Dockerが、ユーザー名前空間サポートなどのセキュリティ強化を発表：DockerCon EU 2015

[三木 泉，＠IT]

　Dockerは2015年11月16日（現地時間）、スペイン・バルセロナで開催中のDockerCon EU 2015で、Dockerコンテナのセキュリティ向上に向けた3つの発表を行った。3つとは、コンテナの動作にルート権限を不要とするユーザー名前空間のサポート、コンテナ署名におけるハードウエアの活用、Docker HubのOfficial Repositoriesを対象としたスキャンおよび脆弱性検知の実施。同社は、ソフトウエア開発者のワークフローを妨げない形で、セキュリティの強化を進めていくと、基調講演で宣言した。

コンテナは、ホストのルート権限が不要に

　Dockerではこれまで、Dockerデーモンとコンテナの双方で、ホストOSのルート権限が必要だった。このため、コンテナからOSに対して、あらゆる操作ができるようになっていた。また、テナント間の権限分離もできていなかった。これが1.9 Experimentalリリースでは、Linuxの「user namespace（ユーザー名前空間）」に対応、各コンテナに閉じた特権をユーザーグループに割り当てられるようになった。

コンテナイメージのハードウエア署名

　Dockerは、2015年8月、バージョン1.8における「Docker Content Trust」の実装を発表した。Notaryというツールを使い、オフラインでの署名手段を提供することで、Dockerイメージの発行者の真正性、イメージの一貫性を確認できるようになっていた。

　今回Dockerが発表したのは、このDocker Content Trustにおけるハードウエア署名。Yubicoとの提携により、YubiKeyをサポート、YubiKeyに対するタッチで、コード署名が実行できるようになった。

Dockerイメージのスキャン／脆弱性検出サービス

　また、Dockerは、Official Repositoriesに登録されたISVのDockerイメージを対象として、スキャンおよび脆弱性検出のサービスを提供すると発表した。これまで、ユーザーは各ISVの提供する情報を信用するしかなかった。だが、この新サービスによって、コンテナイメージに何が含まれているのかに関する詳細な情報が得られるようになるという。また、Official RepositoriesはDocker Content Trustに対応しているため、Dockerイメージの発行者の真正性、イメージの一貫性を確認できるとしている。