<p><!--META { "title": "コンテナイメージ脆弱性スキャン入門", "primary_category": "コンテナセキュリティ", "secondary_categories": ["DevOps", "CI/CD"], "tags": ["Trivy", "Clair", "Docker", "Kubernetes", "CI/CD", "SBOM", "Secrets Management", "Attack Chain"], "summary": "実務家向けコンテナイメージ脆弱性スキャンの入門。脅威モデル、攻撃シナリオ、検出/緩和、運用対策、現場の落とし穴まで解説。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"コンテナイメージ脆弱性スキャン入門！攻撃シナリオから運用対策、秘密情報管理、現場の落とし穴まで実務的解説。あなたのCI/CDに必須のセキュリティ強化策を。 #コンテナセキュリティ #DevOps #CI/CD","hashtags":["#コンテナセキュリティ","#DevOps"]}, "link_hints": ["https://aquasecurity.github.io/trivy/latest/", "https://github.com/quay/clair"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">コンテナイメージ脆弱性スキャン入門</h1> <p>実務家のセキュリティエンジニアとして、コンテナを活用する現代のシステム開発において、コンテナイメージの脆弱性スキャンは避けて通れないセキュリティ対策です。本記事では、その重要性と実践方法について解説します。</p> <h2 class="wp-block-heading">脅威モデル</h2> <p>コンテナイメージの脆弱性は、組織にとって多岐にわたる脅威をもたらします。主な脅威モデルは以下の通りです。</p> <ol class="wp-block-list"> <li><p><strong>既知の脆弱性の悪用</strong>: ベースイメージ、ランタイムライブラリ、アプリケーションコードに含まれる既知の脆弱性（CVE）が攻撃者によって悪用され、リモートコード実行 (RCE)、情報漏洩、サービス妨害 (DoS) に繋がる可能性があります。</p></li> <li><p><strong>サプライチェーン攻撃</strong>: 信頼できないソースからのイメージやコンポーネントがCI/CDパイプラインに混入し、悪意のあるバックドアやマルウェアが組み込まれるリスクがあります。</p></li> <li><p><strong>情報漏洩</strong>: コンテナイメージ内にハードコードされた認証情報、APIキー、秘密鍵などが含まれている場合、イメージが漏洩することで機密情報が露呈します。</p></li> <li><p><strong>権限昇格/横展開</strong>: 脆弱性を悪用した攻撃者は、コンテナ内部からホストOS、他のコンテナ、さらにはクラスタ全体への権限昇格や横展開を試みます。</p></li> </ol> <h2 class="wp-block-heading">攻撃シナリオ</h2> <p>以下に、コンテナイメージの脆弱性を悪用した典型的な攻撃シナリオをMermaidのAttack Chainで示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|脆弱なイメージの特定| B("コンテナレジストリ/リポジトリ"); B -->|公開されているイメージのダウンロード| C("脆弱性分析"); C -->|既知の脆弱性(CVE)を特定| D{"攻撃コードの準備"}; D -->|コンテナ実行環境へのデプロイを待つ| E["CI/CDパイプライン"]; E -->|脆弱なイメージがデプロイされる| F["コンテナ実行環境(Kubernetes/Docker)"]; F -->|脆弱性を悪用したコマンド実行| G("コンテナ内部の侵害"); G -->|権限昇格/横展開| H["ホストOS/他のクラスタリソース"]; H -->|機密情報窃取/サービス妨害| I("情報漏洩/システム停止"); </pre></div> <p><strong>シナリオ解説</strong>:</p> <ol class="wp-block-list"> <li><p><strong>脆弱なイメージの特定</strong>: 攻撃者は公開されているコンテナレジストリ（Docker Hubなど）や企業のリポジトリを偵察し、古いバージョンのイメージや、既知の脆弱性を含む可能性のあるイメージを特定します。</p></li> <li><p><strong>脆弱性分析と攻撃コード準備</strong>: 特定したイメージをダウンロードし、その構成要素（OSパッケージ、ライブラリ）を分析して、利用可能なCVEを見つけ出します。その後、そのCVEを悪用するためのエクスプロイトコードを準備します。</p></li> <li><p><strong>デプロイを待つ</strong>: 攻撃者は準備したエクスプロイトコードを実行する機会を待ちます。CI/CDパイプラインが脆弱なイメージを本番環境にデプロイすると、攻撃機会が生まれます。</p></li> <li><p><strong>コンテナ内部の侵害</strong>: デプロイされた脆弱なコンテナに対し、外部から脆弱性を悪用したリクエストを送信。成功すると、攻撃者はコンテナ内で任意のコマンドを実行できるようになります。</p></li> <li><p><strong>権限昇格と横展開</strong>: 侵害されたコンテナのコンテキスト内で、追加の脆弱性（例：設定ミス、カーネルの脆弱性）を探し、コンテナからホストOSへの権限昇格を試みます。成功すれば、ホスト上で動作する他のコンテナやクラスタリソースへの横展開が可能となり、最終的に機密情報の窃取やシステム停止といった甚大な被害を引き起こします。</p></li> </ol> <h2 class="wp-block-heading">検出と緩和</h2> <h3 class="wp-block-heading">検出</h3> <p>コンテナイメージの脆弱性スキャンは、ライフサイクルの様々な段階で実施し、多層防御を構築することが重要です。</p> <ul class="wp-block-list"> <li><p><strong>開発段階 (Pre-commit/Pre-push)</strong>: 開発者がローカルでイメージビルド前に、簡易的なスキャンツールを用いて脆弱性をチェックします。初期段階での修正はコストが低いです。</p></li> <li><p><strong>CI/CDパイプライン (ビルド時)</strong>: Dockerfileが変更された際や新しいイメージがビルドされる際に、自動的に脆弱性スキャンツール（Trivy, Clair, Anchore, Snykなど）を実行し、既定の閾値を超える脆弱性があればビルドを失敗させます。</p></li> <li><p><strong>コンテナレジストリ (プッシュ時/定期的)</strong>: イメージがレジストリにプッシュされた際にスキャンを実行し、保存されている既存のイメージも定期的に再スキャンします。新たなCVEが公開された際に迅速に検知するためです。</p></li> <li><p><strong>ランタイム環境 (Admission Controller)</strong>: Kubernetes環境などでは、脆弱性スキャン結果に基づき、Admission Controllerが脆弱なイメージのデプロイを阻止するように設定できます。</p></li> </ul> <h3 class="wp-block-heading">緩和</h3> <p>検出された脆弱性への対処だけでなく、予防的な緩和策も重要です。</p> <ul class="wp-block-list"> <li><p><strong>信頼できるベースイメージの使用</strong>: 公式または自社で厳選・パッチ適用された軽量なベースイメージ（例: <code>scratch</code>, <code>alpine</code>, <code>distroless</code>）を使用します。</p></li> <li><p><strong>最小限のコンポーネント</strong>: Dockerfileで必要なパッケージとライブラリのみをインストールし、不要なツールやサービスは含めません（多段階ビルドの活用）。</p></li> <li><p><strong>SBOM (Software Bill of Materials) の生成と活用</strong>: イメージに含まれる全てのソフトウェアコンポーネントとそのバージョンを明確にし、脆弱性情報の追跡を容易にします。</p></li> <li><p><strong>イメージ署名と検証</strong>: 信頼できる署名が付与されたイメージのみがデプロイされるように強制します。これにより、改ざんされたイメージの実行を防ぎます。</p></li> <li><p><strong>脆弱性パッチの迅速な適用</strong>: スキャンで検出された脆弱性に対し、速やかにパッチを適用したイメージを再ビルドし、デプロイします。</p></li> <li><p><strong>最小権限原則</strong>: コンテナ内で実行されるプロセスは、必要最小限の権限で動作させます（例: <code>USER</code>命令でroot以外のユーザーを指定）。</p></li> </ul> <h2 class="wp-block-heading">運用対策</h2> <h3 class="wp-block-heading">スキャンポリシーとCI/CD連携</h3> <p>実運用では、どのレベルの脆弱性を許容するか、明確なポリシーを定めます。例えば、CVSSv3スコアが7.0以上のCritical/High脆弱性が検出された場合は、ビルドを自動的に失敗させ、デプロイをブロックする運用が一般的です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 例: TrivyでCritical/High脆弱性があればビルドを失敗させる (CI/CDスクリプト内) # Trivyはデフォルトでexit code 1を返すため、CI/CDツールで失敗と判断される # --severity CRITICAL,HIGH はスキャン対象の脆弱性レベルを指定 # --ignore-unfixed は未修正の脆弱性を無視するオプション（注意して使用） echo "--- イメージ脆弱性スキャン開始 ---" docker pull myrepo/myapp:latest trivy image --severity CRITICAL,HIGH myrepo/myapp:latest if [ $? -ne 0 ]; then echo "--- Critical/High脆弱性が検出されました。ビルドを停止します。 ---" exit 1 else echo "--- 脆弱性スキャンをパスしました。 ---" fi </pre> </div> <h3 class="wp-block-heading">鍵/秘匿情報の安全な取り扱い</h3> <p>コンテナイメージ内の秘匿情報（APIキー、認証情報、データベースパスワードなど）の管理は、脆弱性スキャンと同様に極めて重要です。</p> <p><strong>誤用例（絶対に行ってはならないこと）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># Dockerfile内にハードコードされたAPIキー (イメージレイヤーに残存) # FROM ubuntu:latest # ENV API_KEY="sk_live_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" # RUN echo "Hardcoded secret exposed!" > /app/secret.txt # CMD ["bash"] </pre> </div> <p>これは、イメージが漏洩した場合に秘匿情報が直接露呈する最悪のパターンです。ビルド時の<code>--build-arg</code>を使用しても、履歴レイヤーに残る可能性があるため、基本的には避けましょう。</p> <p><strong>安全な代替:</strong> 秘匿情報は、コンテナイメージには含めず、<strong>実行時に外部から安全に供給する</strong>のが鉄則です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 例: Kubernetes Secrets を使用して環境変数として供給、またはファイルとしてマウント # 1. Secretの作成 (例: base64エンコードされた秘密の値) # kubectl create secret generic my-app-secret --from-literal=api-key='sk_live_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX' # # 2. Pod定義でSecretを使用 (my-app-secretというSecretからapi-keyを環境変数MY_API_KEYに設定) apiVersion: v1 kind: Pod metadata: name: my-app-pod spec: containers: - name: my-app-container image: myrepo/my-app:latest env: - name: MY_API_KEY # 環境変数名 valueFrom: secretKeyRef: name: my-app-secret # 参照するSecretの名前 key: api-key # Secret内のキー volumeMounts: - name: secret-volume mountPath: "/etc/secrets" # Secretをファイルとしてマウントするパス readOnly: true volumes: - name: secret-volume secret: secretName: my-app-secret # マウントするSecretの名前 items: - key: api-key # Secret内のキー path: api-key.txt # マウントされるファイル名 (例: /etc/secrets/api-key.txt) </pre> </div> <ul class="wp-block-list"> <li><p><strong>鍵のローテーション</strong>: Kubernetes SecretsやAWS Secrets Manager、Azure Key Vault、HashiCorp Vaultなどのシークレット管理サービスを活用し、秘匿情報を定期的に自動ローテーションする仕組みを導入します。</p></li> <li><p><strong>最小権限</strong>: 秘匿情報へのアクセスは、その情報が必要な特定のサービスアカウントやIAMロールにのみ、必要最小限の権限で付与します。</p></li> <li><p><strong>監査</strong>: 秘匿情報へのアクセスログを記録し、異常なアクセスパターンがないか継続的に監視・監査します。</p></li> </ul> <h3 class="wp-block-heading">現場の落とし穴</h3> <ul class="wp-block-list"> <li><p><strong>誤検知 (False Positive)</strong>: スキャンツールは、開発者が「利用されていないコードパス」や「外部から到達不能な機能」にある脆弱性を報告することがあります。これを全て修正しようとすると、開発速度が著しく低下します。対策としては、除外リストの慎重な運用と定期的なレビュー、およびリスク評価に基づいた優先順位付けが重要です。</p></li> <li><p><strong>検出遅延</strong>: スキャンがビルドプロセスの最終段階に組み込まれていると、問題が発覚した際の手戻りが多く、修正コストが高くなります。開発の早い段階（例: PR作成時、ローカルビルド時）にスキャンを導入することで、早期発見・早期修正を促します。</p></li> <li><p><strong>可用性トレードオフ</strong>: 厳しすぎるスキャンポリシーは、クリティカルではない脆弱性でさえデプロイをブロックし、サービスの可用性や開発速度に影響を与える可能性があります。ビジネスリスクとセキュリティリスクのバランスを見極め、段階的なポリシー適用や、緊急時のバイパス手順（監査あり）を検討します。</p></li> <li><p><strong>ベースイメージ更新の追従</strong>: ベースイメージの脆弱性パッチは頻繁にリリースされますが、その都度すべてのイメージを再ビルド・再デプロイするのは運用負荷が高いです。自動化されたイメージリビルドパイプラインの構築や、レジストリによる定期的な再スキャンで、最新の脆弱性情報をキャッチアップする仕組みが必要です。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>コンテナイメージ脆弱性スキャンは、コンテナ化されたアプリケーションのセキュリティを確保するための基盤です。CI/CDパイプラインへの組み込み、信頼できるベースイメージの選択、秘匿情報の適切な管理、そして継続的な運用改善を通じて、変化の速いコンテナ環境におけるセキュリティリスクを効果的に低減できます。単にツールを導入するだけでなく、ポリシー策定、自動化、そしてチーム全体でのセキュリティ意識の向上が、堅牢なシステムを構築する鍵となります。</p>

graph TD
    A["攻撃者"] -->|脆弱なイメージの特定| B("コンテナレジストリ/リポジトリ");
    B -->|公開されているイメージのダウンロード| C("脆弱性分析");
    C -->|既知の脆弱性(CVE)を特定| D{"攻撃コードの準備"};
    D -->|コンテナ実行環境へのデプロイを待つ| E["CI/CDパイプライン"];
    E -->|脆弱なイメージがデプロイされる| F["コンテナ実行環境(Kubernetes/Docker)"];
    F -->|脆弱性を悪用したコマンド実行| G("コンテナ内部の侵害");
    G -->|権限昇格/横展開| H["ホストOS/他のクラスタリソース"];
    H -->|機密情報窃取/サービス妨害| I("情報漏洩/システム停止");

# 例: TrivyでCritical/High脆弱性があればビルドを失敗させる (CI/CDスクリプト内)


# Trivyはデフォルトでexit code 1を返すため、CI/CDツールで失敗と判断される


# --severity CRITICAL,HIGH はスキャン対象の脆弱性レベルを指定


# --ignore-unfixed は未修正の脆弱性を無視するオプション（注意して使用）

echo "--- イメージ脆弱性スキャン開始 ---"
docker pull myrepo/myapp:latest
trivy image --severity CRITICAL,HIGH myrepo/myapp:latest

if [ $? -ne 0 ]; then
  echo "--- Critical/High脆弱性が検出されました。ビルドを停止します。 ---"
  exit 1
else
  echo "--- 脆弱性スキャンをパスしました。 ---"
fi

# Dockerfile内にハードコードされたAPIキー (イメージレイヤーに残存)


# FROM ubuntu:latest


# ENV API_KEY="sk_live_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"


# RUN echo "Hardcoded secret exposed!" > /app/secret.txt


# CMD ["bash"]

# 例: Kubernetes Secrets を使用して環境変数として供給、またはファイルとしてマウント


# 1. Secretの作成 (例: base64エンコードされた秘密の値)


# kubectl create secret generic my-app-secret --from-literal=api-key='sk_live_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'

#


# 2. Pod定義でSecretを使用 (my-app-secretというSecretからapi-keyを環境変数MY_API_KEYに設定)

apiVersion: v1
kind: Pod
metadata:
  name: my-app-pod
spec:
  containers:

  - name: my-app-container
    image: myrepo/my-app:latest
    env:

    - name: MY_API_KEY # 環境変数名
      valueFrom:
        secretKeyRef:
          name: my-app-secret # 参照するSecretの名前
          key: api-key        # Secret内のキー
    volumeMounts:

    - name: secret-volume
      mountPath: "/etc/secrets" # Secretをファイルとしてマウントするパス
      readOnly: true
  volumes:

  - name: secret-volume
    secret:
      secretName: my-app-secret # マウントするSecretの名前
      items:

      - key: api-key            # Secret内のキー
        path: api-key.txt       # マウントされるファイル名 (例: /etc/secrets/api-key.txt)