「安全で、CVE (脆弱性情報) が存在しないソフトウェアをお客様に届けること」というのは、あらゆる組織が掲げている目標です。
CVE をほぼゼロにする ― それが理想的な状態です。しかし、その理想を実現するのは容易ではありません。なぜなら、あらゆる段階に矛盾が潜んでいるからです。
開発者は迅速にパッチを適用しても、新たな CVE は修正が提供されるよりも速いペースで発生します。組織はオープンソースを標準化しますが、そのたびに依存関係が新たなリスクを生み出します。チームにはスタートアップ並みのスピードが求められる一方で、エンタープライズレベルの安全性と信頼性も期待されています。
業界は長年、このギャップを埋め、ほぼゼロ CVE という一見不可能な目標を追い続けてきました。しかし現実には、脆弱性スキャナーが課題を悪化させることも少なくありません。大量のアラートがノイズとなり、チームは本当に重要な情報を見失いがちです。ダッシュボードは問題を可視化しますが、解決策を提示することはほとんどありません。
一方、Docker Hardened Images (DHI) は、既知の脆弱性を排除した安全なコンテナー イメージを基盤として活用できるため、より堅牢な開発環境の構築に最適です。
しかし、これまでは高額な有料プランとして提供されており、たとえ予算を確保できてもコスト効率が悪く、組織全体で一貫した保護を実現することは難しい状況でした。
しかし、先日リリースされた新しい DHI のサブスクリプションを利用することで、Docker Hardened Images カタログに無制限にアクセスできるようになり、ほぼゼロ CVE の実現をすべてのチームが手軽に達成できるようになります。
ひとつのサブスクリプションで全カタログにアクセス可能で、制限はなく、常に最新でセキュアな環境を維持できます。ログイン ユーザーはワンクリックで無料トライアルを開始でき、その効果をすぐに体感できます。
この取り組みは、Docker がこれまで築いてきた実績の上に成り立っています。Docker Hub によって、かつて複雑で導入が難しかったコンテナー技術を、すべての開発者が簡単に利用できるようになりました。今度は、Docker がその同じ役割を「セキュリティ」という分野で果たします。
多くの開発者は、まず Docker Hub から開発を始めています。その最初の一歩から「セキュアであること」が当たり前になるように、強化された信頼できるイメージを、すべての人に追加料金なしで提供します。
Docker Hardened Images の特長
Docker Hardened Images カタログへの無制限アクセスは、単なるセキュア イメージのライブラリではなく、現代の開発を支える包括的な基盤です。カタログには、AI/ML 用の Kubeflow、言語やランタイムの Python、データベースの PostgreSQL、ネットワーク構成の NGINX、アプリ基盤の Kafka など、あらゆるカテゴリが網羅されています。さらに、米国連邦政府のセキュリティ要件に準拠した FedRAMP 対応バリアントも用意されており、導入直後から厳格な基準に適合します。
また、Docker Hardened Images の特長は、そのハードニング手法にあります。すべてのイメージはソースから直接ビルドされ、上流の更新を継続的に取り込み、不要なコンポーネントを削除して軽量化されています。これにより攻撃対象領域を最小限に抑え、他の代替イメージと比べて最大 95% の小型化を実現しています。また、各イメージには VEX (Vulnerability Exploitability eXchange) が含まれており、チームはノイズを排除し、本当に対応が必要な脆弱性だけに集中することができます。
対応ディストリビューションは Alpine や Debian など、開発者に馴染みのあるものばかりです。そのため、初日から安心して利用できます。Dockerfile の 1 行を書き換えるだけで移行できる柔軟性も高く評価されています。さらに、システム パッケージ、認証、スクリプト、ツールなどを組み込む形でカスタマイズも可能で、ハードニング ベースラインを維持したまま拡張できます。
そして、この品質は第三者によっても検証されています。独立系セキュリティ コンサルティング企業 SRLabs の評価では、Docker Hardened Images が署名済みであり、デフォルトで rootless、SBOM と VEX を同梱していることが確認されています。また、root 権限のエスケープや重大な脆弱性は確認されず、攻撃対象領域が 95% 削減されていること、7 日以内のパッチ適用 SLA、そしてビルドから署名までの一貫したパイプラインが、一般的なコミュニティ イメージに比べて大きな強みであることも評価されています。
セキュリティを誰もが利用できるものに
強化された信頼できるイメージをすべての人が利用できるようにすることで、すべての開発者の開発環境が初めからセキュアな状態で始まるようにし、スタートアップから大企業まで、あらゆる組織が妥協することなくほぼゼロ CVE の実現を目指せるようにします。
Docker Hardened Images の無料トライアルや価格、製品詳細に関しましては、以下のリンク先からお問い合わせください。
エクセルソフトは Docker の Preferred Reseller として、Docker Desktop を販売しています。Docker 製品のライセンスや機能に関するご質問、製品デモのご要望を承っています。お問い合わせはこちらから。
*本記事は、Docker 社が提供している以下の記事から抜粋・転載したものです。
Docker Hardened イメージへの無制限のアクセス: セキュリティは常に手頃な価格である必要があるため、
Docker の最新情報をお届けするエクセルソフトのメールニュース登録はこちら。
