脆弱性を削減し、安全なコンテナイメージを作るための新しいアプローチ:Hardened Container Images
多数の OSS で構成されているコンテナイメージは、近年急増する改ざんや脆弱性を狙ったサプライチェーン攻撃の主要な標的となっています。
一方で、イメージスキャンやアラートを導入しても、脆弱性や依存関係の多さから対応が後回しになってしまったり、修正対応が開発者の大きな負荷となっているケースも少なくありません。
このような課題に対し、脆弱性や依存関係を最小化したデフォルトで安全なコンテナイメージ「Hardened Container Images」の採用が注目を集めています。
本セッションでは、Docker が 2025 年 12 月に Apache 2.0 ライセンスのオープンソースとして無償提供を始めた「Docker Hardened Images (DHI)」を一つの実践例として、コンテナイメージにおける依存関係や脆弱性がなぜ削減しづらいのか、そして Hardened Container Images がどのように「後追いではない」サプライチェーンセキュリティを実現できるのかを解説します。
Speaker
Tadashi Nemoto
Docker, Inc.
Strategic Solutions Engineer
複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOps、CI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。
資料
Q&A
このセッションに関する質問と回答
Q
Hardened Container Imagesに移行する際の注意点や懸念点はあるか?
ご質問ありがとうございます。
Hardened Container Images は攻撃対象領域を最小化するため、必要最小限のコンポーネントのみで構成されています、
そのため、イメージ移行の際に暗黙的に依存していたOSパッケージが存在しないことによってビルドが失敗する・アプリケーション起動が失敗する可能性があります。
必要に応じて Hardened System Pacages で追加コンポーネントを補完しながら移行を進めていただければと思います。
また、Hardened Container Images はデフォルトで非 root ユーザー実行するため、必要に応じて Dockerfile を書き換える必要も出てきます。
Q
waiwai
