Dockerのセキュリティ確保には複数のレイヤーが関係します — 最小限の信頼できるイメージ、非rootでの実行、脆弱性スキャン、シークレット管理、リソースと機能の制限、およびホスト/デーモンの強化。コンテナセキュリティが重要なのは、脆弱性がコンテナとホストの両方に影響を及ぼす可能性があるためです。
イメージセキュリティ
✓ Use MINIMAL base images (alpine, distroless) → fewer packages = smaller attack surface
✓ Use TRUSTED/official images; pin specific versions/DIGESTS (not "latest")
✓ SCAN images for vulnerabilities (Trivy, docker scout, Snyk) — in CI and regularly
✓ Keep base images UPDATED (patch known CVEs)
✓ Don't include secrets or unnecessary tools in images
