こんにちは。dotDのエンジニアの遠藤です。

dotDでは、クラウドネイティブな開発環境を採用しており、その中でDockerコンテナは不可欠な存在となっています。セキュリティの脅威は高まっていっています。特に、脆弱性を放置することは、システム全体のセキュリティリスクを引き上げてしまうため、コンテナの脆弱性チェックは非常に重要となります。

今回は、脆弱性スキャンツール Trivy を使ってDockerイメージのセキュリティを確保する方法について紹介します。

1.Trivyとは？

Trivy は、Aqua Security社が提供するオープンソースの脆弱性スキャナです。コンテナイメージ、ファイルシステム、Kubernetes、リポジトリなどに潜む脆弱性を迅速かつ簡単に検出することができます。

Trivyの特徴としては、以下が挙げられます：

多彩なスキャン対象: Dockerイメージやファイルシステム、Kubernetesクラスタ、IaC（Infrastructure as Code）などに対応
高精度な脆弱性検出: 詳細な脆弱性データベース（NVDやRed Hat、Ubuntuなど）を活用し、精度の高いスキャンを実現
簡単なセットアップ: 初期設定が非常に簡単で、短時間でスキャンを実行可能

2.Trivyのインストール

Trivyはコマンドラインから直接インストールするか、Dockerイメージとして利用できます。

コマンドラインからインストール

macOSの場合

brew install trivy

Windowsの場合

curl -LO https://github.com/aquasecurity/trivy/releases/download/v0.56.1/trivy_0.56.1_windows-64bit.zip
unzip trivy_0.56.1_windows-64bit.zip

Dockerイメージを使用した場合

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock aquasec/trivy image <イメージ名>

3.Dockerイメージの脆弱性スキャンの方法

Trivyのインストールが完了したら、実際にDockerイメージをスキャンしてみましょう。Trivyコマンドは、インストール方法に関係なく同様に機能します。

trivy image <イメージ名>

スキャン例

たとえば、公式のNginxイメージをスキャンするには、以下のように実行します。

trivy image nginx:latest

また、Dockerイメージを利用してNginxイメージをスキャンする場合は、以下のように実行します。

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock aquasec/trivy image nginx:latest

このコマンドでは、TrivyのDockerコンテナを一時的に起動し、指定されたDockerイメージをスキャンします。オプションの -v /var/run/docker.sock:/var/run/docker.sock は、ホスト上のDockerデーモンとコンテナを共有するための設定です。

スキャン結果例

スキャン結果は、以下のように脆弱性の詳細が表示されます。

Total: 10 (CRITICAL: 2, HIGH: 4, MEDIUM: 3, LOW: 1)
+---------+------------------+----------+-------------------+---------------+-----------------------+
| LIBRARY | VULNERABILITY ID | SEVERITY | INSTALLED VERSION | FIXED VERSION | TITLE                 |
+---------+------------------+----------+-------------------+---------------+-----------------------+
| libc6   | CVE-2021-33574    | CRITICAL | 2.31-0ubuntu9.9   | 2.31-0ubuntu9.10 | GNU C Library: buffer overflow |
|         | CVE-2021-40528    | HIGH     | 2.31-0ubuntu9.9   | 2.31-0ubuntu9.10 | glibc: assertion failure       |
+---------+------------------+----------+-------------------+---------------+-----------------------

このレポートでは、脆弱性のID(VULNERABILITY ID)や深刻度（SEVERITY）、脆弱性が含まれているパッケージのバージョン、修正されたバージョンが表示されます。これに基づいて、イメージや依存パッケージを更新することが可能です。
Trivyは、脆弱性を以下の4段階に分類して表示します。CRITICALやHIGHがスキャン結果に表示された場合は速やかに対応が必要となります。

深刻度　説明

CRITICAL　即座に対処すべき致命的なリスク

HIGH　速やかに対応が必要な重大なリスク

MEDIUM　注意が必要なリスク

LOW　軽微なリスク

4.まとめ

Dockerコンテナを活用する上で、セキュリティ管理は欠かせません。Trivyを利用することで簡単にかつ確実に脆弱性を発見・対応することが可能となります。ローカルにインストールするか、Dockerイメージを使うかは用途に応じて選択できます。
このTrivyをdotDでは導入しており、ローカルでビルドをする際にTrivyの実行も合わせて実行されるようにしています。スキャン結果を開発者が日々目にすることでセキュリティの意識もそれぞれ高まるのではないかと思っています。

安全なコンテナ運用を目指し、継続的な脆弱性チェックを習慣化することが大切です。
ぜひ導入を検討してみてください。

さいごに

dotDでは一緒にサービスを作ってくれる仲間を大募集中です！
dotDに興味を持たれたエンジニアの方がいらっしゃいましたお気軽にご連絡ください。

■株式会社dotDでは一緒に働く仲間を募集しています

株式会社dotDでは一緒に働く仲間を募集しています

株式会社dotD's job postings

Trivyを活用したコンテナの効果的な脆弱性チェック方法

kana kirita

株式会社dotD /

開発エンジニアセキュリティコンテナエンジニア募集中

株式会社dotD

【世の中に新しい価値を生み出し続ける事業創造ファーム】私たちは自社事業と共創事業の２つを軸に、技術・知識・経験を相互に作用させることで、新しい事業を生み出し、常にアップデートし続けることで、ひとりひとりの「当たり前」に変化をもたらす価値を創造し続けます。 ①共創事業大企業様の新規事業戦略立案から開発まで、先方の持っている課題感や構想をヒヤリングすることから始め、事業を成功に導くためのお手伝いをしています。大企業の社会的影響力や利用可能な資源の量、dotDの強みである発想力や敏捷性・柔軟性と、その両方を掛け合わせることでひとりひとりの「当たり前」に変化をもたらす価値を創造し続けます。 ▼直近の案件例 “クルマのデジタルキー”から“スマートシティを支えるサービス”へ「TOKAI RIKA Digitalkey」 https://digitalkey.jp/ TOKAI RIKA Digitalkeyは、クルマ以外のモビリティ、オフィスなどの建物、駐車場などもデジタルキー化を促進させ、物理的な「鍵」のない安全で便利な社会の実現を目指します。様々な場所をデジタルキー化することで、それぞれが繋がり、お客様へのシームレスなサービス提供と課金、事業者様における人員削減などに貢献します。 ②自社事業 dotDには、社会や身近に課題意識を持ったメンバーがおり、課題が深く難易度が高い領域への事業化に可能性やビジョンをもってチャレンジしながらサービス開発をしています。愛犬とオーナーに幸せを届けるプラットフォーム「onedog」 https://onedog.io/ja/app/index.html 事業づくりのノウハウを詰め込んだ事業創造プラットフォーム「dotHatch」 https://dotd-inc.com/dothatch

Invitation from 株式会社dotD

If this story triggered your interest, have a chat with the team?