの定義などが、ベースイメージのフォークや複雑な回避策なしで可能です。
ランタイムの設定や、curl、git、デバッグ ツールなど必須ツールのインストール、内部トラスト チェーン用のカスタム CA 証明書の追加、環境変数の設定、カスタム ユーザーやグループの定義なども、数クリックで完了できます。
最大の魅力は、カスタマイズしたイメージが自動的に安全性を維持できることです。カスタマイズは OCI アーティファクトとしてパッケージ化され、バージョン管理された安全なレイヤーとしてベースイメージと明確に分離されます。Docker が最終的なイメージビルドを担当し、SLSA Build Level 3 標準を維持しながら署名し、常に最新の状態を確保します。
ベースイメージにセキュリティ パッチが適用された場合や、独自アーティファクトが更新された場合には、Docker がバックグラウンドで自動的にカスタマイズ済みイメージを再ビルドします。手作業は不要、想定外の差異もありません。デフォルトで継続的なコンプライアンスと保護が提供されます。リポジトリごとに必要な数だけカスタマイズを作成でき、追加コストもかかりません。
これにより、プラットフォーム チームやセキュリティ チームは、セキュリティやポリシー要件を満たすためにベースイメージをフォークしたり、独自の CI 再ビルドスクリプトを書いたり、並行するイメージ パイプラインを維持したりする必要がなくなります。必要な柔軟性を、余分な運用負荷なしで手に入れられるのです。
Docker + Wiz ~ よりスマートな脆弱性管理
DHI は、既存の開発やセキュリティ ワークフローにシームレスに統合され、GitLab、Sonatype、CloudSmith、Docker Hub、Docker Desktop、GitHub Actions、Jenkins などの人気ツールとすぐに連携して利用できます。
そして今回、Wiz との統合を実現しました。これによりセキュリティ チームは、本番環境で稼働しているコンテナー、インターネットに公開されている資産、機密データとやり取りしているコンポーネントといった要素に基づき、より深くコンテキストのある実リスクの可視化が可能になります。
Docker Hardened Images は、著しく小さい攻撃対象領域とほぼゼロの CVE による、非常に堅牢な基盤を提供します。Docker と Wiz の統合により、DevSecOps チームはこの信頼できる基盤を運用に組み込み、コンテナー イメージ技術を完全に可視化し、正確な脆弱性レポートを得られます。Docker が提供する OpenVEX ドキュメントや OSV アドバイザリは Wiz 上の脆弱性レポートにコンテキストを与え、重要な脆弱性を優先し、イノベーションを妨げることなく迅速に修正できます。この統合により、プラットフォーム チームとセキュリティ チームは、安全な基盤と、コードからランタイムまでのコンテナー セキュリティ ライフサイクル全体を監視/管理できるプラットフォームの両方を手に入れられます。
— Wiz 社 VP of Product (Extensibility & Partnerships) Oron Noah 氏
DHI の実力検証 ~ 独立セキュリティ評価
DHI のセキュリティ体制を検証するため、当社は世界的なサイバー セキュリティ企業である Security Research Labs (SRLabs) と提携し、独立評価を実施しました。評価内容には、脅威モデリング、アーキテクチャ分析、そして公開アーティファクトを用いたグレーボックス テストが含まれ、実際の攻撃シナリオを想定しています。
結果は、Docker 社のアプローチを裏付けるものでした。SRLabs は、評価対象の DHI がすべて暗号署名され、デフォルトで rootless モード、SBOM と VEX メタデータを同梱していることを確認しました。これは現代のソフトウェア サプライ チェーン セキュリティにおいて非常に重要な組み合わせです。
特に、評価期間中に root エスケープや深刻度の高い侵害は一切発見されませんでした。さらに、一般的なシェルやパッケージ マネージャーを削除し、標準的なイメージと比べて攻撃対象領域を最大 95% 削減していることも検証されました。7 日以内のパッチ提供 SLA やビルドから署名までのパイプラインは、コミュニティ製イメージに比べて強みと評価されています。一方で、鍵の失効やビルドの決定性 (determinism) といった改善余地も指摘されており、すでに対応が進行中です。
Hardened Container の未来はここから始まる
DHI は、安全なアプリケーションを大規模にビルド、運用するための信頼できる基盤として定着しつつあります。幅広いカタログ、容易なカスタマイズ、Wiz との統合などにより、チームのニーズに柔軟に対応します。さらに、カスタマイズ、FIPS、STIG 対応は追加費用なしで利用でき、コンプライアンスを妥協なく簡素化できます。
Docker Hardened Images のトライアルや製品紹介、お見積もりをご希望の場合や、製品に関するご不明点がありましたら、Docker Preferred Reseller であるエクセルソフトまでお気軽にお問い合わせください。
*本記事は、Docker 社が提供している以下の記事から抜粋・転載したものです。
Docker 強化イメージの次の進化: カスタマイズ可能、FedRAMP 対応、AI 移行エージェント、およびより深い統合
Docker の最新情報をお届けするエクセルソフトのメールニュース登録はこちら。
