より安全なコンテナエコシステムに向けたDocker: 無料の Docker Hardened Images を公開

 (docker.com)
6 ポイント 投稿者 GN⁺ 2025-12-19 | 1件のコメント | WhatsAppで共有
  • Docker Hardened Images(DHI) は、セキュリティを強化した最小構成の本番向けコンテナイメージで、すべての開発者が無料で利用できるよう Apache 2.0 ライセンスで公開された
  • DHI は Alpine と Debian ベースで作られており、既存のワークフローに容易に統合でき、SBOM・SLSA Build Level 3・透明な CVE 公開を通じて信頼できるセキュリティ基盤を提供
  • 企業向けの DHI Enterprise は、7日以内の CVE パッチ SLA、規制産業向けの(FIPS, STIG)イメージ、カスタムビルドインフラを含み、Extended Lifecycle Support(ELS) は最大5年の追加セキュリティサポートを提供
  • Adobe、Qualcomm、Google、MongoDB、Anaconda などの主要企業が DHI を採用またはパートナーとして参加し、ソフトウェアサプライチェーンセキュリティ強化に取り組んでいる
  • Docker は今回の取り組みを通じて、すべての開発者と組織がデフォルトで安全なコンテナ環境から始められる業界標準を構築

Docker Hardened Images の概要

  • Docker Hardened Images(DHI) は、2025年5月のリリース以降、1,000以上のイメージと Helm Chart を強化してきたセキュリティ重視のイメージセット
    • 2025年12月からすべての開発者に無料かつオープンソースで提供
    • Apache 2.0 ライセンスで配布され、利用・共有・改変に制約はない
  • Docker Hub は月間200億回以上のイメージプルを記録しており、世界中で2,600万人以上の開発者がコンテナエコシステムに参加
  • サプライチェーン攻撃は2025年に600億ドル以上の被害をもたらし、2021年比で3倍に増加しており、これに対応するためのセキュリティ強化の必要性が強調されている

DHI の主な特徴

  • 透明性と最小化を中核とするセキュアなイメージ構造
    • Distroless ランタイムを使って攻撃対象領域を最小化しつつ、必要な開発ツールは維持
    • すべてのイメージに 完全な SBOMSLSA Build Level 3 の来歴情報 を含む
    • 公開 CVE データに基づく評価により、脆弱性を隠すことなく透明性を維持
    • すべてのイメージに 真正性検証用の署名 を含む
  • Alpine および Debian ベースのため、既存の開発チームが最小限の変更で導入可能
    • Docker の AI Assistant が既存コンテナを解析し、対応する強化イメージの推奨または自動適用を支援(現在は実験段階)
  • セキュアなデフォルトを維持しながら、イメージサイズを最大95%まで削減
    • DHI Enterprise では CVE がほぼゼロの水準 を保証

DHI Enterprise と ELS

  • DHI Enterprise
    • 規制産業および政府機関向けに FIPS・STIG 対応イメージ を提供
    • CIS ベンチマーク準拠、7日以内の 重大 CVE 修正 SLA を提供
    • イメージのカスタマイズ、ランタイム構成、証明書・パッケージ追加など、完全な制御が可能
    • Docker のビルドインフラを通じて ビルド来歴とコンプライアンスを自動管理
  • DHI Extended Lifecycle Support(ELS)
    • DHI Enterprise の有償拡張オプションで、最大5年間の追加セキュリティパッチ を提供
    • アップストリームのサポート終了後も、継続的な CVE パッチ、SBOM 更新、署名および監査可能性の維持 を提供

エコシステム拡張とパートナーシップ

  • DHI は Google、MongoDB、CNCF、Snyk、JFrog Xray などと協力し、セキュアなサプライチェーン統合を推進
    • Snyk と JFrog Xray は DHI をスキャナーに直接統合
    • CNCF は DHI がオープンソースエコシステムの強化に貢献すると評価
  • Adobe、Qualcomm、Attentive、Octopus Deploy などの企業が、DHI を通じて コンプライアンスとセキュリティ水準の向上 を実現
  • MongoDB、Anaconda、Socket、Temporal、CircleCI、LocalStack などの主要技術企業が、DHI の開放性とセキュリティ性を支持

Docker Hardened Helm Charts と MCP Servers

  • Hardened Helm Charts により、Kubernetes 環境でも DHI イメージを活用可能
  • Hardened MCP Servers により、Mongo、Grafana、GitHub など主要 MCP サーバーのセキュリティ強化版を提供
    • 今後は セキュリティライブラリ・システムパッケージ などへ拡張予定
    • 目標はアプリケーションの main() 関数からスタック全体までセキュリティを確保すること

Docker の哲学とビジョン

  • ベースイメージがアプリケーションセキュリティを左右するため、完全な透明性と検証可能な信頼性の確保が中核
  • DHI は セキュリティがデフォルトの開発環境 を提供し、すべての開発者と組織が同じ水準のセキュリティ基盤から始められる
  • 今回の無料公開は、10年以上前に Docker Official Images を無料提供した精神の延長線上にある
    • 明確なドキュメント、一貫した保守、オープンなパートナーシップを通じて、業界全体のセキュリティ水準向上を目指す

始め方

結論

  • Docker は DHI を通じて、すべての開発者にセキュリティがデフォルトのコンテナ環境 を提供
  • 今回の取り組みは ソフトウェアサプライチェーンセキュリティの業界標準化 を加速し、オープンソース協業に基づく 持続可能なセキュリティエコシステム の構築を目指す

関連記事

1件のコメント

 
GN⁺ 2025-12-19
Hacker Newsのコメント

  • Dockerの**Hardened Images(DHI)**が、いまや誰でも無料で使えるようになった
    規制産業(銀行、保険、政府機関など)では、この種のセキュリティ強化イメージに強い関心がありそう

    • 以前に無料レジストリを有料化した前例があるので、Dockerの無料方針は信用しづらい
      業界全体でbait and switchのパターンがあまりにも一般的になっている
    • VulnFreeのCEOとして見ると、今回の発表は単なるマーケティング戦略に見える
      Chainguardの成長率はDockerよりはるかに大きく、Dockerはその流れに追いつこうとしているようだ
    • イメージをpullしようとしたら401エラーが出た。ログイン必須? 無料にしては妙なやり方だ
    • ログインゲートがあるせいで、試す気すらなくなった。不要な摩擦だ
    • この発表文そのものがLLMが生成したような印象を受ける

  • Bitnami/VMWare/BroadcomのHelmチャート終了に対するDockerの対応に見える

    • おそらくChainguardの急成長への反応だろう。AIではなくセキュアなイメージ分野にVCが数億ドルを投資している
    • 自分もそう思う

  • 最初に見たとき、これは単純に置き換え可能なソリューションではないと感じた
    ログインが必要で、**PAT(personal access token)**が個人アカウントに紐づいている
    スタートアップとしては、エンタープライズプランについて問い合わせる理由がない
    CI/CD環境で使えず、ローカル開発専用にしか使えないなら実用性は低い

    • Docker for Teamsは月15ドル程度で、エンタープライズ向けハードンドイメージはオフラインミラーリングや規制対応向けに別扱いだ
      CVEハードンドイメージの本質的な価値はスケールにおける信頼性にある。チーム単位で自前スキャンやパッチ適用をするのは現実的ではないからだ

  • ハードンドイメージ市場は飽和しているように見える
    KubeConでも少なくとも3社が同じサービスを提供していた
    Chainguardが最初に市場を切り開き、0 CVEイメージはスタートアップがセキュリティ審査を通すうえで大いに役立った
    しかし、Minimus、Ironbankなど競合が増えている。エコシステムには好ましいが、市場自体はそこまで大きくないのかもしれない

    • 本当の問題は市場飽和ではなく、Dockerが無料で提供すれば市場そのものが消える可能性があること
    • ChainguardはVMイメージや言語別リポジトリへと拡張しているが、規制産業以外でどれだけ有料需要があるのかは疑問だ
      Dockerが無料で出せば参入障壁が下がり、試しやすくなる
    • IronbankのイメージはDoD以外の組織でも使える。アカウント登録だけでよい
    • VulnFreeのCEOとして見ると、Chainguardが最初だったかは分からないが、依然として満たされていない需要は存在する
    • 実際にはIronbankのほうがChainguardより先にこうしたことをやっていた。だが品質は低く、コンテナを頻繁に壊す問題があった
      glibcのバージョン差異でセグフォルトが起きるなど、ハードニング工程は単なるバイナリコピーに近かった
      政府や規制産業では依然として需要が大きいが、独立した事業としては持続可能性が低い
      Chainguardは創業者の名声によって持ちこたえている印象で、結局はLinuxディストリビューションのビジネスモデルに近い
      すでにLinuxディストリビューションを運営している企業にとっては、こうしたサービスは自然な拡張だ

  • Docker社員として、secure-by-defaultをすべての開発者の出発点にしたい
    すべてのイメージにVEXドキュメントとattestations、メタデータを含めて透明性を高めた
    ベースイメージだけでなく、MCPサーバーなどスタック全体へ広げていく予定だ
    エンタープライズティアでは、継続的パッチSLAFIPSバリアントセキュリティカスタマイズなどを有償で提供する
    これによりコミュニティ向けには無料カタログを維持できる

    • 例として挙げられているPHPイメージ仕様Dockerfile形式が見慣れない
      これをビルドするための専用ツールがあるのか気になる

  • Dockerの無料方針には、いつでも有料化され得るという不安がある
    以前のDocker DesktopやRegistryがそうだった

    • こうした事例が再び起これば、企業は無料サービスへの依存に慎重になるだろう
      例: Google G Suite無料アカウント終了をめぐる集団訴訟
    • さらに腹立たしいのは、Dockerが自社レジストリ以外の設定を妨げていた点
      そのためRed HatがPodmanを作った

  • Bitnamiが無料ハードンドイメージを終了した時期とDockerの発表が重なっているのは興味深い
    また別の**「無料から有料への転換」シナリオが繰り返されるのではと心配になる
    Dockerはいつも    VC流の成長戦略**に従っているように見える

    1. 無料でエコシステムを確保
    2. ユーザーをロックインしてから有料化
    3. 収益化
    • うちのチームはすでにBitnamiイメージからインフラを移行した。Dockerはもう信用していない

  • Dockerが維持しなければならないビルドスクリプトはかなり複雑だ
    例: TraefikビルドYAML
    一方でNixはすでに大半のソフトウェアをパッケージ化しており、コンテナ化も追加作業なしで可能だ
    再現可能なビルド大規模なキャッシュインフラもすでに存在する
    Dockerがこの水準に到達するには、コミュニティなしで自力ですべてを構築しなければならない

  • オープンソースだと言うが、Traefikハードンドイメージソースコードが見当たらない
    カタログYAMLは単なる設定ファイルであって、ビルドファイルではない
    dhiというツールが必要そうだが、ドキュメントがない
    オフライン環境で自前ビルドできないなら、真のオープンソースとは言いがたい

  • VulnFreeのCEOとして見ると、Dockerの今回の発表はChainguardの勢いを牽制するためのマーケティング
    この分野には革新が乏しく、ほとんどがChainguardのモデルを変形したものにすぎない
    Chainguardの資金調達以後、VCは「セキュアなイメージ」市場に殺到し、Bitnamiは有料化を試み、Dockerはその空白を無料提供で埋めた
    しかしソースコードを公開しない理由は明白だ――公開すれば参入障壁が消えるからだ
    現在の価格帯では、自前でビルドしたほうが安い
    VulnFreeはカスタムハードンドイメージによって開発チームのワークフローに合わせることこそが本当の価値だと考えている