はじめに
コンテナは最新のDevOpsのバックボーンとなっているが、同時に新たなセキュリティ上の問題を引き起こしている。たった1つの脆弱なベースイメージや誤った設定のコンテナが、雪だるま式に膨れ上がり、何十ものサービスにまたがる重大な侵害に発展する可能性がある。実際、最近の調査では、コンテナ・イメージの約75%に重大性の高い脆弱性や致命的な脆弱性があることが判明している。これに、サプライチェーン攻撃の2025年のトレンドと、進化し続けるCVEを加えると、コンテナスキャンツールが必需品であることは明らかだ。これらのツールは、既知のバグ、セキュリティ上の欠陥、そしてコンテナ・イメージ(そして時にはライブ・コンテナ)内の不適切な設定を自動的に検出し、時限爆弾を出荷しないようにする。
デプロイ前とデプロイ後のイメージ、ワークロード、クラウドネイティブなインフラストラクチャをセキュアにするためのコンテナスキャンツールを紹介します。最も信頼できるプラットフォームの包括的なリストから始め、開発者、企業、新興企業、Kubernetes環境などの特定のユースケースに最適なツールを分類します。以下の関連するユースケースにスキップしてください。
コンテナ・スキャンとは?
コンテナ・スキャンとは、コンテナ・イメージ(そして時には実行中のコンテナ)を分析し、セキュリティ上の問題がないかどうかを調べるプロセスです。分かりやすく言えば、Docker/OCIイメージの中身をスキャンして、既知の脆弱性、マルウェア、秘密、あるいは設定のミスを、コンテナが本番稼動する前に見つけることを意味します。コンテナ・スキャナは通常、イメージを解凍し、OSパッケージ、ライブラリ、設定をカタログ化し、脆弱性データベースやセキュリティ・ベンチマークとすべてを比較します。その目的は、デプロイする前に、古いソフトウェア・バージョン、パッチの欠落、危険な設定(イメージ内で動作しているSSHサーバーなど)などの問題をキャッチすることだ。セキュアなDevOpsワークフローでは、コンテナ・スキャンはパイプラインの自動化されたステップであり、開発者が通常の開発の一環としてコードをコンパイルしたりテストを実行したりするのと同じように、問題に早期にフラグを立てて修正できるようにする。
コンテナ・スキャン・ツールが必要な理由
- 脆弱性を早期に発見:既知の CVE やイメージの弱点を、本番環境で使用される前に自動的に検出します。これにより、インシデントに対応するのではなく、プロアクティブにパッチやイメージの再構築を行うことができます。
- コンプライアンスの確保:コンテナに禁止されたパッケージやコンフィグが含まれていないことを確認することで、セキュリティ標準やベストプラクティス(CISベンチマーク、PCI-DSS、HIPAAなど)を満たすことができます。スキャンによってレポートと監査証跡が作成され、コンプライアンス要件を満たします。
- CI/CDへの統合:最新のコンテナスキャナは、CI/CDパイプラインやコンテナレジストリにプラグインし、チェックポイントとして機能します。危険なイメージがデプロイされるのをブロックすることができ、開発速度を低下させることはありません。
- 侵害リスクの低減重大な欠陥(古い OpenSSL ライブラリや漏洩した秘密情報など)を発見し、修正を促すことで、スキャナは攻撃対象領域を縮小します。コンテナ内の既知の脆弱性が少ないということは、攻撃者が容易に狙える対象が少ないということです。
- 自動化で時間を節約:各コンテナの中身を手作業でチェックする代わりに、ツールに重い仕事をさせる。チームは最小限の労力で一貫性のある反復可能なスキャンを行うことができ、開発者やDevOpsはセキュリティ問題の解決ではなく、機能に集中することができます。
正しいコンテナスキャナーの選び方
すべてのコンテナ・セキュリティ・ツールが同じように作られているわけではありません。スキャナを評価する際には、「脆弱性を発見できるかどうか」だけでなく、いくつかの重要な要素を考慮してください。以下に、留意すべき基準をいくつか示します:
- CI/CDとレジストリの統合:パイプライン用のCLI、Jenkins/GitLab用のプラグイン、レジストリフックなど。ビルドやプッシュのたびに自動的にイメージをスキャンしてくれるものであれば、実際に定期的に使う可能性が高くなります。
- 精度(誤検出の少なさ):S/Nが高いスキャナーを探す。最良のツールは、ポリシーエンジンやスマートフィルタリングを使用し、無関係なアラートで溢れるのを避ける。誤認警報が少ないということは、開発者がそのツールを信頼することを意味する。
誤認警報が少ないということは、開発者がそのツールを信頼することを意味する。 - 問題のカバー範囲:各スキャナーが実際に何をチェックするかを考えてみよう。純粋にOSパッケージのCVEに焦点を当てるものもあれば、言語ライブラリの脆弱性、シークレットキー、コンフィグの問題にもフラグを立てるものもある。理想的には、スタックに関連するリスク(イメージ、ファイルシステム、Kubernetesのコンフィグなど)を幅広くカバーしているスキャナーを選択する。
- 修復のお手伝い:スキャンはステップ1であり、修正はステップ2である。例えば、「10個の脆弱性を修正するために、このベースイメー ジをバージョンXにアップグレードしてください」、あるいはワンクリックの自動修正ソ リューションなどである。これにより、パッチの適用プロセスを劇的にスピードアップすることができる。
- 拡張性と管理:大規模な環境では、ツールが中央ダッシュボードやレポート、ロールベースのアクセス、数千のイメージを継続的に処理する機能を提供しているかどうかを検討します。企業チームは、ポリシーの強制機能(基準を満たさないイメージのブロックなど)や、発券システムやSIEMシステムとの統合を優先するかもしれません。
選択肢を検討する際には、これらの基準を念頭に置いてください。次に、2025年に利用可能なトップ・ツールと、それぞれがもたらすものについて見ていこう。さらに、開発者のラップトップからKubernetesクラスタまで、特定のユースケースに最適なスキャナーについて掘り下げていく。
2025年に向けたコンテナ・スキャン・ツールのトップ
(アルファベット順に記載。各ツールは、コンテナを保護する上で独自の強みを発揮する)。
まず最初に、CI/CD統合、修復サポート、ランタイム・セキュリティ、開発者エクスペリエンスなどの機能に基づいて、総合的なコンテナ・スキャン・ツールのトップ5を比較する。これらのツールは、動きの速い開発チームから大規模なエンタープライズ・セキュリティ運用まで、さまざまなニーズに対応するクラス最高のものです。
1.Aikido
Aikidoは、オールインワン・ツールキットの一部として強力なコンテナ・スキャンを含む、コード・トゥ・クラウド・セキュリティ・プラットフォームである。開発者中心のソリューションで、AIを活用してノイズを最小限に抑え、脆弱性を迅速かつ自動的に発見・修正するよう設計されている。Aikidoプラットフォームは、SAST、コンテナ・イメージ・スキャン、クラウド設定スキャンなどにまたがっており、コードからランタイムまで、セキュリティの統一されたビューを提供します。コンテナ・イメージの場合、Aikido OSパッケージのCVE、ライブラリの欠陥、設定ミスを特定し、AI AutoFix機能によって修正(例えば、ベース・イメージのアップグレードやパッチ・バージョンの提案)を自動生成することができる。このツールは、GitHubやCIパイプラインからIDEまで、開発者が作業する場所に統合されるため、セキュリティ・チェックが開発のシームレスな一部となる。モダンなUIと重いセットアップを必要としないAikido 、「プラグ・アンド・プレイ」に限りなく近いコンテナ・セキュリティだ。
主な特徴
- コード、依存関係、コンテナ、IaCなどを1つのプラットフォームで統合スキャン(個別のツールは不要)
- AIを活用したコンテナ脆弱性の優先順位付けとワンクリックAutoFix(修復時間を数時間から数分に短縮)
- 開発者に優しい統合:CI/CDプラグイン、Gitフック、即時フィードバックのためのIDE拡張機能
- スマートな重複排除と偽陽性フィルタリングによるノイズの削減(問題がトリアージされるため、真の問題のみが表示されます。)
- クラウドサービスおよびオンプレミスオプション、コンプライアンスレポート(監査用のSBOMやセキュリティレポートの作成など)。
こんな人に最適開発チームや新興企業で、数分で使い始められるオールインワンの自動セキュリティ・ツールを求めている人。Aikido 、常に稼働している自動化されたセキュリティ・エキスパートのように機能する。(ボーナス: クレジットカードなしで無料で始められ、~30秒でスキャン結果が表示されます)
2.アンカー
Anchoreは、ポリシー・ドリブン・アプローチで知られる定評あるコンテナ・スキャン・プラットフォームだ。オープンソースエンジン(Anchore Engine、現在はCLIツールGrypeに継承)と商用エンタープライズ製品の両方を提供している。Anchoreはコンテナ・イメージのOSやアプリケーションの脆弱性を分析し、イメージにカスタム・ポリシーを適用することができる。例えば、クリティカルな脆弱性が存在する場合や、許可されていないライセンスが検出された場合に、ビルドを失敗させるルールを設定することができます。Anchoreのエンジンは、レイヤーごとにイメージ検査を実行し、各脆弱性を特定のイメージレイヤーにマッピングします。エンタープライズ版では、洗練されたUI、スケーラビリティ、継続的なスキャンのためのCIツールやレジストリとの統合が追加されている。
主な特徴
- セキュリティゲートを実施するための堅牢なポリシーエンジン(例えば、深刻度の高いバルーンや古いパッケージが含まれるイメージのブロックなど)
- 脆弱性スキャンと並行して、詳細なSBOM生成とライセンス・コンプライアンス・チェックを実施
- ビルド時のイメージチェックのためのCI/CD統合(Jenkinsなどのプラグイン、またはGrype CLIを介したパイプラインでのAnchoreの使用)
- どのDockerfileのステップで問題が発生したかを知ることで、修正が容易になります。
- 柔軟なデプロイ:ホスティングサービスとして、オンプレミスで、またはKubernetesクラスターで利用できる。
こんな方に最適 きめ細かな管理とコンプライアンスを必要とするチーム(厳しいセキュリティポリシーや法的要件を持つ組織など)。Anchoreは、ポリシーによって誤検知を減らし、画像が組織のセキュリティ基準に適合していることを保証します。
3.アクアセキュリティ
アクア・セキュリティ は、コンテナとクラウドネイティブ・セキュリティのライフサイクル全体を提供する最先端のエンタープライズ向けソリューションです。Aquaのプラットフォームはイメージ・スキャンにとどまらず、ランタイム防御、アクセス制御、コンプライアンスをカバーしているが、イメージ・スキャン機能だけでも一流だ。Aquaのスキャナー(に統合されている。 クラウド・ネイティブ・アプリケーション保護プラットフォーム)は、巨大な脆弱性データベース(NVDやAqua独自の調査などのソースを活用)に対してコンテナイメージをチェックする。レジストリ、ホスト、CIパイプライン内のイメージのスキャンをサポートしている。Aquaはまた Kubernetesとの緊密な統合 イメージに問題がある場合、ポッドの実行を阻止することができる。さらに、Aquaは次のようなツールを提供します。 Trivy (オープンソース)を開発者向けに、そしてエンタープライズ・コンソールを集中管理用に提供している。
主な特徴
- 業界屈指の広範なCVEデータベースによる包括的な画像脆弱性スキャン
- Kubernetesとレジストリの統合:レジストリ内のイメージ、またはK8sにデプロイされたイメージを、ポリシーの実施とともに自動的にスキャンします。
- スキャンを補完するランタイムセキュリティエージェント(実行中のコンテナにおける異常動作の検出、エクスプロイトのブロック)。
- コンプライアンスとコンフィギュレーションのチェック(CISベンチマーク、シークレットスキャン、コンテナベンチマークとの統合)
- 数百枚から数千枚の画像に対するリスク評価のための豊富なレポートとダッシュボード
こんな企業に最適 エンドツーエンドのコンテナ・セキュリティが必要な企業。Aquaは、VM、コンテナ、サーバーレスなどのスキャン、コンプライアンス、ランタイム保護を単一のベンダーで行いたい場合に最適です。(強力なカスタマーサポートと、新たな脅威に対処するための頻繁なアップデートがある)。
4.クレア
Clairは、もともとCoreOS(現在はRed Hatの一部)によって開発されたオープンソースのコンテナ・イメージ・スキャナーだ。そのAPI駆動型の設計のおかげで、コンテナレジストリやCIシステムにスキャンを統合するための一般的な選択肢となっている。Clairが行うこと:Debian、Alpine、Red Hatなどのソースからの脆弱性データとパッケージを照合することで、既知の脆弱性についてコンテナイメージの各レイヤーをスキャンする。Clair自体はどちらかというとバックエンドのサービスであり、スキャン結果をデータベースに保存し、それをクエリするためのAPIを公開している。特に、Red HatのQuayレジストリは、プッシュ時に自動的にイメージをスキャンするために、Clairを使用している。オープンソースプロジェクトであるClairは、ちょっとしたセットアップ(コンテナ化されたサービスとデータベース)を必要とし、ワークフローに組み込む必要がある(もしくはQuayのようなものを使う)。派手なUIは付属していないが、手を加えることを厭わない人にとっては信頼できるスキャナーだ。
主な特徴
- 画像のレイヤーごとのCVEスキャン、各レイヤーで発見された脆弱性のログ(どのレイヤーがどのCVEを導入したかを理解するのに役立つ)
- スキャン結果を他のシステム(CIパイプライン、レジストリなど)に統合するためのREST APIを公開。
- 更新可能な脆弱性データベース:複数のLinuxディストリビューションフィードからデータを取得し、他の脆弱性ソース用に拡張可能。
- 高速、インクリメンタルスキャン - Clairは、毎回画像全体を再スキャンするのではなく、変更のあったレイヤーだけを再スキャンすることができます。
- 完全なオープンソースで使用は無料(Apacheライセンス)、コミュニティがCVEフィードとアップデートを管理
こんな方に最適カスタム・ワークフローや社内プラットフォームに深く統合できるスキャナーを求めるプラットフォーム・チームやDIY愛好家。Clairは、社内レジストリや特注のCIシステムの一部としてデプロイするのに最適だ。(Red Hatベースの環境やQuayを使用している場合、Clairは脆弱性スキャンのデフォルトの選択肢になるかもしれない)。
5.ダグダ
Dagdaはユニークなアプローチをとるオープンソースツールで、コンテナイメージのスキャンとマルウェア解析およびランタイムの脅威監視を組み合わせています。Dagdaは、コンテナ・イメージ内の既知のCVEを検出するだけでなく、イメージのファイル・システム内のマルウェア、トロイの木馬、ウィルスをスキャンします。Dagdaは、脆弱性データ(CVEデータベース、Bugtraq IDなど)をMongoDBに集約し、ClamAVアンチウイルスを活用してパッケージやバイナリ内のマルウェアを検出します。多くのLinuxディストロ・イメージ(Debian、Alpine、RHELなど)をサポートし、アプリケーションの依存関係もスキャンする(jars、npm、pipパッケージのOWASP Dependency-Checkのようなツールを使用)。これだけでは十分でないかのように、DagdaはFalcoと統合して、実行中のコンテナに異常がないか監視することができる。この幅の広さのトレードオフとして、Dagdaはセットアップが少し重く複雑になる可能性がある。
主な特徴
- OSパッケージとアプリの依存関係に対する静的脆弱性スキャン(複数のデータベースとソースを使用して、エクスプロイト情報を含むCVEを検出します。)
- アンチウイルスエンジンを使用した画像内部のマルウェアスキャン(画像に隠れている可能性のあるトロイの木馬、ウイルス、悪意のあるバイナリを検出します。)
- ランタイム監視のためのFalcoとの統合:デプロイ後のコンテナに対して異常検知をトリガーできる
- スキャン結果をデータベースに保存し、スキャン履歴や経時的な傾向分析が可能(更新後に画像の問題が増えたか減ったかを追跡可能)
- スキャンを実行し、結果を取得するためのCLIおよびRESTインターフェース。
こんな人に最適 イメージとランタイムの両方のセキュリティをカバーするオープンソースのツールを求めているセキュリティ愛好家や研究志向のチーム。Dagdaは、イメージにマルウェアが潜んでいるかもしれないと疑っている場合や、脆弱性スキャンとライブ・モニタリングにまたがる1つのツールが欲しい場合に便利だ。(一人プロジェクトであり、単一目的のスキャナーほど洗練されていないため、セットアップには少々手間がかかることを覚悟してほしい)。
6.ドッカー・スカウト
ドッカー・スカウト はDocker独自のコンテナ分析ツールで、Docker HubやDocker CLIとシームレスに統合できるように構築されています。Docker DesktopやHubを使用している開発者であれば、Scoutは既存のワークフローにセキュリティに関する洞察を追加します。イメージのSBOM(Software Bill of Materials)を自動的に生成し、これらのコンポーネントの既知の脆弱性にフラグを立てます。.Docker Scoutの強みのひとつは、次のような提案だ。 救済パス - 例えば、多くの脆弱性を排除するベースイメージのアップグレードを推奨することができる。Scoutはウェブダッシュボードを備えたクラウドサービスとして実行され、Docker CLIとも連携している。 ドッカースカウト コマンドを使用して、ローカルまたは CI でイメージを解析します)。このツールは継続的に更新される脆弱性データを使用し、長期間にわたってイメージを監視することもできます(新しいCVEが以前クリーンだったイメージに影響した場合に警告を発します)。Docker Scoutには、個人開発者/小規模プロジェクト向けの無料版と、チーム向けの有料プランがあります。
主な特徴
- SBOMの生成と解析:イメージをレイヤーとパッケージに分解し、中身を正確にリストアップし、脆弱なコンポーネントを強調表示します。
- リアルタイム更新による脆弱性データベースのマッチング(Dockerのデータフィードを利用しているため、新しいCVEを素早くピックアップできます。)
- 修正に関する推奨事項:脆弱性を解決するために、より新しい画像タグやパッケージのアップデートを提案する(画像サイズの変更を最小限に抑えることを念頭に置く)
- Dockerエコシステムとの統合:Docker HubのページやDocker Desktopでセキュリティに関する洞察を直接確認したり、CIパイプラインでCLIコマンドを使用したりできます。
- ルールを強制するポリシー機能(例えば、Docker ScoutのCLI/CI統合を使用して、脆弱性が閾値を超えた場合にビルドを失敗させるなど)
こんな人に最適すでにDocker Hub/CLIに投資している開発者や小規模なチームで、別のプラットフォームを採用せずにビルトインのセキュリティチェックをしたい人。Docker Scoutは、Docker Hubにイメージをプッシュしているのであれば間違いありません。(さらに、基本的な機能はパブリックリポジトリと1つのプライベートリポジトリでは無料であるため、個々のプロジェクトでは簡単に選択できます)。
7.ファルコ
Falcoはこのリストの他のものとは少し違う。イメージスキャナーではなく、コンテナ用のオープンソースのランタイム脅威検出ツールだ。コンテナ・セキュリティはビルド時に止まらず、Falcoはコンテナの挙動をリアルタイムで監視するためのデファクト・スタンダードとなっている。もともとSysdigによって作成され、現在はCNCFのインキュベート・プロジェクトであるFalcoは、あなたのホストまたはクラスタ上で実行され、コンテナが何をしているかを監視するためにカーネルレベルのデータを(eBPFまたはドライバを介して)使用する。コンテナがシェルをスポーンしたり、システム・バイナリを変更したり、予期しないネットワーク接続、機密ファイルの読み取りなどのような不審な活動を検出する一連のルールが付属している。Falcoのルールがトリガーされると、アラートを生成したり、インシデント対応ワークフローにフィードすることができる。Falco は、あなたのイメージ内の既知の CVEs については教えてくれませんが、コンテナ が何かすべきでないことをしている場合、おそらくは実行中のエクスプロイトや設定ミスを示 す場合には教えてくれるでしょう。
主な特徴
- 実行中のコンテナ(およびホスト)をシステムコールレベルで監視し、異常をリアルタイムでキャッチ(暗号マイニングの動作やファイルアクセス違反など)。
- 一般的な脅威に対するデフォルトのルールセットに加え、高度にカスタマイズ可能なルール(ファルコをお客様のアプリの期待される挙動に合わせてカスタマイズするために、お客様自身でルールを作成してください。)
- Kubernetes 監査ログの統合:FalcoはK8sのイベントも取り込むことができ、ポッドへのexecやポッドのセキュリティポリシーの変更などを検知することができます。
- オープンソースであり、CNCFの一部である - 活発なコミュニティと継続的な改善を意味する。
- KubernetesのデーモンセットまたはLinux上のシステムサービスとして軽量にデプロイ - アラートをSTDOUT、Slack、SIEMシステムに送信して対応可能
こんな人に最適イメージスキャンを補完するランタイムコンテナセキュリティを必要とするチーム。ゼロデイエクスプロイト、インサイダー脅威、あるいは単なる設定ミスなど、コンテナがいつ誤動作を始めるかを知りたい場合、Falcoは最適なソリューションです。Kubernetes環境では、アドミッションコントロールを超えた防御の追加ラインが必要な場合に人気がある。
8.グライプ
Grypeは、Anchoreによって作成された、コンテナイメージとファイルシステム用の高速で使いやすいオープンソースの脆弱性スキャナです。基本的には、古いAnchore Engineオープンソースプロジェクトの後継で、シンプルなCLIツールに凝縮されている。Grypeを使えば、Dockerイメージ(タグやtarファイル)やファイルシステムのディレクトリを指定するだけで、内部のすべてを列挙して既知の脆弱性を見つけてくれる。複数のOSと言語エコシステムに対するAnchoreの強固な脆弱性フィードを利用することができる。Grypeの大きな焦点のひとつは正確さであり、パッケージのバージョンを正確に照合することで、誤検出を最小限に抑えようとしている。また、VEX(Vulnerability Exploitability eXchange)のような新しい標準をサポートし、特定の脆弱性を適用不可または緩和済みとマークできるようにしている。GrypeはCIパイプラインでうまく機能し(JSONまたはテーブルの結果を出力する)、AnchoreのSyftツール(SBOMを生成する)とペアになる。基本的に、Grypeは最小限の手間でスクリプトを作成できる無料のスキャナーを提供してくれる。
主な特徴
- 多くのイメージソースをスキャンします:Docker/OCIイメージ(ローカルまたはリモート)、ファイルのディレクトリ、SBOMファイル - さまざまなユースケースに対応します。
- OSパッケージと言語固有の依存関係をサポート(例えば、イメージ内の脆弱なgemやnpmパッケージなどを見つける)
- 偽陽性の低さと関連性の高い結果に焦点を当てる - Grypeの脆弱性マッチングは非常に賢く、ノイズを減らす
- 定期的に更新される脆弱性データベース(Anchoreのフィードを利用したオンライン作業、またはダウンロードしたDBを利用したオフライン作業が可能)
- パイプラインや他のツールに簡単に統合できるように、複数のフォーマット(JSON、CycloneDX SBOM、テキストサマリー)で出力します。
こんな人に最適自動化に組み込むための、無難で信頼性の高いスキャナーを探している開発者やDevOpsエンジニア。GitHubアクションやシェルスクリプトで実行できるオープンソースツールで、深刻度の高いバルンのビルドを失敗させたいなら、Grypeは理想的だ。また、(コンテナ・イメージだけでなく)ファイルシステムの中身をスキャンするのにも最適で、CIでアプリケーションの依存関係をスキャンするのに便利だ。
9.OpenSCAP
OpenSCAPはLinux界のセキュリティ監査ツールで、コンテナ専用ではないが、コンテナ・イメージのコンプライアンスと脆弱性のスキャンに使用できる。Red Hatの支援を受けたOpenSCAPは、SCAP標準(Security Content Automation Protocol)を実装し、セキュリティ・プロファイル(例えば、DISA STIGs、PCI-DSSチェックなど)のライブラリが付属している。OpenSCAPを使用すると、イメージまたは実行中のコンテナ・ホストをこれらのプロファイルに照らして評価し、ベスト・プラクティスに適合しているかどうかを確認できる。特にコンテナイメージの場合、OpenSCAP は既知の CVE をスキャンし、構成の堅牢化(特定の安全でないサービスが存在しないことの確認など)もチェックできます。このツールは、Red Hat ベースのコンテナでよく使用される(他のイメージをスキャンできる OpenSCAP コンテナイメージもある)。このツールは、コンプライアンスを重視する人にとっては非常に強力だが、手っ取り早く脆弱性スキャンを行いたいだけであれば、やりすぎになる可能性がある。
主な特徴
- コンプライアンス・スキャン:コンテナやホストを事前に定義したセキュリティ・ベースライン(CIS ベンチマーク、政府基準など)に照らして検証する。
- Red Hat の CVE データを利用した脆弱性スキャン(特に RHEL/UBI コンテナイメージの場合、適用可能なエラッタを見つけるのに便利です。)
- コマンドラインツール
オスカップコンテナのtarボールやDockerイメージをIDでスキャンし、HTMLやXMLのレポートを作成します。 - Red Hat ツールとの統合(Red Hat Satellite、foreman、OpenShift パイプライン内のセキュリティチェックなど)。
- オープンソースのフレームワークで、必要に応じて独自のXCCDF/OVALチェックを書くことで拡張可能。
こんな方に最適厳格な基準に照らしてコンテナイメージを評価する必要がある企業のセキュリティおよびコンプライアンスチーム。監査要件が厳しい組織(政府機関や金融機関など)の場合、OpenSCAP はコンテナの脆弱性とコンフィギュレーションコンプライアンスの両方をチェックする実証済みの方法を提供します。開発者にとって最も使いやすいとは言えませんが、正式なセキュリティ評価では信頼されています。
10.Qualys コンテナ・セキュリティ
Qualys Container Securityは、Qualysのクラウド・セキュリティ・スイートの一部であり、脆弱性管理の専門知識をコンテナの世界にもたらします。Qualys CSは、環境(オンプレミス、クラウド、CIパイプライン)全体のコンテナやイメージを検出し、脆弱性や設定ミスをスキャンするための一元化されたクラウドサービスを提供します。Qualysは、ホストまたはクラスタにデプロイする軽量コンテナセンサーを使用し、実行中のコンテナ、イメージ、さらにはオーケストレーターの詳細を自動的に検出します。脆弱性データは、Qualysの巨大なクラウドデータベースと関連付けられ、すべてのコンテナ資産とそのセキュリティ態勢を一枚のガラスで確認できるようになります。Qualys Container Securityは、コンプライアンス・チェック(CIS Dockerベンチマーク・スキャンのような)も可能で、CI/CDとも統合できる(例えば、ビルド・プロセス中にイメージをスキャンするJenkinsプラグインを提供している)。エンタープライズ製品として、Qualysの通常の強みである、堅牢なレポート、アラート、大規模環境を処理する能力が備わっている。
主な特徴
- インフラ全体におけるコンテナとイメージの自動検出とインベントリ- どのイメージがどこで実行されているか、またその脆弱性を把握できます。
- ホスト上だけでなく、レジストリ内の画像もスキャン(一般的なレジストリに接続し、プッシュ時に新しい画像をスキャン)。
- コンテナランタイムのセキュリティ機能:実行中のコンテナインスタンスの問題を検出して警告することができる(イメージのベースラインから逸脱したコンテナをブロックすることもできる)。
- APIとネイティブプラグインによるDevOpsパイプラインとの緊密な統合(開発者がビルドプロセスでフィードバックを得られるようにする)
- Qualysの制御ライブラリを使用した、ポリシー駆動型の実施とコンプライアンス・レポート(重要な脆弱性を持つコンテナの実行を許可しない、Dockerデーモンの設定が安全であることを確認する、など)。
こんな企業に最適すでにQualysを脆弱性管理に使用しており、その可視性をコンテナにも拡張したいと考えている大企業や規制産業。VMとコンテナの脆弱性に関する統一されたレポートが必要な場合、Qualysは有力な選択肢となる。また、自動検出がスキャンと同じくらい重要な、何千ものコンテナを抱える企業にも適している(Qualysは、環境で実行されているものを見逃さないようにサポートしてくれる)。
11.スニーク・コンテナ
Snyk Containerは、開発者フレンドリーなセキュリティ・ツールで知られる Snyk 社のコンテナ・セキュリティ製品だ。Snyk Container は、開発プロセスに統合し、開発者が早期に問題を修正できるようにすることに重点を置いています。Snyk Container は、Snyk の広範な脆弱性データベースとオープンソースのインテリジェンスを活用して、OS パッケージとアプリケーション・ライブラリの両方の脆弱性についてコンテナ・イメージをスキャンすることができます。Snyk の利点は、コンテキストと優先順位付けにあります。Snyk は単に脆弱性をリストアップするだけでなく、開発者が本当に重要な脆弱性に優先順位を付けられるよう支援します(たとえば、イメージ内の脆弱なライブラリがアプリケーションで実際に使用されているかどうかを強調表示するなど)。また、修正に関するガイダンスも提供します。多くの場合、一度に多くの脆弱性を削減するベースイメージのアップグレードを提案します。Snyk Containerは(プラグインとCLIを使用して)CI/CDにプラグインし、イメージを長期にわたって監視することができます(新しい脆弱性がイメージに影響した場合にアラートを送信します)。Kubernetes クラスターに接続して、実行中のワークロードに問題がないか継続的に監視することもできます。
主な特徴
- CI/CDとGitの統合:開発者はパイプラインでイメージをスキャンしたり、GitHub/GitLabの統合からスキャンをトリガーしたりすることができます。
- 開発者に焦点を当てた改善アドバイス(例えば、「30個の問題を解消するために、よりスリムなベースイメージに変更する」など)と、ベースイメージの更新に関する自動修正PRをオープンする機能。
- Kubernetesへの可視性:Snyk は K8s クラスタに接続し、実行中のすべてのイメージとその脆弱性を一覧表示し、デプロイメント設定に関連付けることができます (開発部門と運用部門の橋渡しに役立ちます)。
- 脆弱性スキャンに加え、ライセンススキャンやコンフィグチェックなどのコンプライアンス機能(Snykのソフトウェア構成分析のルーツに基づいているため)
- プロジェクト追跡のための優れたUIを備えたSaaSプラットフォーム。さらに、セキュリティゲートを強制するためのポリシー設定(重大度Xが見つかった場合はビルドを失敗させるなど)やダッシュボードのレポート機能も備えている。
こんな人に最適 セキュリティを左遷し、開発の一部にしたいと考えているDevOps チーム。Snyk Container は、すでに開発者中心のツールを採用している組織にとって理想的です。開発者の言葉を話し(コードリポジトリとの統合など)、SDLC ⇄ の早い段階で問題を修正することを奨励します。また、Snyk をコード/オープンソースのスキャンに使用していて、それをコンテナイメージに拡張して 1 つの統合ビューにしたい場合にも適しています。
12.シノプシス ブラックダック
シノプシスのBlack Duckは、アプリケーション・セキュリティ分野のベテランであり、従来からオープンソース・ライセンスのコンプライアンスやSCA(Software Composition Analysis)で知られている。Black Duckは、コンテナのコンテキストにおいて、コンテナイメージをスキャンし、すべてのオープンソースコンポーネントとその脆弱性を特定することができます。BlackDuckは、基本的に、イメージの詳細なソフトウェア構成分析を行います。部品表(すべてのライブラリ、パッケージ、OSコンポーネント)を抽出し、BlackDuckのオープンソースリスクのナレッジベースにマッピングします。Black Duckの強みの1つはライセンスコンプライアンスであるため、コンテナ内のコンポーネントのライセンスに懸念がある場合(GPLコードを避けるなど)、非常に便利です。Black Duckのコンテナスキャンでは、"Black Duck Docker Inspector "と呼ばれるコンポーネントを使用して、イメージをレイヤーごとに分析することが多い。結果はBlack Duck Hub(中央ダッシュボード)に送られ、セキュリティチームや法務チームが脆弱性情報やポリシー違反を確認したり、リスクのトリアージを実行したりすることができる。このツールは通常、オンプレミスまたはマネージドサービスとして導入され、大規模な組織を対象としている。
主な特徴
- 包括的なBOM分析:イメージ内のすべてのオープンソースソフトウェア(言語ライブラリまで)を特定し、既知の脆弱性とライセンスにフラグを立てます。
- レイヤー固有の洞察 - どのレイヤーがどのコンポーネントを持ち込んだか、その結果、どこに脆弱性が導入されたかを示す(修復計画に役立つ)
- ポリシー管理:ポリシー(「GPLライセンスのコンポーネントを使用しない」、「深刻度が中程度以上の脆弱性を使用しない」など)を定義することができ、Black Duckはこれらのポリシーに違反する画像をマークします。
- Synopsys Detectプラグイン/CLIを介したCIパイプラインとの統合により、ビルドプロセス中にビルドの失敗やレポートの取得が可能
- Black Duckのデータベースにある詳細な改善情報へのリンクがあり、コンポーネントをアップデートするための課題やプルリクエストを提出できる。
最適 オープンソース・ガバナンスを重視する企業。ライセンスの追跡や、コンポーネントのリスクを幅広く把握することが、CVEを検出することと同じくらい重要であれば、Black Duckは強力な候補となる。自動車や航空宇宙など、ソフトウェア・コンポーネントのコンプライアンスが厳しい業界でよく使われている。迅速な脆弱性スキャンのための最も無駄のないツールではないが(単純な脆弱性チェックならオープンソースの代替ツールの方が早い)、コンテナとその中のソフトウェアに対する全体的なリスク管理アプローチを提供する。
13.シスディグセキュア
Sysdig Secureは、イメージスキャンとランタイムセキュリティの両方を1つの製品にまとめたコンテナセキュリティプラットフォームです(しばしばCNAPP(Cloud Native App Protection Platform)と呼ばれます)。Sysdig Secure を使えば、CI パイプラインやレジストリにあるコンテナ・イメージの脆弱性をスキャンし、基準を満たさないデプロイメントをブロックするポリシーを適用することもできる。さらに Sysdig は、オープンソースの Falco エンジンを使用して、実行中のコンテナを継続的に監視し、異常な動作を検出します。この組み合わせにより、Sysdig Secure は構築時にフィードバックを提供し、実行時に保護します。注目すべき機能としては、スキャン結果をKubernetesのデプロイメントにリンクさせたり(どの実行中のワークロードが脆弱なイメージを持っているかを確認できる)、レポート用に調査結果をコンプライアンス基準(PCI、NISTなど)にマッピングしたりすることが挙げられます。Sysdigはまた、特定のバルーンを修正するベース・イメージのバージョンを教えてくれるなど、修正を提案する優れた機能も提供している。商用ツールとしては、ウェブUI、API、CI/CDやレジストリのウェブフックとの統合が付属している。
主な特徴
- イメージスキャンとランタイムセキュリティの一体化:脆弱性スキャンに加え、(Falcoを介した)リアルタイムのシステムコール監視により、攻撃をいち早くキャッチします。
- Kubernetesを意識した可視化:イメージとコンテナをKubernetesのメタデータ(ネームスペース、デプロイメント)と関連付け、アクティブに実行されているサービスの修正に優先順位をつけやすくします。
- ビルドおよびデプロイ時にセキュリティを強制するポリシーエンジン(例えば、ポッドにブロックされた脆弱性がある場合や、コンプライアンスルールに違反している場合に、ポッドを起動できないようにします。)
- コンプライアンス・マッピングとレポート - PCI、HIPAA、カスタム・ルールなどの標準を、画像スキャンとランタイム・データの両方から、すぐにチェックできます。
- インシデントレスポンス機能:Sysdigは、セキュリティイベントに関する詳細なアクティビティ(syscallキャプチャ)を記録することができ、コンテナが侵害された場合のフォレンジック分析に役立ちます。
こんな企業に最適すべてをカバーする統合コンテナ・セキュリティ・ソリューションを求めている企業。ツールの乱立を最小限に抑え、スキャン、脅威検出、コンプライアンスを1つのダッシュボードで実現したいのであれば、Sysdig Secureは有力な候補となる。Sysdig Secure は、ランタイムの可視化とイメージ・スキャンが、パイプラインを真にセキュアにするために密接に連携する必要がある Kubernetes 環境に特に適している。
14.トリビー
Trivy (による アクア・セキュリティ)は、その使いやすさとカバー範囲の広さから、最も人気のあるオープン・ソース・コンテナ・スキャナーの1つに浮上した。単一のバイナリで、複雑なセットアップを必要としない。 trivyイメージ myapp:latest 数秒で脆弱性のリストを得ることができる。Trivyは以下のスキャンで知られている。 台所の流し以外のすべてコンテナ・イメージだけでなく、ファイル・システム、Gitリポジトリ、Dockerfile、Kubernetesマニフェストなど。このため、DevOpsにおけるセキュリティ・スキャンのための便利なスイスアーミーナイフとなる。Trivyは、多くのソース(Linuxディストロのアドバイザリ、GitHubの言語デポのセキュリティアドバイザリなど)から脆弱性データを取り込み、Infrastructure-as-Codeのコンフィギュレーションをスキャンして問題を探すことさえできる。Trivyは結果を表形式またはJSONで出力できる(SPDX/CycloneDXのSBOM生成もサポート)。また、他のツールのエンジンとしても使用されている(例えば、HarborレジストリはプラグインスキャナとしてTrivyを使用し、Kubernetesレンズツールはそれを統合している)。オープンソースであるため、完全に無料でコミュニティがメンテナンスしている(ただし、AquaはTrivy Premiumと呼ばれるUI付きの有料版を提供している)。
主な特徴
- 非常に高速で簡単なCLI- 前提条件なし、初回実行時に最新の脆弱性データベースが自動的にダウンロードされます。
- コンテナイメージ(ローカルまたはリモート)、ディレクトリ、設定ファイル(K8s YAML、Terraform)、さらにはライブのKubernetesクラスタなど、複数のターゲットタイプをスキャンし、ワークロードの問題を検出します。
- 幅広い脆弱性ソースと微調整された解析により、高い精度とカバレッジを実現(Trivyは誤検知をあまり出さずに多くを発見したことで高く評価されている)。
- SBOMを生成し、SBOMファイルの脆弱性をスキャンすることで、最新のサプライチェーンセキュリティワークフローをサポートする。
- CIと簡単に統合でき(バイナリを追加してパイプラインで実行するだけ)、GrafanaやSlackアラートのようなツールにフィードできるプラグイン可能な出力を持っている。
最適: 単独の開発者から企業まで、正直なところ誰でも。コンテナ・イメージの既知の問題を素早く、確実にスキャンする必要がある場合、Trivyが最初に使うツールになることが多い。無料なので、予算のないチームやパイプラインにセキュリティを追加し始めたばかりのチームには最適だ。また、成熟した組織でさえ、特定のユースケース(例えば、設定の定期的なスキャンや商用スキャナのバックアップとして)でTrivyを使用している。イメージ以外のスキャンにも柔軟に対応できるため、DevOpsツールキットにおける一般的なセキュリティ・ツールとしても価値がある。
さて、一般的なトップ・ツールを取り上げたところで、特定のシナリオに最適なオプションを掘り下げてみよう。個人的なプロジェクトに取り組む開発者なのか、スタートアップのCTOなのか、本番環境で何千ものコンテナを運用するのかによって、理想的なコンテナスキャンソリューションは異なります。以下に、さまざまなユースケースに最適なコンテナスキャナーを、それぞれの簡単な根拠とともに紹介する。
開発者に最適なコンテナスキャナー
開発者は、セキュリティをできるだけ摩擦のないものにするツールを求めている。開発者にとって最適なコンテナ・スキャナは、多くのセットアップやノイズを伴わずに、コーディングや構築のワークフローに統合できるものである。主なニーズとしては、迅速なフィードバック(30分もかかるスキャンは誰も望んでいない)、簡単なCI/CD統合、実行可能な結果(できれば修正提案付き)などがある。また、IDEプラグインやフレンドリーなCLIのような、開発者中心の洗練されたものも大いに役立つ。開発者向けにカスタマイズされたトップ・ピックをいくつか紹介しよう:
- AikidoAikido 、開発プロセスに直接セキュリティ・チェックを組み込んでいるため、開発者に最適だ。IDEやプル・リクエストで即座に脆弱性アラートを受け取ることができ、AI AutoFixがパッチを生成してくれる。基本的には開発者のセキュリティ・アシスタントであり、バックグラウンドでコンテナ・スキャン(およびその他)を処理するため、コーディングに集中することができる。
- Snyk Container- Snyk は開発者ファーストのセキュリティ・ツールであり、そのコンテナ製品も例外ではない。GitHub や Jenkins などに接続してイメージをスキャンし、修正プルリクエスト(より高いベースイメージバージョンの提案など)を開きます。開発者は Snyk の明確なレポートと、設定によって特定の問題を無視したりスヌーズしたりできる機能を高く評価している。
- Docker Scout- 多くの開発者にとって、Dockerはすでに日常生活の一部となっています。Docker Scoutはそれに便乗し、Docker HubやDocker CLIで脆弱性に関する洞察を提供してくれます。Docker Scoutは非常に使いやすく(Dockerを知っていれば学習曲線はほぼゼロ)、イメージのセキュリティを向上させるためのヒントを素早く提供してくれます。そのため、シンプルで統合されたものを求めている個人の開発者や小規模なチームにとって、自然な選択肢となります。
- Trivy- Trivyの超高速CLIスキャンは、プッシュする前にイメージのローカルチェックを行いたい開発者に最適です。テストを実行するのと同じくらい簡単だ。設定ファイルとソースリポジトリもスキャンするため、開発者はTrivyを複数のステージで使用することができる(コードの依存関係をスキャンし、ビルドされたイメージをスキャンする)。オープンソースなので、スクリプトを書いたり、自由にカスタマイズすることができる-自動化が好きな開発者には大きなプラスだ。
エンタープライズ向けベスト・コンテナ・スキャナー
企業は通常、規模、ガバナンス、より広範なセキュリティ・スタックとの統合を重視する。最高のエンタープライズ・コンテナ・スキャン・ツールは、集中管理、ロール・ベースのアクセス・コントロール、コンプライアンス・レポート、さまざまなチームやプロジェクトにまたがる数千のイメージを処理する機能を提供する。また、発券システム、企業規模のCI/CDと統合し、場合によっては他のセキュリティ・ツール(SIEMやアセット・インベントリなど)と連携する必要がある。もう1つのポイント:企業向けツールは、多くの場合、スキャン以外の機能(例えば、ランタイム保護やクラウドセキュリティ機能など)をカバーする必要があるため、セキュリティリーダーはベンダーを統合することができる。ここでは、企業のニーズに合ったトップ・スキャナーを紹介します:
- AikidoAikido スクラップな開発者のためだけでなく、オールインワンのAppSecプラットフォームとして企業にもアピールしている。大企業は、Aikido 複数のサイロ化されたツール(SAST、コンテナ・スキャン、IaCスキャンなど)を1つの統一されたシステムに置き換えることができる点を高く評価している。Aikidoは、SSO、(コンプライアンスのための)オンプレミス・デプロイメント、コンプライアンス・フレームワークなどの企業向け機能をすぐに利用できる。さらに、AIによるノイズ除去機能により、大規模なセキュリティ・チームでも誤検知に溺れることはない。要するに、Aikido 多くの機能を1つにまとめることで、企業のコンテナ・セキュリティを簡素化できる。
- Aqua Security- Aquaは、コンテナとKubernetesを運用する大企業向けのトップ・チョイスです。イメージスキャン、アドミッションコントロール、ランタイムディフェンスといったライフサイクル全体をカバーし、堅牢な管理コンソールを備えている。企業はAquaのコンプライアンスモジュール(標準のテンプレート付き)と、CIパイプラインからクラウドアカウントまであらゆるものと統合できる能力を高く評価している。マルチクラウドやハイブリッド環境にも容易に対応し、大規模な導入でも十分な実績があります。
- Qualys Container Security- 多くの企業がサーバーの脆弱性管理のためにすでにQualysを使用していますが、Qualys Container Securityはそれをコンテナ領域に拡張します。Qualys Container Securityは、データセンターとクラウド全体のコンテナ・インスタンスを自動的に検出する、大規模な可視化のために設計されています。Qualysは資産管理とコンプライアンスで輝きを放つ。企業のセキュリティ・チームは、「全社的なすべてのコンテナ・イメージとその脆弱性」を単一のペインで確認できる。組み込みのCIプラグインとAPIにより、企業は複雑なCI/CDフローにスキャンを組み込むことができる。豊富なレポートや企業のセキュリティ・ダッシュボードとの統合が必要な場合、Qualysは強力な候補となる。
- シノプシス Black Duck- オープンソースのリスクを懸念する大企業は、Black Duckを選択することが多い。エンタープライズ・コンテナのスキャンでは、Black Duckのあらゆるオープンソースコンポーネントを検出し、ライセンス/法的リスクを追跡する能力が差別化要因になります。大企業がソフトウェアをリリースする場合、禁止されているライセンスやパッチが適用されていないライブラリがすり抜けられないようにする必要があります。Black Duckは、セキュリティと法的承認のためのワークフローを備えたガバナンスレイヤーを提供します。Black Duckは、コンプライアンスと知的財産リスクを最優先とする企業にとって、ヘビーデューティーでありながら非常に強力です。
- Sysdig Secure-Sysdig Secureは、ワンストップのクラウドネイティブ・セキュリティ・プラットフォームを探している企業にアピールする。Sysdig Secureは、巨大なKubernetesクラスタを運用するフォーチュン500の企業で使用されている。このツールの、イメージスキャンをランタイムコンテキスト(「この脆弱なイメージは、これらのクラスタのprodで実行されている」のような)に結びつける機能は、優先順位付けのためのスケールにおいて非常に貴重だ。企業はまた、ユーザー管理のためのSysdigのLDAP/ADとの統合や、高度な分析(例えば、何千ものイメージにわたるリスクスコアリング)のような機能を高く評価している。企業のセキュリティ・オペレーション・センター(SOC)にとって、Sysdigは広範な監視と、必要な場合の詳細なドリルダウンの両方を提供します。
新興企業に最適なコンテナスキャナー
新興企業は、予算を圧迫することなく、それ以上の性能を発揮するセキュリティ・ツールを必要としている。通常、新興企業が求めているのは、手頃な価格で(あるいは無料で)、セットアップが簡単で(専任のセキュリティ・エンジニアを雇う時間がない)、迅速な開発スプリントを遅らせないものだ。新興企業に最適なコンテナ・スキャナは、最小限の設定で強力なデフォルト・セキュリティを提供し、企業の成長に合わせて拡張できるものだ。また、柔軟性が鍵となる。スタートアップの技術スタックは急速に変化する可能性があるため、複数の環境(クラウド、オンプレム、異なる言語)をカバーするツールがプラスとなる。ここでは、若い企業に最適な選択肢を紹介しよう:
- Aikido- スタートアップ企業にとって、Aikido 信じられないほどの価値を提供する。無料で始めることができ、コンテナ、コード、クラウドリソースを即座にセキュリティブランケットで覆うことができる。Aikido 多くのスキャナーを1つにまとめているため、小規模なチームであれば、複数のツールを管理することなく、SASTやコンテナ・スキャンなどを利用することができる。箱の中にセキュリティ・チームを丸ごと雇うようなものだ。クラウドベースで、数分で立ち上げられるという事実は、スタートアップの「ただセキュアにしたい」というニーズにぴったりだ。スタートアップが成長するにつれて、Aikido 規模を拡大し、より高度なチェックを導入することができますが、初日には、非常に少ない労力で多くの保護を提供します。
- Trivy- Trivyは、フリーでオープンソースでシンプルなので、新興企業にとって素晴らしい選択だ。2人の開発チームがローカルまたはCIパイプラインでTrivyを使用し、明らかなミス(致命的な脆弱性を出荷するような)を防ぐことができる。調達プロセスや複雑な統合は不要で、バイナリを追加するだけで利用できる。資金に乏しいスタートアップにとって、Trivyはコンテナの脆弱性の基本をカバーし、IaCスキャンのようなものまでカバーしている。
- Docker Scout- もしあなたのスタートアップの開発者が既にDockerを使いこなしているなら、Docker Scoutは楽勝だ。特にDocker Hubでイメージをホスティングしている場合)基本的にセットアップなしでセキュリティの洞察を提供してくれる。小規模なスタートアップのプライベートレポであれば、無料版で十分だろう。Scoutは、例えば新しいチームにありがちな落とし穴である、あからさまに脆弱なベースイメージを使用していないことを確認してくれる。これは、開発にセキュリティ意識のレイヤーを追加するための、労力の少ない方法だ。
- Grype- もう一つのオープンソースのgemであるGrypeは、ビルドプロセスに統合された軽量なスキャナーが欲しいスタートアップに最適だ。Grypeは、プルリクエストやイメージビルドのたびに実行するようスクリプトを組むことができる。スタートアップ企業は、Grypeのシンプルさと、サーバーを維持したりサブスクリプションを支払う必要がないという事実を高く評価している。Grypeは、製品開発の初日から基本的なセキュリティ基準を実施するための実用的なツールだ。
ベスト・フリー・コンテナ・スキャナー
予算0ドルでコンテナスキャンをお探しですか?無料の高品質なオプションはたくさんあり、そのほとんどはオープンソースのツールだ。「無料」といっても、完全にオープンソースでセルフホスティングのものもあれば、SaaS型で無料層が手厚いものもある。無料のスキャナーは、個人の開発者、オープンソースプロジェクト、または有料のソリューションに投資する前の試用版として最適です。無料のツールでも仕事はできるが、利便性(UIや企業向け機能が欠けているなど)を犠牲にする可能性があることに留意してほしい。ここでは、最も優れた無料のコンテナ・スキャナを紹介する:
- Trivy- Trivyはフリーのスキャナーの中でトップだ。Aqua Securityが保守しているオープンソースだが、誰でも無料で使える。セットアップなしで、幅広い脆弱性スキャン(OSパッケージとアプリのデプロイ)を受けることができる。脆弱性データベースの更新も無料なので、常に最新のデータに対してスキャンを行うことができる。多くのユーザーにとって、Trivyだけでニーズの80%をカバーできる。
- Grype- 完全にフリーでオープンソースのGrypeは、Trivyの素晴らしい代替(または補完)だ。精度を重視し、CIとうまく統合している。CLIファーストなので、コストをかけずにDevOpsパイプラインでスキャンを自動化するのに最適だ。Anchoreチームは脆弱性フィードを常に最新の状態に保ち、オープンにアクセスできるようにしている。
- Clair- Clairは無料で利用でき、自分の環境でスキャンサービスを使いたい場合に適している。セットアップには少し手間がかかるが、一度稼働すれば、脆弱性データを継続的に更新し、API経由で呼び出してイメージをスキャンすることができる。Clairを使えば、無料の「コンテナ・セキュリティ・サービス」を社内で効果的に構築することができる。多くの小規模なレジストリやセルフホストCIセットアップが、この目的でClairを活用している。
- Dagda- Dagda は単なる脆弱性スキャン以上のものを求める人のための野心的なフリーツールです。オープンソースで、マルウェアスキャンとランタイムモニタリングの機能をライセンス料なしで利用できる。もしあなたが(おそらく小さな会社や研究をしている)セキュリティに詳しいなら、Dagdaは無料でたくさんの機能を提供してくれる。ただ、それを設定するためのリソース(データベースなどを使用する)と時間が必要であることに注意してほしい。
- Docker Scout (Free tier)- Docker Scoutの基本プランは無料で、限られた数のリポジトリと無制限のパブリックイメージをスキャンすることができます。つまり、小規模なプロジェクトや、主にパブリックなオープンソースイメージを扱うのであれば、Docker Scoutのクラウドサービスを0ドルで利用することができます。自分で何かをデプロイすることなく、ウェブUIとDocker Hubへの統合を好むのであれば、これは良いオプションです。
(フリーツールの佳作 OpenSCAP- フリーでオープンソースだが、少し特殊; Dockle- オープンソースのコンフィグ用コンテナ・リンターで、便利で無料。 CVEbench/CVE-Scanner- CVEbench/CVE-Scanner。他にも様々なコミュニティ・ツールが存在するが、一般的にはTrivy/Grypeが勝る)。
Dockerイメージの脆弱性スキャンに最適なツール
もしあなたが、より広範なコンテナランタイムのセキュリティではなく、Dockerイメージの脆弱性をスキャンすることを第一に考えているのであれば、その作業に特に適したツール群があります。「Dockerイメージの脆弱性スキャン」とは、(おそらくDockerfileからビルドされた)イメージを取得し、その中の既知のCVEを特定することを意味します。ここで最も優れたツールは、Linuxパッケージマネージャ、言語パッケージファイル、そしてイメージのその他のコンテンツの解析に優れている。Docker/OCIイメージフォーマットをサポートし、Dockerレジストリと接続するのが理想的です。このユースケースに最適なツールを紹介しよう:
- AikidoAikidoコンテナイメージスキャンは、最も早く結果を得ることができます。実用的なアウトプットに焦点を当て、Dockerイメージをスキャンし、何が問題かだけでなく、どのように修正すべきか(例えば「このパッケージをアップグレードする」、あるいは修正PRを自動的に生成する)を即座に教えてくれます。純粋な脆弱性スキャンの場合、Aikido 効果的で、イメージが機密データを扱っているかどうかに基づいてリスクスコアなどのコンテキストを追加します。スキャニングに加え、ビルトイン修復の利便性を求めるのであれば、Aikidoは素晴らしい選択肢だ。
- Anchore/Grype- Anchore(GrypeツールまたはAnchore Enterprise経由)は、Dockerイメージスキャン用に構築されています。イメージレイヤーのコンテンツを徹底的に解析し、包括的なCVEフィードと照合します。Anchoreのソリューションは、Dockerビルドパイプラインに統合することも、レジストリ内のイメージ上で実行することもできます。Anchore社はポリシーベースの脆弱性スキャンで知られている。これはDockerイメージの標準を細かく制御したい場合に優れている。
- Trivy - TrivyはDockerイメージスキャナとして再び輝きを放つ。一般的なベース・イメージ(Alpine、Debian、CentOSなど)をすべて扱うことができ、イメージ内のシステム・パッケージとアプリケーションのdepsの両方から脆弱性を見つけることができる。実行中
trivy image <image>は、本番環境にプッシュする前にCVEのリストを取得する簡単な方法です。Dockerのパワーユーザによってよく使われ、非常に高いCVEカバレッジを持っています。もしあなたが「このDockerイメージの何が安全でないか教えて欲しい」と思っているなら、Trivyに勝るものはありません。 - Docker Scout- Dockerによるものであるため、ScoutはDockerイメージやレジストリと直接統合されている。イメージの脆弱性をレイヤーごとにリストアップするフレンドリーなUIを提供する。ユニークな点は、ベースとなるイメージのリネージと脆弱性がどこから来るのかを表示し、より脆弱性の少ないベースを推奨することだ。Docker Hubを多用するチームのために、Scoutはイメージページ上で便利な脆弱性レポートを提供します。そのため、Dockerイメージの衛生状態を改善することだけに集中する開発チームにとって理想的です。
- Qualys Container Security- Dockerイメージをスキャンしたいが、より広範なセキュリティコンテキストでスキャンしたい組織にとって、Qualysは非常に強力だ。Docker HubやECRなどのDockerレジストリに接続し、ビルドやアップデートの際にイメージをスキャンします。ここでの利点は、Qualysが提供するエンタープライズグレードの脆弱性情報だ。各CVEに関する豊富な詳細、影響度、パッチへのリンクが得られる。小規模なセットアップには過剰かもしれないが、多くのDockerイメージを持つビジネスにとっては、Qualysはスキャンされず追跡もされないイメージを確実にする。
ランタイム保護機能を備えた最高のコンテナ・セキュリティ・ツール
コンテナ・セキュリティは、静止しているイメージだけでなく、動いているコンテナも対象となります。実行時の保護には、コンテナの実行を監視し、攻撃や異常を検出し、時には悪意のある活動を阻止するために介入することもできるツールが必要です。このカテゴリのツールの多くは、イメージスキャンとランタイム機能を兼ね備えている(イメージに何が含まれているかを知ることで、ランタイムに何を監視すべきかを知ることができるため)。探すべき主な機能:(Falcoのアプローチのような)動作監視、疑わしい動作のファイアウォールまたはブロック、隔離のためのオーケストレーションとの統合、インシデント対応データの取得。以下は、ランタイム保護機能を含むトップ・コンテナ・セキュリティ・ツールである:
- AikidoAikidoプラットフォームは、ランタイムの側面をカバーするために拡大している(すでにアプリケーション向けのアプリ内WAFのフォームを提供している)。主にスキャンで知られているが、Aikido エンド・ツー・エンドのAppSecと位置づけており、ランタイムのコンテナ/ワークロード保護がメニューにあることを意味する。これには、コンテナ内のエクスプロイトの監視や、エージェントまたは統合による仮想パッチ適用も含まれる。Aikido使用している場合、ランタイム保護機能(0日エクスプロイトのブロックなど)が展開される可能性が高く、ビルドとランタイムのオールインワン・ソリューションとして有望だ。
- Sysdig Secure- Sysdig Secure(Falcoのエンジン上に構築)は、ランタイム・コンテナ・セキュリティのリーダーだ。イメージをスキャンするだけでなく、コンテナのシステムコールとネットワークをアクティブに監視する。Sysdigは、コンテナがルールに違反した場合にコンテナを強制終了または一時停止することができ、詳細なフォレンジック(イベント周辺のシステムアクティビティをキャプチャ)を提供する。基本的には、コンテナとKubernetesのために特別にチューニングされた侵入検知システムを持っているようなものだ。ランタイムの脅威防御では、Sysdigはリアルタイムの検知と対応能力で一流だ。
- Aquaセキュリティ- AquaのプラットフォームにはAqua Enforcersと呼ばれるものがあり、ライブ監視と制御を行うノード上のエージェントです。Aquaは不審なプロセスをブロックし、特権の昇格を防ぎ、さらには実行時にイメージの整合性チェック(コンテナが改ざんされていないことを確認する)を行うことができる。Aquaはランタイム・スキャンもサポートしており、例えば実行中のコンテナのメモリに既知のマルウェアのシグネチャがないかチェックすることができる。これはランタイム用の包括的なスイートであり、コンテナが攻撃対象となる可能性のある高セキュリティ環境でよく使用される。
- Falco- トップ・ツールで述べたように、Falcoはオープン・ソースのランタイム・セキュリティ・ツールだ。Falcoはブロックしないが(Falcoは検出のみで、ブロックするには他の何かと統合する必要がある)、コンテナ内の悪い振る舞いを観察し警告するのに優れている。多くのチームは、ランタイム保護を実現するために、他のツール(またはコンテナをキルするための自作スクリプト)とともにFalcoを使用している。もしあなたが無料でランタイムセキュリティをDIYしたいのであれば、Falcoは使うべきコアコンポーネントである。
- Qualys (Container Runtime Security)- Qualys Container Security はランタイムポリシーも提供する。例えば、実行中のコンテナがイメージから逸脱した場合(イメージのマニフェストにはない新しいプロセスが現れた場合など)、フラグを立てることができる。これはより監視的なアプローチであり、イベントを Qualys コンソールに供給する。Falco のルール言語ほどきめ細かくはありませんが、Qualys は主要なランタイムリスク領域(ネットワーク接続、プロセス、ファイル変更)に焦点を当て、それを脆弱性データに結びつけます。このように、脆弱性とエクスプロイトの動作の相関関係は非常に有用です。
Kubernetes環境に最適なコンテナスキャナー
Kubernetesは、コンテナ・セキュリティにさらに複雑なレイヤーを追加する。K8s環境では、心配する必要があるのはイメージだけでなく、デプロイ設定、クラスタ設定、そして規模に応じた自動化のさらなる必要性もある。Kubernetesに最適なコンテナセキュリティツールは、クラスタと統合して、使用中のイメージをスキャンし、Kubernetesマニフェストのセキュリティ問題を評価し、場合によってはK8sの機能(アドミッションコントローラのような)を使用してポリシーを実施する。また、ポッドの動的な性質(コンテナの出入り)を処理することもできるはずだ。K8s用にカスタマイズされたトップ・スキャナーはこちら:
- AikidoAikido Kubernetesのランタイムスキャンやポリシーエンフォースメントのような機能を進化させているため、K8sユーザーにとって有力な選択肢だ。Aikidoはすでに、コンテナ・イメージがクラスタに到達する前に(CIで)スキャンすることができ、実行中のワークロードを監視する機能(例えば、クリティカルなバルーンを持つイメージがライブ・クラスタにデプロイされないようにする)に取り組んでいる。CI/CDやクラウドにフックするというAikido統合アプローチは、K8s環境の脆弱なイメージや設定ミスを最小限の手作業で継続的に監査するよう設定できることを意味する。
- Sysdig Secure- SysdigはKubernetesを念頭に構築されています。スキャンしたイメージを実行中のポッドとネームスペースにマッピングできるため、クラスタ内のリスクを明確に把握できる。さらに、Sysdigのアドミッションコントローラーは、ポリシーに違反するポッド(rootとして実行されていたり、高セブの脆弱性を含んでいたりする)をブロックすることができる。ランタイムについては、そのFalcoベースの検出はKubernetesを意識している(例えば、問題を報告する際にポッド名やラベルなどを知っている)。本番環境でK8sを運用している場合、Sysdigはイメージ・レジストリのスキャンからノードの監視まで、非常に統合されたセキュリティ・ソリューションを提供する。
- Anchore- Anchoreのポリシーエンジンは、基準を満たさないイメージのデプロイを防ぐことで、K8sとうまく連携する。Anchore を Kubernetes OPA のようなものと一緒に使うか、カスタムコントローラを使うことで、デプロイされるイメージをチェックするパイプラインを作ることができる。Anchoreはまた、統合によって既にクラスタ内にあるイメージをスキャンすることもできる。OCIコンプライアンスとKubernetes admission webhookの例から、クラスタにセキュリティゲートを実装する場合に適している。
- Aqua Security- AquaはKubernetesに強くフォーカスしている。デプロイ時にAquaのデータベースに対してイメージをチェックし、許可されていないものを除外する検証ウェブフックのようなK8sネイティブのコントロールを提供します。また、KubernetesのYAMLファイルをスキャンし(CI内またはAquaコンソール内)、設定ミス(過度に許可された権限やリソース制限の欠如など)を検出します。実行時には、Aquaはクラスタのドリフトを監視する(コンテナが元のイメージにないプロセスを開始した場合、Aquaはそれをブロックできる)。包括的なKubernetesセキュリティ・ソリューションであるため、大規模なK8sデプロイメントを行う企業に好まれている。
- Falco- K8sの場合、Falcoは全ノードを監視するDaemonSetとしてデプロイされることが多い。K8sの監査イベント(誰かがポッドにexecした場合や、機密データを含むConfigMapが作成された場合の検出など)に対する特定のルールを持っています。Falcoをアドミッションコントローラー(Falco-sidekick + OPAのコンボのような)とペアにして、実際に特定のランタイムポリシーも強制することができます。オープンソースで軽量なツールとして、Falcoは最小限のコストでKubernetesクラスタに防御レイヤーを提供する。K8sで多くのコンテナを使用している場合は、Falcoまたは同様のものを実行することを強くお勧めします - それはあなたのクラスタにセキュリティカメラを持つようなものです。
ベスト・オープンソース・コンテナ・スキャナー
オープンソースのツールは透明性と柔軟性を提供し、自分でホスティングしたり、微調整したり、ベンダーのロックインを避けることができる。コンテナ・スキャンに関しては、最高のソリューションのいくつかはオープンソースである。これらのソリューションは、コミュニティや社内ツール、あるいはコストや哲学的な理由からオープンソースを好む組織に最適です。ここでは、オープンソースのトップ・コンテナ・スキャナーを紹介する(すでに紹介したものもある):
- Trivy- オープンソース(MITライセンス)で大人気のTrivyは、OSSスキャナとして最初に推薦されることが多い。活発なコミュニティ、頻繁なアップデート、幅広い採用がある。DevSecOpsのオープンソースプロジェクトであろうと、社内のツールチェーンであろうと、Trivyはプロプライエタリな制約なしに高品質のスキャンを提供する。
- Grype- AnchoreのGrypeはApacheライセンスで、コミュニティからのコントリビューションにオープンです。企業のサポートがあるOSSスキャナーをお望みなら、これは確かな選択だ(Anchoreはこれをバックアップしているが、真のオープンソースだ)。プロジェクトはGitHubで活発にメンテナンスされており、多くのユーザーが改良に貢献している。Syft(SBOM生成用、こちらもOSS)と組み合わせることで、オープンソースのサプライチェーン・セキュリティ・スタックの素晴らしいコンポーネントとなる。
- Clair- Clair はオープンソースのスキャニングサービスとして長い間使われてきました。現在バージョン4(新しいディストリビューションをサポートし、セットアップが簡単になった)で、ClairはHarbor(オープンソースのレジストリ)のようなプロジェクトでデフォルトのスキャナとして使われている。GPLライセンスであり、(主にRed Hatのエンジニアによって)コミュニティによってメンテナンスされている。レジストリやCIに統合されたOSS脆弱性スキャナサービスを望む人にとって、Clairは実績のあるソリューションだ。
- Dagda- Dagdaは完全にオープンソース(Apache 2.0)であり、TrivyやClairほど広く採用されてはいないが、実験する意欲のある人にとっては宝石のようなツールだ。他のオープンソースツール(ClamAV、Falco、OWASP チェック)をひとつ屋根の下にまとめている。あなたがすべてをコントロールするオープンソースのセキュリティスタックのアイデアが好きなら、Dagdaは魅力的なプロジェクトだ。
- OpenSCAP- OpenSCAPはオープンソース(LGPL)で、どちらかというとコンプライアンス・ツールだが、OpenSCAPベースの一部としてコンテナ・スキャン機能を提供している。セキュリティ意識の高いオープンソースユーザー(例えばFedoraやCentOSのコミュニティ)は、OpenSCAPを使ってコンテナイメージをセキュリティガイドラインに照らして検証している。コミュニティの貢献によってサポートされており、Red Hat のオープンソース・エコシステムの定番となっている。
(他のOSSツールには次のようなものがある。 ドックルコンフィグスキャン Ternなどがある。あなたのニーズにもよるが、オープンソースの世界には、おそらく1つか2つ、その要求に合うツールがあるはずだ)。
結論
コンテナのセキュリティ確保はもはやオプションではなく、安全なソフトウェアデリバリパイプラインの基本的な部分です。上記で説明したツールは、DevOpsチームがイメージを構築した瞬間から本番環境で実行するまでのすべての段階にセキュリティを組み込むのに役立ちます。ニーズに合った適切なコンテナスキャンソリューションを選択することで、既知の脆弱性や設定ミスを出荷していないという確信を得ることができる。軽量なオープンソーススキャナーであれ、フル機能のプラットフォームであれ、重要なのはDevOpsプロセスに統合することで、単に問題を報告するだけでなく、実際に問題を防ぐことができる。より安全なコンテナとCI/CDの円滑な運行に乾杯!何から始めたらいいかわからない場合は Aikido無料トライアルコンテナ・セキュリティに関する洞察を即座に確認し、より安全なDevOpsワークフローを開始する簡単な方法です。
.png)
.svg)
.jpg)
.png)
%20(1).png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.avif)
