さらに強化され、すぐに使用でき、コストがかからない：コンテナセキュリティの進化

本日 Red Hat は、Red Hat Hardened Images の一般提供 (GA) を発表しました。これは、セキュリティ修正プログラムを迅速にリリースするコンテナイメージの無料のカタログです。これにより、チームは CVE を常に追いかけるのではなく、常に先手を打てるよう支援するものです。イメージの軽量化とハードニングという面倒な作業は Red Hat が対応します。これにより、お客様のチームは誤検知の追跡に時間を費やすことなく、真に重要なこと、つまりコードとアプリケーションのセキュリティに集中できるようになります。

この取り組みは Project Hummingbird の下で開始されました。以前からご覧になっている方は、Red Hat が何百人もの早期アクセスユーザーとともにコンテンツ、イメージ、提供アプローチを改良してきた様子をご覧いただけるはずです。コンテナの攻撃対象領域を減らすための実験として始まったものが、Red Hat の信頼性の高いソフトウェアパイプラインに基づいて構築された、150 種類以上のバリエーションを含む 45 以上のイメージからなる、本番環境向けのカタログへと発展しました。Project Hummingbird は、今後も Red Hat Hardened Images を生成するイノベーションの原動力であり続けます。 

図 1 Hardened Images カタログ

問題：CVE の発生件数はゼロ・トレランス基準を満たす

Red Hat は何十社もの組織と話し合い、コンテナセキュリティが多大な時間を費やす高コストな作業になっているという同じ不満を何度も聞いたことで、Project Hummingbird を開始しました。

CVE の数は、チームが無理なく管理できる範囲を超えて急増しています。現在、報告される CVE は 1 日あたり平均約 160 件であり、自動スキャナーや AI 支援の検出ツールの普及により、その数は今後も増加することが予想されます。1 回のコンテナスキャンで何百もの脆弱性が検出されることがあります。数万のコンテナを実行している大規模な環境で、実際に重要なものはどれかを特定することは、前進できずにその場を足踏みしている状態に似ています。

規制、地政学的要因、および AI 関連の圧力により、リスク許容度は低下しつつあります。コンプライアンス・フレームワークや組織のセキュリティポリシーでは、悪用することが可能かどうかにかかわらず、フラグが立てられたすべての脆弱性にチームが対処することがますます必要になっています。コンテナイメージに不要なパッケージや依存関係が含まれていると、この標準を満たすことが不可能になる可能性があります。

ソリューション：攻撃対象領域の削減と迅速な修正

Red Hat Hardened Images は、この新しい現実に重圧を感じているユーザーをサポートするために存在します。ソフトウェアが減れば、CVE も少なくなります。イメージにアプリケーションの実行に必要なもののみが含まれている場合、優先順位の判断はより簡単になります。つまり、イメージに含まれているものはすべて重要だということになります。そして重要な場面では、高度に自律的なパイプラインが迅速に修正を提供します。

Red Hat Hardened Images は、Red Hat がアップストリームでの取り組みと本番環境での経験のあるテクノロジーで、有意義なサポートを提供できるテクノロジーに重点を置いています。GA カタログは、Python、Node.js、Go、Java、.NET、PostgreSQL、Valkey、Nginx、HAProxy など、エンタープライズのワークロードを支える各種の言語、ランタイム、データベース、Web サーバー、ユーティリティを包含しています。これらは、多くの組織がアプリケーションの基盤として最も重要であると常に述べているコアとなるオープンソースコンポーネントです。

Red Hat はカタログを拡充しており、意欲的に取り組んでいます。Red Hat では、新しいイメージを追加する際には、カタログの他の部分に適用するのと同じ厳密なサポートを提供できるよう、主要なテクノロジーや、関連するすべての依存関係や脆弱性を厳密に追跡します。Red Hat は量よりも質を優先します。

どのイメージも、ハードニングに向けた一貫したアプローチに基づくものです。 

• ディストロレス (Distroless) アーキテクチャ：イメージには、デフォルトでシェルやパッケージマネージャー、攻撃対象領域を拡大する不要なコンポーネントが含まれていません。
• 複数のバリアント：デフォルトイメージは、ディストロレスの原則と既存のアップストリームイメージとの互換性のバランスを取ることを目的としています。ビルダーイメージはハードニングを維持し、ビルドのカスタマイズに役立つパッケージのインストールを可能にします。また、規制対象環境向けの FIPS 検証済みバリアントや、さまざまな導入先向けのアーキテクチャ固有のビルド (AMD64 および Arm64) も用意されています。
• 全体的なハードニング：ソースの出所やコンパイラーのオプションから、イメージセキュリティのデフォルトや全体的な最小化まで、イメージに関するすべてがハードニングされます。ハードニングはあらゆるレベルで行われ、コンプライアンス関連の構成は OpenSCAP を介して検証できます。
• 信頼できるサプライチェーン：依存関係は Red Hat の SLSA3 ビルドパイプラインから提供され、ソースからアーティファクトまでの検証可能な信頼チェーンを維持できます。
• 自動修復：Red Hat のパイプラインはアップストリームとセキュリティフィードを追跡し、修正プログラムの構築、テスト、提供を行うことで、通常、脆弱性が修正されてから数時間以内に修正プログラムを配信します。

Red Hat Hardened Images を今すぐ試す

Red Hat Hardened Images は現在 一般提供 (GA) が開始されています。カタログ内のどのイメージも無料で使用でき、あらゆる Linux ディストリビューション、Kubernetes のバージョン、またはコンテナエンジンで使用できます。現在提供されていない特定のイメージに関心がある場合は、Web サイトの「Request an image」ボタンでお知らせください。

また、Red Hat は、一部のユーザーが現在アップストリームで提供されているものよりも長いライフサイクルのオプションを必要としていることも認識しています。近い将来、Red Hat はこれらのニーズに対応する長期サポート (LTS) イメージの提供を予定しています。LTS はオプションであり、単純なサブスクリプションモデルを通じて利用可能になります。

Red Hat は、これらのイメージをテストし、不具合を報告し、私たちのアプローチの改善を促してくれた数百名もの早期アクセスユーザーの皆様に、心より感謝申し上げます。皆様からのご意見は、本日のリリース内容に反映されています。

Red Hat Hardened Images を初めて使用する場合は、まずカタログをご確認ください。