コンテナーは、いまや多くの開発者にとって本番環境へ到達するための共通基盤となり、Docker はこれまで一貫してそのエコシステムを支えてきました。Docker Hub では毎月 200 億回以上のプルが行われており、現在では約 90% の組織がソフトウェア提供のワークフローにコンテナーを利用しています。これは同時に、世界のソフトウェア サプライ チェーンの安全性を守るという大きな責任を Docker が担っていることを意味します。
なぜなら、サプライチェーン攻撃は急速に増加しているからです。2025 年には被害額が 600 億ドルを超え、2021 年と比べて 3 倍に拡大しました。例外はなく、あらゆる言語、あらゆるエコシステム、そしてビルドや配布のすべての工程が攻撃対象となっています。
こうした状況を受け、Docker は 2025 年 5 月に Docker Hardened Images (DHI) を発表しました。DHI は、セキュリティを重視し、最小構成で、本番利用に適したコンテナー イメージのセットです。提供開始以降、カタログ内で 1,000 を超えるイメージや Helm チャートを強化してきました。そして本日 (米国時間 2025 年 12 月 17 日)、ソフトウェア開発に関わるすべての人に向けて、DHI を無償かつオープンソースで提供し、新たな業界標準を確立します。対象は、コンテナー エコシステムに参加する 2,600 万人以上の開発者全員です。DHI は Apache 2.0 ライセンスのもとで提供され、ライセンス上の予期せぬ制約は一切ありません。自由に利用、共有、拡張でき、最初の pull から安全で最小限、かつ本番対応の基盤を提供します。
「話がうますぎる」と感じるかもしれませんが、結論は明確です。すべての開発者が、すべてのアプリケーションで、制限なく DHI を利用できます (そして利用すべきです)。一方で、7 日以内に適用される継続的なセキュリティ パッチ、FIPS や FedRAMP など規制業界向けのイメージ、安全なビルド基盤上でのカスタム イメージ作成、またはサポート終了後 (EOL) も含めたセキュリティ パッチが必要な場合には、商用の DHI オプションが用意されています。仕組みはシンプルです。
DHI の提供開始以降、Adobe や Qualcomm などの大企業は、最も厳格なコンプライアンス要件を満たすため、企業全体のセキュリティ基盤として Docker を採用しています。また、Attentive や Octopus Deploy といったスタートアップは、コンプライアンス対応を加速し、大企業向けビジネスへの展開を迅速に進めています。
これにより、誰もが、どのようなアプリケーションでも、最初の docker build から安全に構築できるようになります。DHI は、ブラックボックス的で独自仕様の強化されたイメージとは異なり、Alpine や Debian と互換性があります。多くのチームがすでに信頼し、使い慣れているオープンソース基盤を、最小限の変更でそのまま採用できます。
また、一部のベンダーがスキャナー上の評価を良く見せるために CVE を非表示にするのとは対照的に、Docker は常に透明性を重視しています。パッチ対応中であっても情報を隠すことはありません。開発者自身が自らのセキュリティ状況を常に把握できるべきだ、という信念に基づいています。その結果、CVE は大幅に削減され(DHI Enterprise ではほぼゼロを保証)、イメージ サイズは最大 95% 縮小されました。透明性や信頼を損なうことなく、安全なデフォルト設定を実現しています。
さらに、Kubernetes 環境で DHI イメージを活用するための Hardened Helm Charts も、すでにオープンソースとして提供しています。そして本日、この基盤をさらに拡張し、Hardened MCP Servers を発表します。DHI のセキュリティ原則を、エージェント型アプリケーションの中核となる MCP インターフェース層にも適用します。これにより、Mongo、Grafana、GitHub など、開発者が最も利用する MCP サーバーの強化版を、すぐに利用できるようになります。
これは始まりにすぎません。今後数か月で、強化されたライブラリ、システム パッケージ、その他多くの依存コンポーネントへと、この安全な基盤をソフトウェア スタック全体に拡張していきます。目標は main() から最下層まで、アプリケーション全体を安全に保てるようにすることです。
Docker Hardened Images が目指すもの
ベース イメージは、アプリケーションのセキュリティを最初のレイヤーから決定づける存在です。だからこそ、そこに何が含まれているのかを正確に把握できることが極めて重要です。これが、Docker 社の考え方です。
第一に ~ 最小、意図的、安全なイメージのあらゆる要素における完全な透明性
DHI は distroless ランタイムを採用し、開発者が日常的に利用するツールを維持しながら、攻撃対象領域を最小化しています。しかし、セキュリティは単なる最小化では成立しません。完全な透明性が不可欠です。
多くのベンダーは、独自の CVE スコアリング、脆弱性の引き下げ、あるいは SLSA Build Level 3 を達成するといった曖昧な表現によって実態を見えにくくしています。
DHI は異なるアプローチを取ります。各イメージには、完全かつ検証可能な SBOM が含まれています。ビルドごとに、SLSA Build Level 3 のプロビナンスが付与されます。脆弱性は、公開されている CVE データを用いて評価され、修正されていないものを隠すことはありません。さらに、イメージの真正性を証明する仕組みも備えています。
その結果、DHI は、設計や中身が明確で、確かな裏付けによって検証され、妥協なく提供される、信頼できるセキュアな基盤となっています。
第二に ~ 安全なイメージへの移行は容易ではない。しかし、開発者体験 (DX) は徹底的にシンプルにする。
セキュアなイメージへの移行には、現実的な作業が伴います。その点も踏まえたうえで、Docker 社は開発者体験 (DX) を極めて使いやすいものにすることに注力しています。
前述のとおり、DHI は Debian と Alpine という、世界中で信頼されているオープンソース基盤の上に構築されています。そのため、チームは最小限の摩擦で導入できます。さらに、その摩擦を一層減らす取り組みも進めています。Docker の AI アシスタントは、既存のコンテナーをスキャンし、対応する強化されたイメージを推奨したり、適用したりすることが可能です。この機能はまだ実験段階ですが、実運用から得られる知見をもとに、迅速に GA 化を進めていきます。
最後に ~ 最も厳格な SLA と最長のサポート期間を想定した設計
Docker 社は、最も厳しい SLA や最長のサポート期間を前提とし、DHI のすべての要素がそれらに対応できるよう設計しています。
DHI の商用版である DHI Enterprise では、クリティカルな CVE に対して 7 日以内の修正を提供しており、将来的には 1 日以内 (またはそれ以下) での対応を目指すロードマップも用意しています。規制産業やミッション クリティカルなシステムにおいては、このレベルの信頼性が不可欠です。
こうした取り組みを実現することは容易ではありません。高度なテスト自動化に加え、アップストリームに取り込まれるまでの間、独自にパッチを維持する体制が求められます。そのため、多くの組織にとって、これを単独で実現するのは困難です。
さらに DHI Enterprise では、Docker のビルド基盤を活用することで、DHI イメージを容易にカスタマイズできます。証明書や鍵、システム パッケージ、スクリプトなどの追加は一般的な要件ですが、DHI のビルド サービスを利用すれば、これらを簡単に行えます。ビルド プロビナンスとコンプライアンスを維持しながら、イメージのライフサイクル管理全体を Docker が担います。
DHI 無償化の発表
これまで、パッチ適用 SLA やビルドサービスには実際の運用コストが伴うため、DHI は単一の商用製品として提供されてきました。しかし、Docker 社は当初から、より広い視点でこの取り組みを捉えてきました。このレベルのセキュリティは、すべての人が利用できるべきであり、そのタイミングも重要です。
こうした背景を踏まえ、Docker Hardened Images の無償提供を支えるための技術的な裏付けや実績、インフラ、業界パートナーシップが整いました。Docker 社は、そのビジョンを具体的な形として実現します。その一環として、Docker Hardened Images を無償かつオープンソースで提供します。
この取り組みは、10 年以上前に Docker Official Images を無償化した際と同じ精神に基づくものです。当時、Docker 社はそれらを無償で提供し続け、明確なドキュメント、ベストプラクティス、そして一貫したメンテナンスによって支えてきました。その基盤は、数百万の開発者やパートナーにとっての出発点となりました。
今回の DHI 無償化も、そうした取り組みの延長線上にあります。
DHI の無償提供は、急速に成長するパートナー エコシステムによって支えられています。Google、MongoDB、CNCF などが Docker Hardened Image を提供し、Snyk や JFrog Xray といったセキュリティ プラットフォームが DHI をスキャナーに直接統合しています。
Docker 社はパートナー各社と協力し、業界全体のセキュリティ水準を引き上げる、統合されたエンドツーエンドのソフトウェア サプライ チェーンを構築しています。
プラン構成 (Free / Enterprise / ELS)
DHI により、すべての人が安全な基盤からスタートできるようになりました。しかし、企業の規模や業種によっては、それだけでは十分でない場合もあります。コンプライアンス要件やリスク許容度によっては、アップストリームで修正が公開された時点で、即座に CVE パッチを適用することが求められることもあります。また、エンタープライズや官公庁分野で事業を展開する企業は、FIPS や STIG といった厳格な基準への対応が必要です。さらに、本番環境は止めることができないため、アップストリームのサポート終了後もセキュリティ パッチを継続する必要がある組織も少なくありません。
こうした背景から、Docker 社は現在、異なるセキュリティ要件に対応する 3 つの DHI オプションを提供しています。
Docker Hardened Images (無償)
Docker Hardened Images は、現代のソフトウェアにふさわしい基盤です。最小構成の強化されたイメージ、容易な移行、完全な透明性、そして Alpine と Debian を基盤としたオープンなエコシステムを提供します。
Docker Hardened Images (DHI) Enterprise
DHI Enterprise は、厳格なセキュリティ要件や規制要件を持つ企業、政府機関、各種組織が求める保証を提供します。
- FIPS 対応および STIG 対応イメージ
- CIS ベンチマークへの準拠
- クリティカルな CVE に対する 7 日以内の SLA 付き修正
- 1 日以内 (またはそれ以下) を目指すロードマップ
より高い制御性を必要とするチーム向けに、DHI Enterprise は柔軟なカスタマイズを提供します。イメージの変更、ランタイムの構成、curl などのツールのインストール、証明書の追加などが可能です。無制限のカスタマイズ、フルカタログへのアクセス、そしてセキュリティを維持したまま自社要件に合わせてイメージを構成できます。
DHI Extended Lifecycle Support (ELS)
ELS は DHI Enterprise 向けの有償アドオンであり、ソフトウェアにおける最も難しい課題のひとつを解決します。アップストリームのサポートが終了するとパッチ提供は止まりますが、脆弱性はなくなりません。スキャナーは警告を出し、監査対応が求められ、コンプライアンス要件では検証済みの修正が期待されます。
ELS は、最大 5 年間の追加セキュリティサポート、継続的な CVE パッチの提供、更新された SBOM とプロビナンス、そして署名と監査対応の継続によって、この課題を解決します。
これらのオプションの詳細については、こちらをご覧ください。
ここから始めましょう
コンテナー エコシステムのセキュリティは、全員で取り組むものです。今回の発表を通じて、Docker 社は、世界中の開発者がその上に安心して構築できる、より強固な基盤を提供します。今後は、すべての開発者、すべてのオープンソースプロジェクト、すべてのソフトウェア ベンダー、そしてすべてのプラットフォームにおいて、Docker Hardened Images をデフォルトとして利用してほしいと考えています。
次のステップとして、ぜひ以下をご確認ください。
- Docker Hardened Images を今すぐ無償で使い始める
- ドキュメントを参照し、DHI をワークフローに組み込む
DHI に関する質問やデモ依頼は、エクセルソフト株式会社までお気軽にお問い合わせください。
エクセルソフトは Docker の Preferred Reseller として、Docker Desktop および DHI を販売しています。Docker 製品のライセンスや機能に関するご質問、製品デモのご要望を承っています。お問い合わせはこちらから。
*本記事は、Docker 社が提供している以下の記事から抜粋・転載したものです。
Dockerによる安全なコンテナエコシステム:無料のDockerハード化イメージ
Docker の最新情報をお届けするエクセルソフトのメールニュース登録はこちら。
