コンテナセキュリティ
実務鉄板チェックリスト
Docker・Amazon ECS・Kubernetes を本番運用しているチームが、見落としがちなセキュリティ設定を網羅したチェックリストです。
Udemy で 2.6万人に教えてきた内容をベースに、実務で即使える形にまとめています。
1. 開発・サプライチェーン(作る段階)
- Gitへの機密情報混入チェックgit-secrets や trufflehog を使い、APIキー・パスワードがコードに混入していないか。
- SBOM(ソフトウェア部品表)の生成syft でイメージ内の全ライブラリを可視化。trivy で脆弱性チェックができているか。
- チェックの自動化GitHub Actions 等で、セキュリティ不備を自動検知しているか。
2. コンテナイメージの作成と管理
- 非rootユーザーの指定Dockerfile で USER 命令を使い、root 以外で実行しているか。
- ベースイメージの最小化alpine や distroless など、不要なツールを含まない軽量イメージを使っているか。
- 脆弱性スキャンの実施ECR のプッシュ時スキャンを有効化し、深刻な脆弱性を放置していないか。
2-1. Amazon ECR 設定チェックリスト
- IAM 権限の確認AmazonEC2ContainerRegistryFullAccess(または同等)がアタッチされているか。
- Tag immutability(タグの不変性)同じタグで上書きされるのを防ぐ「鉄板」設定。Enable になっているか。
- Scan on push の有効化プッシュ時に自動スキャンが走る設定になっているか(Extended Scanning 推奨)。
残り 3セクションを無料で受け取る
インフラ・実行環境(ECS/EKS)、Kubernetes固有設定、
運用・異常検知まで全5章をメールでお送りします。
このチェックリストの項目を一つひとつ確認・対応するのが難しい場合は、コンテナ・ソースコードセキュリティ診断をご検討ください。
ソースコードからインフラ設定まで一気通貫で診断し、対応策を提示します。