Docker Scout を使ったコンテナセキュリティの可視化と管理
304 Views
April 04, 25
スライド概要
https://www.docker.com/ja-jp/resources/visualize-and-manage-container-security-with-scout-webinar/
複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOps、CI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。
関連スライド
各ページのテキスト
Docker Scout を使った コンテナセキュリティの可視化と管理 2025/04/04 11:00~12:00 根本 征(Tadashi Nemoto) Solutions Engineer, Strategic
このウェビナーの概要 Docker Scoutは、コンテナのセキュリティ管理を効率化し、ソフトウェアサプライチェーン全体の安全性を確保するため の最新ツールです。 本ウェビナーでは、Docker Scoutの最新機能や脆弱性の特定や対応方法、運用のベストプラクティスについて詳しく 解説します。 また、実際の活用例を交えながら、貴社のセキュリティ戦略に役立つ実践的な知識をご提供いたします。 このような方におすすめです: ● コンテナセキュリティの最新動向を把握したい方 ● 組織のセキュリティ体制を強化し、ベストプラクティスを導入したい方 ● SCA(ソフトウェア構成解析)やSBOM(ソフトウェア部品表)を活用した運用を検討している方 この機会にぜひご参加いただき、Docker Scoutを活用してセキュリティの強化とコンテナ管理の最適化にお役立てく ださい!
アジェンダ 01. Docker の製品群・サブスクリプション 02. Docker Scout とソフトウェアサプライチェーン・ SBOM 03. Docker Scout をローカル環境 (Docker Desktop・CLI)で実行する 04. Docker Scout を CI(GitHub Actions)で実行する 05. Docker Scout をコンテナレジストリ (Amazon ECR)と連携する 06. Docker Scout のダッシュボードとポリシー評価 07. よくある質問と回答 08. まとめ / Q&A
Docker の製品群・サブスクリプション
Docker のビジネスは業界の変化に応じて 進化してきました 2010 2013 2019 dotCloud Docker Inc. 設立 Docker Enterprise “Swarm” 売却 開発者と IT組織がアプリ ケーションのデプロイ、管 理、拡張を容易にする。 「Docker 1.0」: 2013年か ら2018年にかけて、 370 億以上のコンテナ化アプ リがダウンロードされた 前身の Docker Enterprise 事業を Mirantis へ売却 2021 Docker (Desktop) の 強化 Dockerは、「Docker Business」として知られる Docker Desktopに価値中 心の機能を追加するため に投資し、同時に開発者 エコシステムにおける地 位を強化する。 現在 Docker Suite Docker Suiteは、開発ライフサ イクルの各段階で一貫性、制 御性、効率性を確保し、大規模 なチーム全体でアプリケーショ ンを構築、デプロイ、拡張する ために必要なすべてを提供す る統合プラットフォームを提供 します。
Docker は優れた Outer Loop の結果を得るために、 Inner Loop を強化することに独自に重点を置いています 400x 最初の生産的なプッシュま でがより速い 13x リリース頻度の向上 Test Setup 99% Code Plan PUSH Inner Loop Integrate Outer Loop Build Test Monitor Deploy コミットからデプロイまで の時間を短縮 84x MTTR(平均復旧時間)の 短縮 7x 変更失敗率の削減
開発者とビジネスのスピード向上のためのプロダクト 開発者の生産性向上 Desktop コスト削減と開発サイクルの短縮を目指し、高品質な開発者体験に投資 する。 Scout 大規模なセキュリティ管理 ソフトウェアサプライチェーン全体で、開発を管理し安全性を確保する。 Hub Build Cloud Testcontainers Cloud エンジニアリングの卓越性を確立 最新技術を活用しながら、技術スタックの管理や構造を整えることで、効率 的なイノベーションを実現する。
https://www.docker.com/ja-jp/pricing/
Docker Scout と ソフトウェアサプライチェーン・SBOM
Docker Scoutとは? Docker Scout は、ソフトウェア サプ ライ チェーン全体にわたって実用的 な洞察を提供します Docker Scout を使用すると、企業は ソフトウェアの品質、顧客から信頼で きるソフトウェア、および社内ガード レールに準拠していることを保証でき ます。
Docker イメージとソフトウェアサプライチェーン https://anchore.com/software-supply-chain-security/what-is-sscs/
ソフトウェアサプライチェーン攻撃 https://www.sonatype.com/blog/introducing-our-9th-annual-state-of-the-softwaresupply-chain-report https://www.trendmicro.com/ja_jp/jp-security/24/e/ securitytrend-20240524-01.html
Log4j(CVE-2021-44228, Log4jShell) 2021年末に明らかになったJavaのログ出力ライブラリー「Apache Log4j」の脆弱性が、ランサム ウエア(身代金要求型ウイルス)攻撃に悪用され出した。米Microsoft(マイクロソフト)は2022年1 月10日、Log4jの脆弱性を悪用する新手のランサムウエア「Night Sky」が広まっていると明らか にした。 同社によれば、中国に拠点を置くサイバー犯罪者集団(マイクロソフトは「DEV-0401」と呼称) がNight Skyを使って、米VMware(ヴイエムウェア)の仮想デスクトップ構築用ソフト「VMware Horizon」を標的とする攻撃を2022年1月4日にも開始したという。VMware HorizonはLog4jのコ ンポーネントを含んでいる。不正侵入された企業はNight Skyを社内に展開されるという。 Night Skyは既に「戦果」を上げているもようだ。同犯罪者集団は情報システムの設計・構築や 電気工事を手掛ける東京コンピュータサービス(東京・文京)を2021年12月に攻撃し、ファイル サーバーに保管されていた130ギガバイトのデータなどを盗んだと主張。「第1弾」として、数ギガ バイトのデータを闇サイトに暴露した。サイバーセキュリティーの専門家によると、IT大手や自動 車大手、金融機関などとの取引情報が含まれるという。 https://xtech.nikkei.com/atcl/nxt/column/18/00001/06457/
event-stream オープンソースのコードライブラリを利用した仮想通貨ウォレットにバックドアが仕込まれて、ユー ザーのBitcoin(ビットコイン)を盗む企てがされていたことが明らかになりました。この事件はオー プンソースソフトウェアに関するサプライチェーン攻撃の危機的な状況を物語っています。 ユーザーのビットコインを盗み出すバックドアが仕掛けられたのはビットコインウォレットアプリの 「Copay」です。Copayアプリ内で使用されたコードライブラリ「event-stream」にバックドアが仕込 まれている可能性がGitHubユーザーから公式掲示板に報告され、コードが検証されていまし た。 検証の結果、2018年9月8日に公開されたevent-streamのバージョン3.3.6に新たに導入された 「flatmap-stream」と呼ばれるモジュールに問題があることがわかりました。バージョン3.3.6公開 時のflatmap-stream自体は脆弱性のないものでしたが、2018年10月10日にflatmap-streamへ 悪質なコードが含まれるという2段階の手続きを踏んでバックドアが仕込まれたとのこと。この バックドアは、Copayの開発したビットコインウォレットを狙い撃ちしたもので、Copayアプリ利用 者の保有するビットコインを盗み出すのが目的で設計されていました。 https://gigazine.net/news/20181127-event-stream-bitcoin-stealing
SBOM(Software Bill of Materials) 経済産業省: ソフトウェア管理に向けた SBOM(Software Bill of Materials)の導入に関する手引
Docker SBOM + Docker Scout
Docker Scout 概要 Docker Scout は、クラウドネイティブ ソフトウェア開発のためのセキュア サプライ チェーン製品であり、 以下を提供します。 ソフトウェア・サプライチェーンの セキュリティ改善 コンテナセキュリティの可観 測性 ● セキュリティと信頼性の問題に対 処するための次のステップを通 知する統合ダッシュボード ● ソフトウェア サプライ チェーン全 体の統合 ● ● 古いベースイメージ、品質ゲート、 コピーレフトライセンス、セキュリ ティ問題を評価するためのポリシー 評価 修正ガイダンス 安全な開発ワークフロー ● Docker Desktop、CLI、Hub、 scout.docker.com 内での詳細 なイメージ分析 ● 開発段階から本番環境まで、より 良い意思決定を通知する継続的 なフィードバック ループ
Producer > Source CI/CD > Build Container registry > Package Runtime > Consumer > > Development Dependencies Adapted from slsa.dev/spec/v1.0/threatsoverview
Docker Scout をローカル環境 (Docker Desktop・CLI)で実行する
Docker Scout は Docker Desktop に統合済み Docker Desktop Docker CLI
Docker Scout を CI(GitHub Actions) で実行する
Docker Scout がサポートする CI プラットフォーム ● GitHub ● GitLab ● Microsoft Azure DevOps ● CircleCI ● Jenkins その他、Docker Scout CLI がインストールできる環境であれば 利用することが可能です
Docker Scout + GitHub Actions https://github.com/tadashi0713/docker-scout-demo
Docker Scout をコンテナレジストリ (Amazon ECR)と連携する
Docker Scout がサポートするコンテナレジストリ ● Docker Hub(デフォルトで有効) ● Amazon Elastic Container Registry ● Microsoft Azure Container Registry ● Jfrog Artifactory 複数のコンテナレジストリと連携して、1 つの Docker Scout ダッシュボー ドで管理することが可能です
Docker Scout のダッシュボードと ポリシー評価
Docker Scout ダッシュボード
Docker Scout のポリシー評価
よくある質問と回答
よくある質問と回答 Q. Docker Scout で利用されている脆弱性情報 (アドバイザリデータベース )はどのようなものですか? A. Docker Scout は複数の情報源から脆弱性データを集約しています。このデータは継続的に更新され、セキュリティ 状態がリアルタイムで最新の状態で表示されるようになっています。 https://docs.tadashi0713.dev/scout-ja/deep-dive/advisory-db-sources
よくある質問と回答 Q. Docker Desktop をインストールしていない環境 (Docker Engine のみ)で Docker Scout を利用す ることはできますでしょうか A. 利用することができます、別途 Docker Scout CLI をインストールする必要があります。 https://docs.tadashi0713.dev/scout-ja/install インストール後、 docker login することによってサブスクリプション範囲内において docker scout をご利 用いただけます。 Docker Desktop では Docker Scout CLI を別途インストールする必要がありません。
よくある質問と回答 Q. 現在 コンテナレジストリ (Amazon ECR など)に付属している脆弱性スキャン機能を利用しています。 Docker Scout を利用するメリットを教えて下さい A. コンテナレジストリに付属しているスキャン機能は、開発者がDocker イメージを Push した後(ソフトウェア開発の後 半)でしかスキャンすることができません。 Docker Scout は開発(Docker Desktop / CLI)・CI パイプライン・コンテナレジストリのあらゆるフェーズで、よりソフト ウェア開発の早い段階で分析・開発者へフィードバックすることができます(Shift Left) また、Docker Scout は種類が違う複数のコンテナレジストリを連携することができ、ダッシュボードによる可視化・ポリ シーの適用をすることができます。
よくある質問と回答 Q. 現在オープンソースのコンテナセキュリティツール (Trivy など)を導入・ 検討しています。 Docker Scout はこれらとどう異なるのでしょうか? A. Docker Scout は以下の点で異なります: ● Docker Scout ダッシュボードによる可視化 ● CLI だけでない Docker Desktop による可視化・修正 ● 充実したインテグレーション ● ○ 継続的インテグレーション ○ コンテナレジストリ 複数データを元にした信頼性の高いアドバイザリーデータベース
よくある質問と回答 Q. 現在別のセキュリティツールを利用しています、 Docker Scout を利用するメ リットは何でしょうか? A. Docker Scout はコンテナイメージに特化したソリューションになって おり、別のセキュリティツールと組み合わせることで、より DevSecOps を強化する ことができます。 ● 開発者にとって使いやすい・修正しやすい ○ ● Docker Desktop / CLI / CI とのインテグレーション スキャンの実行数・連携に制限がない(Team, Business プラン) ○ 他社製品の場合、スキャンの実行数・連携数によって 課金される場合もある ○ 制限を気にせず、あらゆるフェーズで分析を行うことができる
よくある質問と回答 Q. Docker Scout で新たな脆弱性を発見した場合に、通知する方法はありますか? A. 現在 Slack 通知が対応しています。 対象レポジトリの脆弱性情報・ポリシー評価を通知することができます。 https://docs.tadashi0713.dev/scout-ja/integrations/team-collaboration/slack 他のチャットツール連携 (Microsoft Teams)も開発中です。また、 Webhook も用意しています。
まとめ
Docker Scout 概要 Docker Scout は、クラウドネイティブ ソフトウェア開発のためのセキュア サプライ チェーン製品であり、 以下を提供します。 ソフトウェア・サプライチェーンの セキュリティ改善 コンテナセキュリティの可観 測性 ● セキュリティと信頼性の問題に対 処するための次のステップを通 知する統合ダッシュボード ● ソフトウェア サプライ チェーン全 体の統合 ● ● 古いベースイメージ、品質ゲート、 コピーレフトライセンス、セキュリ ティ問題を評価するためのポリシー 評価 修正ガイダンス 安全な開発ワークフロー ● Docker Desktop、CLI、Hub、 scout.docker.com 内での詳細 なイメージ分析 ● 開発段階から本番環境まで、より 良い意思決定を通知する継続的 なフィードバック ループ
Producer > Source CI/CD > Build Container registry > Package Runtime > Consumer > > Development Dependencies Adapted from slsa.dev/spec/v1.0/threatsoverview
Docker Scout ドキュメント https://docs.docker.com/scout https://docs.tadashi0713.dev/scout-ja
https://www.docker.com/ja-jp/pricing/
Thank you [email protected]