2026の最大のインシデントから明らかな教訓は、攻撃者がAIを活用して迅速に動いているということです。DockerのCISOマーク・レクナーは、この 変化 と、すべてのエンジニアリングチームが今後何をすべきかについて書いています。
私たちが心配しているのは、基準がさらに下がろうとしていることです。過去10年の大半、広く使われているオープンソースで深刻な脆弱性を見つけるには時間と専門的なスキルが必要でした。フロンティアモデルは現在、コードを読み、依存関係を越えて推論し、機械の速度で新奇で連鎖された脆弱性を表面化し、長年の専門家レビューを経ても残った欠陥を含んでいます。AnthropicのMythosやそれに続くより強力なモデルは、熟練した人間よりも多くの脆弱性を、より速く、そして広い差で発見するでしょう。脆弱性が発見され悪用されるまでのギャップは数年から数時間に縮まり、その脆弱性が公表される前に武器化される割合も増えています。
この現実における持続的な対応は二つあると考えています。まず、デフォルトで安全かつ透明性の高い製品を構築し、エコシステム全体で深層で協力してシグナルとインテリジェンスを共有することです。単一のベンダーが全体像を見極めるわけではなく、顧客はサプライチェーン技術が孤立するのではなく連携して機能することで最もよく守られます。
AIがSDLCに組み込まれる中、開発者向けのデフォルトで安全なツール
コーディングエージェントがソフトウェアライフサイクルの多くを占めるにつれて、セキュアデフォルトは構築したもの以上の範囲をカバーしなければなりません。エージェントがどこに走り、どこに届くかをカバーしなければなりません。現在、Dockerの投資はローカル開発者向けのサンドボックス、安全な依存関係、そして審査済みMCPツールへのガバインドアクセスという3分野にまたがっています。これらの機能と今後の製品が、AIがSDLCに組み込まれる中で開発者環境の安全確保に貢献しています。
エージェントのための孤立したサンドボックス型実行: Docker Sandbox は、独立したmicroVM上でAIコーディングエージェントを動かし、それぞれ独自のカーネル、ファイルシステム、デフォルトで拒否されるネットワークを持つため、エージェントが引き出した依存関係がホストやその認証情報、その他のワークロードに到達できません。
信頼できるオープンソース財団: Docker ハード化イメージ CommunityはApache 2のもとで無料でオープンソースです。0。DHIは、SLSAビルドレベル 3 プロヴィナンスと署名されたSBOMでソースから再構築された最小限の低CVEイメージで、AlpineおよびDebian上で構築されています。現在、カタログは 3500 の強化画像と数万のハード化されたシステムパッケージを網羅し、コンテナイメージ、システムパッケージ、Helmチャート、MCPサーバーにまたがっています。DHIは安全な依存関係を簡単なデフォルトの選択肢にしています。
ツールへのアクセスが規制されている: Docker MCP Catalog and Gateway は、エージェントに信頼された強化されたMCPサーバー群に加え、中央集権的なポリシー、秘密ブロック、監査ログ機能を提供し、エージェントが行う接続は仮定ではなく検証されます。
これらのツールを組み合わせることで、開発者は環境内で実行されるエージェントまでの最初の docker build から安全なデフォルトを提供します。
すべての開発者のためにエコシステムと共に活動しています
私たちのアプローチの第二の部分は、エコシステムとの関わり方です。例えば、今年初めのaxios侵害やTeamPCPキャンペーンでは、DockerはSocket、Trivyチーム、Checkmarxなどのパートナーと協力し、攻撃の分析と爆発範囲の封じ込め(まとめ)を行いました。これらの攻撃による被害の可能性は非常に大きかったかもしれませんが、リアルタイムで会社間の信号共有が爆発範囲を比較的小さく保った理由です。以前にも言いましたが、これは生態系にもっと必要だと信じています。
DockerがAthenaアライアンスに参加します
アテナは私たちのコラボレーションの旅の次のステップです。本日発表されたこの団体は、AIによる脆弱性発見の時代におけるオープンソースソフトウェアの協調的な防衛を目的とした業界連合であり、Dockerは創設メンバーの一人です。Athenaはソフトウェアエコシステム全体の組織を結集し、脆弱性が公になる前に調査結果を共有し、対応を調整しています。Dockerはサプライチェーンの重要なポイントに位置しており、何百万人もの開発者がオープンソースで構築されたソフトウェアの構築、配布、運用を私たちに頼っているため、そのエコシステムをより強靭にすることは私たちの使命と一致しています。私たちは、Dockerがこの重要な業界横断的な取り組みに専門知識とスケールを提供するために独自の立場にある重要な方法について、連合と共に協力できることを楽しみにしています。
さらなる参考文献
- Docker Sandboxes
- Docker Hardened Images
- ソフトウェアサプライチェーンの防衛 (Docker CISO マーク・レクナー)
