Dockerが2025年5月にリリース予定のDocker Hardened Imagesについて解説。従来のイメージと比べてセキュリティリスクを大幅に削減し、イメージサイズも最大95%圧縮する革新的なアプローチです。
コンテナイメージの脆弱性問題
Dockerコンテナは開発と運用を効率化する技術ですが、セキュリティの観点では大きな課題を抱えています。
一般的なDockerイメージには、アプリケーションが直接使わないパッケージやツールが大量に含まれています。これらの「使っていないけど入っている」コンポーネントに脆弱性が発見されると、それだけでセキュリティリスクとして報告されます。
結果として、docker scanや脆弱性スキャンを実行すると数十〜数百のCVEが検出されるのは珍しくありません。対応しきれないアラートが蓄積し、「スキャンはしているが、対処が追いつかない」という状況に陥る組織が増えています。
2026年3月にはnpmパッケージのaxiosがサプライチェーン攻撃を受け、依存パッケージ経由でマルウェアが仕込まれる事件も発生しました。コンテナイメージの依存関係も同様のリスクを抱えており、「何が含まれているか把握できていない」こと自体がリスクです。
Docker Hardened Images(DHI)とは
Docker Hardened Images(DHI)は、Dockerが提供するセキュリティ強化されたコンテナイメージです。従来の「便利さ優先」のイメージとは異なり、最小限のコンポーネントのみを含む設計思想で作られています。
2025年5月に初回リリースされ、1000以上のイメージとHelmチャートが提供されています。2025年12月にはCommunity EditionがApache 2.0ライセンスで無償・OSSとして公開され、2026年2月にプランが更新されました。
カタログは dhi.io で公開されており、Node.js、Python、PostgreSQL、Nginx など主要な言語・ミドルウェアが揃っています。
従来のDockerイメージと何が違うのか
不要なものを徹底的に除去
従来のDockerイメージ(例: node:18)は、開発の利便性を重視して多くのツールやライブラリがプリインストールされています。本番環境では使わない curl、wget、git、各種デバッグツールなどが含まれており、これらがCVEの温床になります。
DHIはこのアプローチを逆転させ、アプリケーションの実行に必要なものだけを含みます。Dockerの公式発表によると、イメージサイズは最大95%削減、CVEはほぼゼロまで削減されるとしています。
SBOM(Software Bill of Materials)の標準提供
DHIには、含まれるすべてのソフトウェアの一覧(SBOM)が付属しています。「このイメージには何が入っているか」が完全に可視化されるため、脆弱性が発見された際に「自分のイメージは影響を受けるか」をすぐに判断できます。
SLSA Build L3の来歴情報
ビルドプロセスの透明性を示すSLSA(Supply-chain Levels for Software Artifacts)Build L3レベルの来歴情報が提供されます。これにより、イメージが改ざんされていないことを検証できます。
プラン構成
DHIは3つのプランで提供されています。
| 項目 | Community | Select | Enterprise |
|---|---|---|---|
| 価格 | 無償 | 有償 | 有償 |
| ライセンス | Apache 2.0 | 商用 | 商用 |
| CVE削減 | 大幅削減 | SLA付き対応 | ほぼゼロ保証 |
| SBOM | あり | あり | あり |
| FIPS/STIG対応 | なし | あり | あり |
| カスタムイメージ | なし | 最大5個 | 無制限 |
| 拡張ライフサイクル | なし | なし | あり |
Community(無償)
サブスクリプション不要、利用制限なし、ベンダーロックインなしで利用できます。Apache 2.0ライセンスのため、ソースコードの確認や改変も自由です。個人開発、スタートアップ、OSSプロジェクトなど、まず試してみたいケースに適しています。
Select(有償)
FIPS/STIGバリアントが利用でき、政府機関や金融機関など厳格なセキュリティ要件がある環境に対応します。SLA付きの脆弱性対応により、一定時間内での修正が保証されます。
Enterprise(有償)
CVEほぼゼロの保証付き。カスタムイメージの作成が無制限で、拡張ライフサイクルサポートにより長期運用にも対応します。セキュリティが事業に直結する大規模プロジェクト向けです。
どんなプロジェクトで効果が大きいか
効果が特に高いケース:
- 本番環境のコンテナ — 開発ツールが不要な環境では、DHIの最小構成がそのまま活きる
- マイクロサービス — イメージ数が多いほど、サイズ削減とCVE削減の効果が積み上がる
- CI/CDパイプライン — イメージpullの高速化がビルド時間短縮に直結する
- コンプライアンス要件があるシステム — SBOM、SLSA、FIPS対応がそのまま要件を満たす
慎重に検討すべきケース:
- 開発環境 — デバッグツールが含まれないため、開発時には不便な場合がある
- レガシーアプリケーション — 暗黙的に依存しているパッケージが多い場合、移行に手間がかかる可能性
サーバー管理、丸ごとお任せください
サーバー保守・運用
監視・障害対応・パフォーマンス改善まで、安定稼働をサポートします
※ 通常1営業日以内にご返信します
まとめ
Docker Hardened Imagesは、「コンテナイメージに何が入っているか分からない」「CVEが多すぎて対処できない」という長年の課題に対する、Dockerからの回答です。
Community Editionが無償で利用できるため、導入のハードルは低いです。まずは既存プロジェクトのイメージをDHI版に差し替えて、CVE数やイメージサイズがどう変わるか確認してみることをお勧めします。