コンテナイメージスキャン
コンテナイメージスキャン とは何ですか?
コンテナイメージスキャンOCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。
コンテナイメージスキャンは OCI イメージの各レイヤー(ベース OS、言語パッケージ、組み込みバイナリ、メタデータ)を検査し、既知の CVE、ハードコードされたクレデンシャル、マルウェアシグネチャ、非準拠の設定を特定します。ツールは大きく二つに分かれ、オープンソース系では Aqua Security の Trivy、Anchore の Grype、Clair、Docker Scout、商用 CNAPP では Snyk Container、Prisma Cloud、Wiz、Sysdig Secure などが代表的です。スキャンは通常、開発者端末・CI パイプライン(ポリシー違反でビルド失敗)・レジストリの Admission の 3 点で実施されます。現代のプログラムでは署名済み SBOM を生成し、Sigstore や SLSA などのサプライチェーン証明と連携して出所と再現性を担保します。
● 例
- 01
ベースイメージに openssl の CVSS 9.8 脆弱性が含まれている場合、GitHub Actions のジョブを失敗させる。
- 02
漏えいした .npmrc と npm publish トークンを含むイメージのデプロイを阻止する。
● よくある質問
コンテナイメージスキャン とは何ですか?
OCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。 サイバーセキュリティの 防御と運用 カテゴリに属します。
コンテナイメージスキャン とはどういう意味ですか?
OCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。
コンテナイメージスキャン からどのように防御しますか?
コンテナイメージスキャン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
コンテナイメージスキャン の別名は何ですか?
一般的な別名: イメージスキャン, コンテナ脆弱性スキャン。