Docker 強化イメージの次の進化: カスタマイズ可能、FedRAMP 対応、AI 移行エージェント、およびより深い統合

5 月に Docker Hardened Images(DHI) をリリースし 、わずか2か月半で、業界全体で採用が急速に加速しました。機敏な新興企業からグローバル企業まで、組織は開発者の速度を低下させることなく、CVEをほぼゼロにし、攻撃対象領域を縮小し、ソフトウェアサプライチェーンを強化するためにDHIに目を向けています。

DHIは、短期間で、最小限のワークロード、署名済み、継続的なパッチ適用、大規模なセキュリティを提供するためにゼロから構築された、本番ワークロードの信頼できる基盤になりました。プラットフォームチームとセキュリティチームは同様に、かつてないほど迅速かつ安全に行動しています。

その勢いこそ、私たちは倍増しています。Docker Hardened Images は、より広範なイメージ カタログ、柔軟なカスタマイズ オプション、AI 移行エージェント、FedRAMP 対応バリアント、チームがすでに毎日使用しているツールとの緊密な統合など、強力な新機能で拡張しています。これらの機能強化の多くは、Black Hat 2025で実施されます。

エンドツーエンドのワークロード向けのセキュアなイメージ

お客様、特にセキュリティを重視する環境のお客様から最も一貫して聞くことの 1 つは、いくつかの基本的なコンテナーを実行しているだけではないということです。彼らは、RabbitMQ や Redis などのメッセージ キューから、Tomcat や NGINX などの Web サーバー、PostgreSQL や Prometheus などのデータベースとストレージ ツール、Azure Functions や Grafana などの開発者ツールまで、あらゆるものにまたがる フルスタック システムを デプロイしています。また、Envoy などのネットワーク コンポーネント、Grafana、Loki、Netdata などの監視および可観測性スタック、さらには Kubeflow などの ML および AI インフラストラクチャにも依存しています。 

これらの実際のワークロードをサポートするために、Docker Hardened Images (DHI) カタログには、これらすべてのカテゴリにわたって信頼できる本番環境対応のイメージが含まれるようになりました。すべてのイメージは SLSA に準拠し、署名され、継続的に保守されているため、セキュリティチームは、開発者の速度を低下させたり、コンプライアンスを複雑にしたりすることなく、安全で検証可能なコンテナを使用しているという確信を得ることができます。

そして今、DHI を使い始めるのはさらに簡単になりました。Docker の AI アシスタント は、既存のコンテナを自動的に分析し、同等の強化されたイメージを推奨または適用できるため、コミュニティ イメージまたは内部イメージからの移行を合理化できます。以下で実際の動作をご覧ください。

DHI カスタマイズ: リスクのない柔軟性

お客様から聞いたもう一つのフィードバックは、DHIの柔軟性をどれほど高く評価しているかということです。DHI はチームがいる場所に対応し、厳格な制約に適応することを強制するのではなく、独自のニーズに基づいてカスタマイズできるようにします。セキュリティ第一の強化された基盤に依存しながら画像を調整できることは、明らかに勝利です。そして今、私たちはその経験をさらに発展させました。

新しい セルフサービスUIにより、DHIのカスタマイズがこれまで以上に迅速かつ簡単になります。内部証明書の挿入、信頼できるパッケージのインストール、ランタイム設定の調整、ユーザーポリシーの定義など、ベースイメージをフォークしたり、複雑な回避策をラングリングしたりすることなく行うことができます。

ランタイムを設定し、curl、git、デバッグユーティリティなどの重要なツールをインストールする必要がありますか?内部トラストチェーンのカスタムCA証明書の追加、環境変数の設定、またはカスタムユーザーとグループの定義を希望しますか?DHI を使用すると、数回クリックするだけですべてを行うことができます。

何よりも、カスタム画像は自動的に安全に保たれます。カスタマイズは、OCIアーティファクト(ロジックをベース・イメージから明確に分離するセキュアなバージョン管理されたレイヤー)としてパッケージ化されます。Docker は最終的なイメージ ビルドを処理し、SLSA ビルド レベル 3 標準を維持しながら署名し、イメージが常に最新であることを確認します。

ベースイメージがセキュリティパッチを受け取るか、独自のアーティファクトが更新されると、Dockerは カスタマイズしたイメージを バックグラウンドで自動的に再構築します。手作業は不要です。驚くべきドリフトはありません。デフォルトでは、継続的なコンプライアンスと保護のみです。お客様は、追加コストなしで、リポジトリごとに必要な数のカスタマイズを作成できます。 

これは、プラットフォームチームとセキュリティチームにとって大きな勝利です。セキュリティやポリシーの要件を満たすためだけに、ベース イメージをフォークしたり、カスタム CI 再構築スクリプトを記述したり、並列イメージ パイプラインを維持したりする必要はありません。運用上のオーバーヘッドなしで、必要な柔軟性が得られます。

FedRAMP 対応:最初からコンプライアンスを重視して構築

FedRAMP認証を追求している場合、FIPSやSTIGなどの厳格なセキュリティ基準を満たすことはオプションではなく、ミッションクリティカルです。しかし、コンテナイメージを手動で強化するのでしょうか?それは時間の無駄、人的ミス、そして終わりのないメンテナンスです。

Docker Hardened Images には、米国連邦政府のセキュリティ要件に合わせてすぐに使用できるように設計された FedRAMP 対応のバリアントが同梱されるようになりました。これらのイメージは、強力で検証済みの暗号化適用のために FIPSに対応し ており、安全なデフォルトが組み込まれたSTIG対応であり、完全な監査可能性のために署名されたSBOMと証明とともに提供されます。

これらはすべてDockerによって構築および保守されるため、チームはコンプライアンスエンジニアリングのビジネスに携わる必要はありません。これらの画像をパイプラインに接続するだけで、すぐに使用できます。内部的には、Docker の FIPS 対応イメージは、OpenSSL、Bouncy Castle、Go などの検証済みの暗号化モジュールを活用しています。各画像には、NIST認証とテスト結果にリンクされた署名付き認証が含まれており、ソフトウェアサプライチェーン全体の透明性とトレーサビリティを確保しています。

すべての STIG対応画像 は、安全なビルド中にOpenSCAPを介してスキャンされ、コンプライアンススコアやフルスキャン出力(HTMLおよびXCCDF)などの署名付き結果が付属します。各結果は NIST 800-53 コントロールに明確にマッピングされるため、セキュリティ チームや監査人はコンプライアンスを評価および追跡しやすくなります。これらのイメージをカスタマイズすると、Docker は長期にわたるコンプライアンスの追跡に役立ち、セキュリティ チームと監査人の両方にとって容易になります。

Docker が FedRAMP の準備をどのように簡素化しているかについては、この詳細なブログ投稿をご覧ください

Docker + Wiz: よりスマートな脆弱性管理

Docker Hardened Images は、既存の開発者およびセキュリティ ワークフローにシームレスに統合され、GitLab、Sonatype、CloudSmith、Docker Hub、Docker Desktop、GitHub Actions、Jenkins などの一般的なツールですぐに使用できます。

今、私たちはそれをさらに一歩進めています:Docker Hardened Imagesは Wizと統合され、セキュリティチームは、本番環境で実行されているもの、インターネットに公開されているもの、機密データと相互作用するものに基づいて、実際のリスクをより深く、コンテキストが豊富に可視化できるようにします。

「Docker の強化イメージは、表面積が大幅に小さく、CVE がほぼゼロである非常に安全な基盤を提供します」と、Wiz の製品、拡張性、パートナーシップ担当副社長である Oron Noah 氏は述べています。「DockerとWizの統合により、DevSecOpsチームは、コンテナイメージテクノロジーを完全に可視化し、正確な脆弱性レポートを行い、これらの信頼できる基盤を運用できるようになります。Docker が提供する豊富な OpenVEX ドキュメントと OSV アドバイザリは、Wiz で報告された脆弱性にコンテキストを追加し、チームがイノベーションを遅らせることなく重要な脆弱性に優先順位を付け、より迅速に修復できるようにします。この統合により、プラットフォームとセキュリティチームは、コードからランタイムまでのコンテナセキュリティライフサイクル全体を監視および管理するための安全な基盤とプラットフォームの両方を提供します。」

DHIのテスト:独立したセキュリティ評価

Docker Hardened Images のセキュリティ体制を検証するために、大手サイバーセキュリティ企業である Security Research Labs (SRLabs) と提携して、独立した評価を実施しました。彼らのレビューには、脅威モデリング、アーキテクチャ分析、公開されているアーティファクトを使用したグレーボックステストが含まれ、現実的な攻撃シナリオをシミュレートしました。

その結果、私たちのアプローチが再確認されました。SRLabs は、サンプリングされたすべての Docker 強化イメージが暗号署名され、デフォルトでルートレスであり、最新のソフトウェア サプライ チェーン セキュリティにとって重要な組み合わせである SBOM と VEX の両方のメタデータが同梱されていることを確認しました。 

重要なのは、評価期間中に根のエスケープや重症度の高いブレイクアウトが見つからなかったことです。SRLabsはまた、一般的なシェルとパッケージマネージャーを削除し、攻撃対象領域を標準イメージよりも最大 95%小さく するというDockerの主張を検証しました。7日パッチ SLA とビルドから署名までのパイプラインは、一般的なコミュニティ イメージと比較して強みとして特定されました。このレビューでは、すでに積極的に取り組まれているキーの取り消しやビルド決定論などの改善の余地があることも認められました。

SRLabsレポートの詳細については 、こちらをご覧ください。 

硬化コンテナの未来はここから始まる

Docker Hardened Images は、安全なアプリを大規模に構築および実行するための信頼できる基盤になりつつあります。幅広いカタログ、簡単なカスタマイズ、FedRAMP 対応のバリアント、Wiz のような統合により、DHI はチームがいる場所に対応します。何よりも、カスタマイズ、FIPS、STIGが追加費用なしで含まれているため、妥協することなくコンプライアンスが簡素化されます。

Black Hat 2025に参加している方は、ぜひご連絡ください。ブース #5315 の Docker にアクセスして、ソフトウェア サプライ チェーン セキュリティをどのように再定義しているかをご覧ください。また、8月 6 日(水) 12:05 から 1:30 PMにラグーンCDのレベル 2で開催されるセッション「エンドツーエンドのソフトウェアサプライチェーンセキュリティの達成」をお見逃しなく。強化され、追跡可能で、継続的に準拠したソフトウェアデリバリーパイプラインを実装するための実際の戦略を深く掘り下げていきます。