Docker、セキュアな強化版コンテナイメージ「Docker Hardened Images」を無償提供：脆弱性を最大95％削減

Dockerは1000種類以上の「Docker Hardened Images」をApache 2.0ライセンスで公開すると発表した。脆弱性を大幅に削減した強化版イメージを無償で提供する。

[＠IT]

　Dockerは2025年12月17日（米国時間）、有料版で提供されていた1000種類以上の「Docker Hardened Images」（DHI）を、オープンソースライセンス「Apache 2.0」の下で、無償で提供すると発表した。DHIは脆弱（ぜいじゃく）性のリスクを大幅に低減した、セキュリティを強固にした“ハードニング済み”の強化版コンテナイメージとなっている。

「Docker Hardened Images」（DHI）を無償提供（Docker公式サイトより）

セキュアな強化版コンテナイメージを無償提供、その背景は？

　コンテナはアプリケーションを本番環境で動かすための標準的な手段となり、コンテナイメージの共有サービス「Docker Hub」では、毎月200億回以上のプル（イメージのダウンロード）が発生しているという。一方で、ソフトウェア開発に不可欠なライブラリやコンテナイメージの供給過程を狙う「ソフトウェアサプライチェーン攻撃」のリスクが深刻化している。

　今回無償化された強化版イメージであるDHIは、Linuxディストリビューションの「Debian」および「Alpine Linux」をベースに構築されている。従来のコミュニティー版イメージと比較して脆弱（ぜいじゃく）性を最大95％削減しているという。DHIは以下の要素を標準で備える。

• ソフトウェア部品表（SBOM）
• 公開CVE（共通脆弱性識別子）データ
• SLSA（サプライチェーンセキュリティフレームワーク） Build Level 3のプロバンス（来歴情報）
• 暗号化による真正性証明

　DHIは、ディストリビューションレス（アプリケーションの実行に必要な最小限のファイルだけを含む）なランタイムを採用することで、開発者が必要とするツールを維持しつつ、攻撃対象領域を最小限に抑えるという。既存のコンテナをスキャンし、同等のDHIを推奨・適用するAI（人工知能）アシスタント機能も提供する。

MCP対応とエンタープライズ向け支援

　Dockerは、AI開発で利用が広がる「MCP」（Model Context Protocol）サーバにもDHIの強化手法を拡張する。MCPサーバは新たな侵入経路となり得る存在であり、データ漏えいリスクが指摘されているためだ。「Grafana」や「MongoDB」「GitHub」などの、10種類以上の主要MCPサーバの強化版イメージを公開した。

　高度なセキュリティとコンプライアンス（法令順守）を求める組織向けには、以下の要件に対応する有料の「DHI Enterprise」を提供する。

• SLA（サービスレベル契約）
  • 致命的な脆弱性に対し7日以内（将来的に24時間以内）の修正を保証
• 準拠規格
  • FIPS（連邦情報処理規格）およびSTIG（セキュリティ技術実装ガイド）に準拠
• フルカスタマイズ
  • 信頼性を維持した状態でのランタイム設定や証明書の追加

　開発元のサポート終了後も保護を継続する「DHI Extended Lifecycle Support」（DHI ELS）も導入する。DHI ELSでは、アップストリームのサポート終了後も5年間にわたりセキュリティ保護策を継続し、CVEのパッチ提供、SBOMの更新、継続的な監査対応を実施する。