Docker Hardened Imagesが全開発者に無料開放された

2025年12月、Dockerが大きな発表を行いました。これまで有料プランの一部として提供されていた「Docker Hardened Images(DHI)」が、すべての開発者に無料で開放されたんですよね。コンテナセキュリティに関心がある方にとって、これはかなりインパクトのあるニュースです。

コンテナイメージのセキュリティは、現代のソフトウェア開発において避けて通れない課題になっています。脆弱性スキャナーを回すと数十〜数百のCVEが検出されるのは珍しくなく、その対応に追われてしまうチームも少なくないでしょう。Docker Hardened Imagesは、この問題に対するDockerの回答です。

Hardened Imagesが解決する3つの問題

CVEノイズの大幅削減

通常のコンテナイメージには、アプリケーションに直接関係のないパッケージが多数含まれています。そのため脆弱性スキャンでは、実際にはリスクにならないCVEが大量にヒットしてしまいます。Hardened Imagesは不要なパッケージを徹底的に削除し、攻撃対象面(アタックサーフェス)を最小化することで、このノイズを劇的に減らします。

サプライチェーン攻撃への防御

2024年に発生したChrome拡張機能のスパイウェア問題のように、サプライチェーン攻撃は年々巧妙化しています。Hardened Imagesでは、各イメージがSBOM(Software Bill of Materials)とVEX(Vulnerability Exploitability eXchange)データを同梱しており、何が含まれていて、どの脆弱性が実際に悪用可能かを機械的に判断できます。

コンプライアンス対応の効率化

金融やヘルスケアなど規制の厳しい業界では、使用しているソフトウェアコンポーネントの透明性が求められます。SBOMの標準添付により、監査対応の工数を大幅に削減できるのは実務的にかなり助かるポイントですね。

ウォーターラインモデルという考え方

Docker Hardened Imagesの設計思想で面白いのが「ウォーターラインモデル」です。これは船の喫水線に例えた概念で、イメージの構成要素を「水面上(開発者が管理すべき部分)」と「水面下(Dockerが管理する基盤部分)」に分ける考え方になっています。

開発者はアプリケーションコードとその直接的な依存関係だけに集中し、OS層やシステムライブラリのセキュリティはDockerが責任を持つ。この役割分担は、Rustのメモリ安全性保証がプログラマーの負担を減らすのと似た発想だと感じました。

導入は既存のDockerfileをほぼそのまま使える

実際の導入方法は非常にシンプルです。DockerfileのFROM行を変更するだけで、Hardened Imageベースに切り替えられます。

たとえば、Node.jsアプリケーションの場合:

# 変更前
FROM node:20-slim

# 変更後
FROM docker.io/library/node:20-slim-hardened

既存のビルドプロセスをほぼ変更せずに移行できるので、導入のハードルはかなり低いと言えます。ただし、削除されたパッケージに依存している場合は個別に追加が必要な点には注意してください。

VEXデータで「本当に危険な脆弱性」だけに集中する

セキュリティチームにとって最も嬉しいのは、VEXデータの標準添付でしょう。VEX(Vulnerability Exploitability eXchange)は、検出されたCVEが実際にそのコンテキストで悪用可能かどうかを示す情報です。

スキャナーが100個のCVEを検出しても、VEXデータにより「このイメージでは5個だけが実際のリスク」と自動判定できます。GrapheneOSがAndroidのセキュリティを根本から見直したように、DockerもコンテナOSレベルでの防御を再定義しようとしている印象を受けます。

Wiz連携で脆弱性管理をさらに効率化

2026年2月にはクラウドセキュリティ企業Wizとの連携も発表されました。Wizのスキャン結果にDocker Hardened ImagesのVEXデータを反映させることで、誤検知の大幅削減と対応優先度の自動判定が可能になります。

セキュリティツールは「検出する」だけでなく「優先度をつける」機能が求められる時代になってきていると感じますね。

AIエージェントのサンドボックスにも活用できる

また、Dockerは最近AIエージェントフレームワークのサンドボックス実行環境としても注目されています。AIコーディングエージェントを安全に動かすためのDocker Sandboxes機能が2026年1月に発表されており、Hardened Imagesとの組み合わせで「安全なAI実行環境」という新しいユースケースが生まれつつあります。

まとめ:コンテナセキュリティの民主化が始まった

Docker Hardened Imagesの無料化は、エンタープライズ級のコンテナセキュリティを個人開発者やスタートアップにも開放する動きです。CVEノイズの削減、サプライチェーンの透明性確保、コンプライアンス対応の効率化と、メリットは多岐にわたります。

まだ試していない方は、まず1つのプロジェクトで-hardenedタグに切り替えてスキャン結果の違いを確認してみることをおすすめします。脆弱性レポートの変化に驚くかもしれません。