---
title: Dockerと取り組むサプライチェーンセキュリティ：脆弱性を根本からなくす「Hardened Container Images」
tags:  #docker #security  
author: [根本 征(Tadashi Nemoto)](https://image.docswell.com/user/tadashi0713)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/PJXQRD547X.jpg?width=480
description: Developers Summit 2026 Summer https://event.shoeisha.jp/devsumi/20260716/session/6907  多数の OSS で構成されるコンテナイメージは、近年のソフトウェアサプライチェーン攻撃の主要な標的となっています。 一方で、イメージスキャンやアラートを導入しても、脆弱性や依存関係の多さから対応が後回しになり、修正が開発者の大きな負荷になるケースも少なくありません。 こうした課題への解決策として、脆弱性や依存関係を最小化した「Hardened Container Images」が注目を集めています。 本セッションでは、Docker が 2025 年 12 月に Apache 2.0 ライセンスのオープンソースとして無償提供を開始した「Docker Hardened Images (DHI)」を実践例に、なぜコンテナイメージで脆弱性や依存関係を削減しづらいのか、そして Hardened Container Images が「後追いではない」サプライチェーンセキュリティをどう実現するのかを解説します。
published: July 17, 26
canonical: https://image.docswell.com/s/tadashi0713/ZMQGRX-developers-summit-2026-summer
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/PJXQRD547X.jpg)

Docker と取り組む
サプライチェーンセキュリティ
脆弱性を根本からなくす「Hardened Container Images」
Developers Summit 2026 Summer
Tadashi Nemoto
Strategic Solutions Engineer, Docker


# Page. 2

![Page Image](https://bcdn.docswell.com/page/3JK9RX6PJD.jpg)

自己紹介
複数の日系企業でテスト自動化エンジニア
・DevOps エンジニアとして活動した後、
プリセールスエンジニアとして DevSecOps、
CI/CD、自動テストを中心にお客様の技術支援や
情報発信を行ってきました。2024 年 8 月に日本
拠点 1 人目のプリセールスエンジニアと
tadashi0713.dev
して Docker に入社。
tadashi-nemoto
tadashi0713-dev


# Page. 3

![Page Image](https://bcdn.docswell.com/page/LE3W8564E5.jpg)

このセッションの概要
2013 年に Docker が広めたコンテナ技術は、その開発・運用のしやすさからクラウドネイティブ開発の標準と
なりました。
一方で、多数の OSS で構成される「コンテナイメージ」は、近年急増する脆弱性や改ざんによる
ソフトウェアサプライチェーン攻撃の標的となりつつあります。
このような課題に対し、脆弱性や依存関係を最小化したデフォルトで安全なコンテナイメージ
「Hardened Container Images」が注目を集めています。
本セッションでは、 Docker がオープンソースとして無償提供を開始した「 Docker Hardened Images
(DHI)」を実践例に、なぜコンテナイメージで脆弱性や依存関係を削減しづらいのか、そして Hardened
Container Images が「後追いではない」ソフトウェアサプライチェーンセキュリティをどう実現するのかを解
説します。


# Page. 4

![Page Image](https://bcdn.docswell.com/page/8EDKMDV57G.jpg)

アジェンダ
●
コンテナイメージに含まれる依存関係と脆弱性
●
近年のソフトウェアサプライチェーン攻撃
●
安全なイメージを選択する基準と
Hardened Container Images
●
Hardened Container Images への移行方法(デモ)
●
まとめ


# Page. 5

![Page Image](https://bcdn.docswell.com/page/V7PKRXVDJ8.jpg)

コンテナイメージに含まれる
依存関係と脆弱性


# Page. 6

![Page Image](https://bcdn.docswell.com/page/2JVVRLZGJQ.jpg)

最も人気のある開発者ツール
アプリケーションと依存関係のパッケージ化
95%
アプリケーションのポータビリティ
Gartner の調査によると、
軽量でリソース効率が高い
2029年までに95%以上の企業が
コンテナ化されたアプリケーションを本
高い隔離性と再現性
番環境で実行すると予測
*2025 Stack Overflow Developer Survey


# Page. 7

![Page Image](https://bcdn.docswell.com/page/5EGLMXMDJL.jpg)

Dockerfile
FROM node:20-alpine
OSAlpine Linux)とランタイム
Node.js)、それに必要な依存関係がイ
ンストールされたベースイメージを利用
WORKDIR /app
RUN apk add --no-cache curl
必要な OS パッケージを個別に
インストール
COPY . .
RUN npm install --production
EXPOSE 3000
CMD [&quot;npm&quot;, &quot;start&quot;]
アプリケーションの依存パッケージ
(npm, pip, Maven, RubyGem など)
をインストール


# Page. 8

![Page Image](https://bcdn.docswell.com/page/4JQYR8RX7P.jpg)

ソフトウェアサプライチェーン攻撃
コンテナイメージには、多くの OSS の依存関係を含む
ことになり、その依存関係の中に(意図的にインストー
ルしていなくても)改ざんされた
コンポーネント・脆弱性が含まれている場合、
自分たちのコンテナイメージにも影響を受ける
1つのパッケージを改ざん・脆弱性を悪用するだけで、(意
図的にインストールしていないものも含め)多くのアプリ
ケーションに悪影響を与えることが
できる
https://anchore.com/software-supply-chain-security/what-is-sscs/


# Page. 9

![Page Image](https://bcdn.docswell.com/page/K74W8282E1.jpg)

近年のソフトウェアサプライチェーン攻撃


# Page. 10

![Page Image](https://bcdn.docswell.com/page/LJ1Y2M2KEG.jpg)

脆弱性(CVEs)の急増とサプライチェーン攻撃の深刻化


# Page. 11

![Page Image](https://bcdn.docswell.com/page/GJWGR3RP72.jpg)

Log4j(CVE-2021-44228, Log4jShell)
2021年末に明らかになったJavaのログ出力ライブラリー「Apache Log4j」の脆弱性が、ランサム
ウエア（身代金要求型ウイルス）攻撃に悪用され出した。米Microsoft（マイクロソフト）は2022年1
月10日、Log4jの脆弱性を悪用する新手のランサムウエア「Night Sky」が広まっていると明らか
にした。
同社によれば、中国に拠点を置くサイバー犯罪者集団（マイクロソフトは「DEV-0401」と呼称）
がNight Skyを使って、米VMware（ヴイエムウェア）の仮想デスクトップ構築用ソフト「VMware
Horizon」を標的とする攻撃を2022年1月4日にも開始したという。VMware HorizonはLog4jのコ
ンポーネントを含んでいる。不正侵入された企業はNight Skyを社内に展開されるという。
Night Skyは既に「戦果」を上げているもようだ。同犯罪者集団は情報システムの設計・構築や
電気工事を手掛ける東京コンピュータサービス（東京・文京）を2021年12月に攻撃し、ファイル
サーバーに保管されていた130ギガバイトのデータなどを盗んだと主張。「第1弾」として、数ギガ
バイトのデータを闇サイトに暴露した。サイバーセキュリティーの専門家によると、IT大手や自動
車大手、金融機関などとの取引情報が含まれるという。
Log4Shell 公開から 3 年以上経過した後にも、約 13 %影響のあるバージョンがダウンロー
ド(sonatype: 10th Annual State of the Softare Supply Chain)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06457/


# Page. 12

![Page Image](https://bcdn.docswell.com/page/4EZLRVR673.jpg)

XZ Utils バックドア(CVE-2024-3024)
2024年3月、複数の Linux ディストリビューションなどで利用されて
いるファイル可逆圧縮ツールである XZ Util で悪意のあるコードが挿入
された。
●
インストールされたシステムでは、特定条件下で SSH ポート経由で外
部から攻撃者が接続できるような改ざんが行われた
●
ハッカー(Jia Tan)は開発者コミュニティ(GitHub)で積極的な貢献を行い
信頼を獲得したのち、メンテナンス権限を用いてバックドアを仕込んだ
●
多くの Linux ディストリビューションが影響
○
Debian, Red Hat, Arch Linux, Alpine Linux, SUSE /
openSUSE, Ubuntu
●
発覚から 1 年以上経過した後も 35 以上の Docker Hub イメージに
バックドア入りの XZ Utils が残存していることが確認された
https://thehackernews.com/2025/08/researchers-spot-xz-utils-backdoor-in.html


# Page. 13

![Page Image](https://bcdn.docswell.com/page/Y76WR5RL7V.jpg)

MongoDB(CVE-2025-14847, MongoBleed)
2025 年 12 月に発見された、MongoDB Server がネットワーク通信を処理
する初期段階で、zlib 圧縮メッセージのバッファ管理を誤ることにより発生
する情報漏洩脆弱性
攻撃に認証が一切不要なため、インターネット上に公開されている対象の
MongoDB サーバー(ポート27017)にアクセス可能であれば、誰でもサー
バーのメモリ情報を盗み見ることができてしまう。漏洩するメモリ情報には、
そのサーバーが処理していた他のユーザーの直近のデータ、認証用のセッ
ションID、APIキー、あるいは平文のパスワードそのものなど、極めて機密
性の高い情報が含まれる可能性がある。
影響を受ける範囲も広く、MongoDB のバージョン 4.4、5.0、6.0、7.0、8.0
といった主要なバージョンの多くがこの問題を含んでいた。
既に世界中で 8,7000 台の MongoDB サーバーがインターネット上に無防
備な状態で露出しており、ゲーム大手 Ubisoft の大規模な侵害にも関連し
ていることが判明した。
https://xenospectrum.com/mongobleed-cve-2025-14847-mongodb-exploit-ubisoft-breach/


# Page. 14

![Page Image](https://bcdn.docswell.com/page/G75M8Y8M74.jpg)

安全なイメージを選択する基準と
Hardened Container Images


# Page. 15

![Page Image](https://bcdn.docswell.com/page/9J29KGKRER.jpg)

Dockerfile
FROM node:20-alpine
WORKDIR /app
➔ コンテナイメージで検出される脆弱性の 94.2% はベースイメージから継承
Hassan el al., 2021
RUN apk add --no-cache curl
➔ Node.js の公式イメージは検出された脆弱性が 1 年で約 11% 増加 580462
Snyk State of Open Source Security)
COPY . .
➔ シェルやパッケージマネージャーなどアプリケーション実行には必要ない
RUN
npm install --production
コンポーネントが、依存関係や潜在的な脆弱性の総数を増加させる
➔ 開発者自身で脆弱性対応を行うのが難しく、一般的には開発者コミュニティに
EXPOSE
3000
よるボランティアベースの脆弱性対応
➔ 発行元が不明確だと、マルウェアの混入やバックドアが仕掛けられる可能性も
CMD [&quot;npm&quot;, &quot;start&quot;]


# Page. 16

![Page Image](https://bcdn.docswell.com/page/DEY4NVN5JM.jpg)

CLI
$ docker run -e POSTGRES_PASSWORD=dev \
-p 5432:5432 postgres:17.1
$ psql -h localhost -U postgres
サードパーティーのイメージを本番環境などで動かした場合にも、
この依存関係・脆弱性の問題は残り続ける


# Page. 17

![Page Image](https://bcdn.docswell.com/page/VJNYXMX478.jpg)

安全なイメージを選択する基準
信頼できるパブリッシャーからイメージ
を選択する
必要最小限のコンポーネントで構成された
イメージを選択する
発行元が不明確なイメージを排除することによって、
公式を装った悪意のあるイメージ(タイポスワッピング)やマル
ウェアの混入・バックドアが仕掛けられたイメージを未然に防ぐ
アプリケーション実行自体には不要なパッケージを
なるべく排除したイメージを選択することで攻撃対象領域や潜
在的な脆弱性の総数を削減
Docker Hub では発行元を明確にした、より信頼性のあるイ
メージをカテゴライズして提供
➔ Slim
Debian から、実行に必須ではないファイルを削除して、一
部軽量化したもの)
➔ Docker Official Images
Docker と開発元が共同でメンテナンス)
➔ Docker Verified Publisher Images
Docker のパートナーシップを結んだ企業が提供)
➔ Docker Sponsored OSS Images
Docker が支援している OSS プロジェクト)
➔ Alpine
Alpine Linux という Linux ディストリビューション
をベースにしたもの。軽量かつ攻撃対象領域が小さいが、
互換性の問題が出る可能性も)
➔ Distroless
(アプリケーションとその依存関係のみを含めた、
究極に削減されたイメージ。デバッグのしづらさなどが課題
になることも)


# Page. 18

![Page Image](https://bcdn.docswell.com/page/YE9P8N84J3.jpg)

イメージ選定における課題
発行元が明確なイメージ ≠
依存関係・脆弱性が少ない
必要最小限のコンポーネント ≠ 脆
弱性対応が速い
Distroless はイメージの
種類が少ない
その中でも様々なイメージの種類が提供され
ており、その選択次第で依存関係・脆弱性の
総数が異なる
潜在的な脆弱性の総数は減らせるものの、
発生した脆弱性に対する修正は依然としてコ
ミュニティによるボランティアベース
主要な言語ランタイムJava, Python,
Node.js, Go, Rust など)のみで、
Postgres, Redis, Nginx などのイメージは
提供されていない
組織として安全なイメージを選定したい場合に
複雑になってしまう・統制が効かなくなってしまう


# Page. 19

![Page Image](https://bcdn.docswell.com/page/GE8D8K8VED.jpg)

Hardened Container Images
依存関係・脆弱性を根本から大幅に削減Near Zero CVEs)し、脆弱性が検知されると
即座にパッチ適用を行うSLA保証)
Chainguard Containers
Docker Hardened Images(DHI) Enterprise
ソフトウェアサプライチェーンセキュリティに特化したChainguard 社が
2022 年から提供を開始した
Hardened Container Images
Docker 社が 2025 年から提供を開始した
Hardened Container Images
コンテナ専用に設計されたOS「Wolfi」を採用し、不要な
パッケージが極限に削減されている
➔
➔
➔
2000 以上のイメージを提供
CVE に対する SLA 保証
最大 6 ヶ月の EOL Grace Period(猶予期間) を提供
既存の Linux ディストリビューションAlpine / Debian)と高い互換性
を持っており、Dockerfile に大きな変更をすることが
なく、依存関係や脆弱性を大幅に削減
➔
➔
➔
2000 以上のイメージを提供
CVE に対する SLA 保証
オプションで、最大 5 年間の Extended Lifecycle Support
を提供


# Page. 20

![Page Image](https://bcdn.docswell.com/page/LELMRZRR7R.jpg)

ベースイメージに含まれる脆弱性を 24 時間以内に修正
Golang プロジェクトで広く使われている
golang.org/x/crypto/ssh に影響を与える3つの脆弱性
(CVE-2025-47913, CVE-2025-47914, CVE-2025-58181)
DHI Enterprise は 24 時間以内にパッチ修正版を
リリース
●
バッチスケジュールではなく、 CVE が発表されたら
即時にアドバイザリーデータベースに
取り込み、モニタリング
●
SBOM を参照し、影響のあるイメージを即時
評価
●
自動的にセキュリティパッチワークフローを
実施し、修正版イメージを配布
https://www.docker.com/ja-jp/blog/how-docker-hardened-images-patch-cves-in-24-hours/


# Page. 21

![Page Image](https://bcdn.docswell.com/page/4JMYRVRPJW.jpg)

2025/12 Community Edition
CVEs がほぼゼロのイメージを 2000 以上提供
シェルやパッケージマネージャーを含めない攻撃対象領域を
大幅に削減した distroless ランタイムイメージも提供
既存の Linux ディストリビューション Debian, Alpine)
との高い互換性、簡単な移行を実現
SBOM, Provenance, CVE 情報の完全公開
SLSA Build Level 3 の実現
Apache 2.0 の完全なオープンソース


# Page. 22

![Page Image](https://bcdn.docswell.com/page/PJR9R2RY79.jpg)

Hardened Container Images
への移行方法 (デモ)


# Page. 23

![Page Image](https://bcdn.docswell.com/page/PEXQRDR4JX.jpg)

まとめ


# Page. 24

![Page Image](https://bcdn.docswell.com/page/3EK9RXRPED.jpg)

まとめ
●
コンテナイメージには多くの依存関係が含まれており、その脆弱性を
狙ったソフトウェアサプライチェーン攻撃が急増・深刻化
●
特にベースイメージに含まれるアプリケーション実行に不要な依存関係
(シェルやパッケージマネージャー)によって潜在的な脆弱性の総数が増
えがち
●
組織として安全なイメージを選択したい場合に
複雑になってしまう・統制が効かなくなってしまう
●
Hardened Container Images
○
信頼された発行元から提供された、アプリケーション実行に不要な
依存関係・攻撃対象領域を大幅に削減されたイメージ
○
既知の CVEs をほぼゼロ、追加で迅速な脆弱性パッチ・SLA保証
のサポートを受けることが可能


# Page. 25

![Page Image](https://bcdn.docswell.com/page/L73W858475.jpg)

Thank you!!
tadashi.nemoto@docker.com


