コンテナイメージスキャン
コンテナイメージスキャン とは何ですか?
コンテナイメージスキャンOCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。
コンテナイメージスキャンは OCI イメージの各レイヤー(ベース OS、言語パッケージ、組み込みバイナリ、メタデータ)を検査し、既知の CVE、ハードコードされたクレデンシャル、マルウェアシグネチャ、非準拠の設定を特定します。ツールは大きく二つに分かれ、オープンソース系では Aqua Security の Trivy、Anchore の Grype、Clair、Docker Scout、商用 CNAPP では Snyk Container、Prisma Cloud、Wiz、Sysdig Secure などが代表的です。スキャンは通常、開発者端末・CI パイプライン(ポリシー違反でビルド失敗)・レジストリの Admission の 3 点で実施されます。現代のプログラムでは署名済み SBOM を生成し、Sigstore や SLSA などのサプライチェーン証明と連携して出所と再現性を担保します。
● 例
- 01
ベースイメージに openssl の CVSS 9.8 脆弱性が含まれている場合、GitHub Actions のジョブを失敗させる。
- 02
漏えいした .npmrc と npm publish トークンを含むイメージのデプロイを阻止する。
● よくある質問
コンテナイメージスキャン とは何ですか?
OCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。 サイバーセキュリティの 防御と運用 カテゴリに属します。
コンテナイメージスキャン とはどういう意味ですか?
OCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。
コンテナイメージスキャン はどのように機能しますか?
コンテナイメージスキャンは OCI イメージの各レイヤー(ベース OS、言語パッケージ、組み込みバイナリ、メタデータ)を検査し、既知の CVE、ハードコードされたクレデンシャル、マルウェアシグネチャ、非準拠の設定を特定します。ツールは大きく二つに分かれ、オープンソース系では Aqua Security の Trivy、Anchore の Grype、Clair、Docker Scout、商用 CNAPP では Snyk Container、Prisma Cloud、Wiz、Sysdig Secure などが代表的です。スキャンは通常、開発者端末・CI パイプライン(ポリシー違反でビルド失敗)・レジストリの Admission の 3 点で実施されます。現代のプログラムでは署名済み SBOM を生成し、Sigstore や SLSA などのサプライチェーン証明と連携して出所と再現性を担保します。
コンテナイメージスキャン からどのように防御しますか?
コンテナイメージスキャン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
コンテナイメージスキャン の別名は何ですか?
一般的な別名: イメージスキャン, コンテナ脆弱性スキャン。
● 関連用語
- defense-ops№ 1175
Trivy
Aqua Security が提供する単一バイナリのオープンソーススキャナで、コンテナイメージ・ファイルシステム・Git リポジトリ・Kubernetes クラスタの CVE、設定ミス、シークレット、SBOM、ライセンス問題を検出する。
- vulnerabilities№ 259
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
- cloud-security№ 600
Kubernetes セキュリティ
Kubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
- appsec№ 1033
シフトレフトセキュリティ
セキュリティ活動をソフトウェアライフサイクルの早い段階に前倒しし、コードが本番に到達する前に脆弱性を発見・修正する取り組み。
● 関連項目
- № 403Falco