Docker Hardened Images

脆弱性からの解放
セキュアで軽量、本番環境ですぐに使える
CVE リスク “ほぼゼロ” のコンテナー イメージ


お問い合わせ
Docker 入門ウェビナー
DHI とは

Docker Hardened Images (DHI) とは?

Docker Hardened Images (DHI) は、Docker 社が公式に保守、管理するセキュアなコンテナー基盤ソリューションです。

本番環境ですぐに利用できるよう最小構成に最適化されたコンテナー イメージHelm チャート、およびシステム パッケージを包括して提供しています。

既知の脆弱性 (CVE) リスクを「ほぼゼロ」に保つよう継続的にスキャン&パッチが行われます。Alpine、Debian ベースで既存ワークフローに最短 1 行の変更で統合でき、DevSecOps チーム双方の負担を大幅に削減します。

CVE ほぼゼロ
攻撃対象領域 最大 95% 削減
SLSA Build Level 3
署名付き SBOM 標準搭載
既存 CI/CD にすぐ統合
課題

信頼性の低いベース イメージが、セキュア開発の障害になっていませんか?

コンテナー開発が普及する一方で、ベース イメージのセキュリティは依然として多くの組織にとって大きな悩みです。スキャンしても CVE が次々と見つかり、パッチ対応に追われる日々。その根本原因は「使用しているベース イメージ」にあるかもしれません。

CI/CD に潜む不正イメージのリスク

  • 信頼性のない外部イメージが開発パイプラインに混入
  • 意図しないマルウェアや改ざんコードによる侵害リスク
  • ビルドの来歴 (プロビナンス) が不明なまま本番にデプロイされるケース

「スキャン済み」でも安心できない OSS イメージ

  • 表面的なスキャンでは見落とされる依存パッケージの問題
  • アップストリームの更新遅延により、既知 CVE が長期間放置されるリスク
  • 偽陽性、偽陰性が多く、本当に危険な脆弱性の特定に時間がかかる

更新、監視にかかる過大な運用コスト

  • 常にセキュアな状態を維持するための人的、時間的コストが膨大
  • 複数チーム間での脆弱性管理やパッチ適用の調整が煩雑
  • 新たな CVE のたびにトリアージ、修正、テスト、再デプロイのサイクルが発生

コンプライアンス証跡の準備が困難

  • 監査時に SBOM や署名の提出を求められても対応できない
  • FIPS、NIST、SOC 2 などの規制要件を満たすイメージの調達、管理が煩雑
  • コンプライアンス対応にかかるドキュメント整備コストが増大し続ける
これら 4 つの課題はいずれも、Docker Hardened Images を導入することで根本から解決できます。 プランを見る
選ばれる理由

デフォルトでセキュア。
実運用を支えるエンタープライズ基準。

CVE は「ほぼゼロ」

  • 継続的にスキャンされ、悪用可能な脆弱性が最小になるようパッチを徹底適用。
  • 公開データのみを使用した透明性の高い脆弱性レポートを提供。

攻撃対象領域を最大 95% 削減

  • Distroless バリアントで不要コンポーネントを排除。攻撃面を最大 95% 縮小。
  • デフォルト Non-root 実行で最小権限の原則を遵守。

完全な透明性とトレーサビリティ

  • 改ざん防止付き SLSA Build Level 3 プロビナンスでサプライ チェーン基準を満たします。
  • 署名付き SBOM と VEX ステートメントがすべてのイメージに同梱されます。
特長と強み

開発者のために構築された、統合しやすいコンテナー基盤

使い慣れたベース イメージ

  • Alpine、Debian ベースで導入の変更は最小限。glibc、musl 両バリアント対応。
  • 幅広いアプリケーションとの互換性を確保します。

シームレスな移行と互換性

  • Dockerfile の 1 行変更だけでイメージの強化が完了。
  • 既存の CI/CD パイプラインやツール群にドロップインで統合できます。

強化されたシステム パッケージ (Hardened System Packages)

  • Docker がソースコードからビルドし、すべてのパッケージを暗号学的に署名、検証。
  • ベース イメージ以外の独自イメージにも適用できます。詳細 ↓

拡張性とカスタマイズ (上位プラン)

  • セルフサービス UI でランタイム設定やパッケージ追加などを数クリックで実現。
  • カスタマイズは OCI アーティファクトとして管理され、SLSA Build Level 3 準拠で自動再ビルドされます。

継続的メンテナンスとスキャナー統合

  • アップストリームのセキュリティ パッチが出ると、イメージが自動的に再構築、更新されます。
  • Wiz などの主要セキュリティ プラットフォームと直接統合し、リスク評価を効率化します。
新機能

Docker Hardened System Packages

Docker Hardened System Packages は、Docker がソースコードから直接ビルドする強化されたシステム パッケージです。イメージ全体のサプライ チェーン完全性を標準パッケージレベルまで徹底化し、出所不明の公開パッケージに依存するリスクを根本から排除します。すべてのパッケージは暗号学的に署名され、完全なプロビナンス (来歴情報) を備えています。

ソースコードからのビルド

  • すべてのシステム パッケージを Docker が一から自己ビルド。
  • アップストリームの公開リポジトリに依存しない完全な供給ルートを確保。

暗号署名と完全なプロビナンス

  • すべてのパッケージが暗号学的に署名、検証済みで改ざんを防止。
  • パッケージ単位の SBOM、署名、アテステーション情報を確認可能。

独自カスタム イメージにも適用可能

  • DHI ベース イメージ以外の自分のイメージにも、Docker のパッケージ リポジトリを設定して導入できます。
  • Dockerfile の数行を追加するだけで既存ワークフローに統合可能です。

プランごとのアクセス範囲

プラン 利用できる内容
DHI Community (無償) ベース イメージに Hardened System Packages が内包済み。公開リポジトリを設定すれば個人イメージにも同一パッケージを利用可能。
DHI Select Community の全機能に加え、FIPS バリアントなどコンプライアンス対応パッケージをカスタマイズ UI から追加可能 (最大 5 カスタマイズ)。
DHI Enterprise Select の全機能に加え、エンタープライズ専用パッケージ リポジトリを自分のイメージに直接設定可能。FIPS / セキュリティ パッチ済みパッケージへの完全アクセス。
導入メリット

コンテナー セキュリティ対応をもっとシンプルに、もっと速く

セキュリティ部門と開発部門の負担を最小化

  • Hardened Images がセキュアにビルドされ、署名、SBOM が最初から付与済みです。
  • ベース イメージの脆弱性スキャンや修正に費やしていた工数とコストから解放されます。

本番環境への移行リードタイムを劇的に短縮

  • 脆弱性対応済みのイメージにより、デプロイ、リリース判断でのブロック要因がなくなります。
  • ビルド用イメージと本番用 Distroless イメージの使い分けで効率と安全性を両立します。

エンタープライズ要件とコンプライアンスへの即応性

  • SLSA Build Level 3 準拠の署名により、監査レポート、証跡管理がスムーズになります。
  • 政府、金融業界 (NIST など) の厳しい要件も設計段階からクリアしやすくなります。

ミッション クリティカルな環境の保護

  • (上位プラン) 7 日以内の SLA に裏付けられた継続パッチで致命的な CVE から迅速に保護します。
  • FIPS、STIG 対応バリアントでより高度なセキュリティ要件にも適合します。
ユースケース

こんな組織、プロジェクトに最適です

経済産業省の SBOM 導入ガイドライン対応

日本国内でもソフトウェア サプライ チェーン対応が急務となる中、DHI は各レイヤーの署名付き SBOM と来歴情報 (プロビナンス) を標準提供します。面倒な後付けの SBOM 生成運用に頼らず、ガイドラインに沿った管理体制を即座に構築できます。

金融、公共、医療などの厳格なコンプライアンス

FIPS 準拠や NIST、SOC 2 といった高度なコンプライアンス基準が求められるプロジェクトに最適です。監査レポートに対応可能な SLSA Build Level 3 の担保により、セキュリティ基準の証跡提示ハードルを容易にクリアします。

脆弱性パッチの運用に疲弊しているチーム

スキャン ツールから日々大量に通知される CVE。そのトリアージと緊急パッチ適用のために開発、運用リソースが奪われているなら、DHI の「脆弱性ゼロ」のベース イメージ提供と 7 日以内の SLA パッチが特効薬となります。

プラン比較


DHI Community

すべての開発者向け無償

含まれる内容

  • 最小構成で強化されたイメージ
  • CVE をほぼゼロに抑制
  • 検証可能な SBOM と SLSA Build L3 プロビナンス
  • 抑制されない、完全な CVE 可視性
  • ワークフローを変更せず、そのまま導入可能
  • Apache 2.0 ライセンスのオープンソース イメージの完全なカタログ
  • Docker Hardened System Packages で構築
  • Docker リリース パッチのアップストリーム サイクルへの追従
DHI Select

価格はお問い合わせください

DHI Community の全機能に加え、以下を提供:

  • FIPS/STIG 対応バリアント
  • SLA に裏付けられた継続的パッチ適用によるクリティカルな CVE の 7 日以内の修正
  • 最大 5 つのカスタマイズ
DHI Enterprise

価格はお問い合わせください

DHI Select の全機能に加え、以下を提供:

  • システム パッケージを含む無制限のカスタマイズ
  • Hardened System Packages リポジトリへのアクセス
  • 完全なカタログへのアクセス

ELS (Extended Lifecycle Support) アドオン

サポート終了後のソフトウェアにも対応する、セキュリティとコンプライアンス支援。DHI Enterprise におけるアドオン。長期間稼働するワークロードを保護します。

  • 最大 5 年間の強化されたアップデート
  • アップストリーム EOL 後もセキュリティ アップデートを維持
  • 更新された SBOM とプロビナンス
よくある質問

FAQ

通常の Docker Hub の公式ベース イメージとの違いは何ですか?

DHI は、Docker 社の専任チームがソースコードから直接ビルド、検証を行っている強化版イメージです。未検証の公開パッケージへの依存を排除し、SBOM や署名などの来歴情報 (プロビナンス) を標準で付与しているため、OSS の脆弱性リスクをゼロに近づけることができます。

既存の CI/CD ツールでそのまま使えますか?

はい、使えます。DHI は標準の Docker イメージと完全な互換性があるため、Dockerfile 内の FROM の指定先を DHI リポジトリに書き換えるだけで、GitHub Actions や Jenkins などの既存の CI/CD パイプラインへシームレスに統合可能です。

DHI Community と Select / Enterprise プランの違いは何ですか?

DHI Community 版 では提供済みのベース イメージをそのまま利用できます。
Select 版ではこれに加え、FIPS バリアントの利用やベース イメージへのパッケージ追加 (最大 5 つ) のカスタマイズが可能になります。
Enterprise 版ではカスタマイズが無制限になり、専用リポジトリへの直接アクセスや延長サポート (ELS) オプションを使用できます。

正規代理店であるエクセルソフトから DHI 導入するメリットは何ですか?

エクセルソフトを通じてご購入いただくことで、日本の法人間取引に合わせた日本円での請求書払い (銀行振込) に対応いたします。また、ライセンス体系が複雑なケースでも、お客様の要件や環境にもっとも適したプラン (Select または Enterprise) のご提案や、導入に向けた各種ご相談、サポートを日本語でお受けいただけます。

 

価格は、対象リポジトリ数によって決まります。
Docker Hardened Images に関するご質問、製品説明、お見積りをご希望の場合にはお気軽にお問い合わせください。

お見積り/お問い合わせ
DHI データシート (PDF)

稟議書の補足資料に、またクライアント様へのご提案の際に一緒に Docker Hardened Images のデータシートをご活用ください。