イメージプロビナンス

イメージプロビナンスとは？

イメージプロビナンス（image provenance） とは、コンテナイメージの起源、作成者、整合性を追跡するためのメタデータのことです。

これにより、以下のような重要な疑問に答えることができます:

• このイメージはどこから来たのか？

• 誰がこのイメージをビルドしたのか？

• 改ざんされていないか？

プロビナンスは信頼できるビルドプロセスによって生成されたことを証明する、信頼の連鎖（chain of custody）を確立します。

これにより、使用しているイメージが真正かつ検証可能であることを確認できます。

なぜイメージプロビナンスが重要なのか

プロビナンス（由来情報）は、ソフトウェアサプライチェーンのセキュリティにおける基盤です。

これがなければ、以下のようなリスクが発生します:

• 検証されていない、または悪意のあるイメージを実行してしまう

• 社内ポリシーや規制要件への準拠に失敗する

• コンテナを構成するコンポーネントや、その生成プロセスに関する可視性を失う

一方で、信頼できるプロビナンスがあれば、以下のメリットがあります:

• 信頼性の確保：イメージが真正であり、改ざんされていないことを確認できます。

• トレーサビリティの確保：ビルドプロセス全体と使用されたソース入力を追跡できます。

• 監査対応性の向上：コンプライアンスやビルドの整合性を証明する検証可能な証拠を提示できます。

さらに、プロビナンスはポリシーの自動適用（ポリシーゲート）を支援し、SLSA（Supply-chain Levels for Software Artifacts）のようなフレームワークにおいても必須要件とされています。

Docker Hardened Images によるプロビナンスのサポート

Docker Hardened Images（DHI）は、ビルトインのプロビナンス機能を備えており、セキュアデフォルトな運用を促進し、サプライチェーンセキュリティ標準への準拠を支援するよう設計されています。

アテステーション

DHI には、アテステーション（機械可読なメタデータ）が含まれており、イメージが「いつ・どこで・どのように」ビルドされたのかを記録します。

これらは in-toto  のような業界標準を用いて生成され、SLSA プロビナンス  に準拠しています。

アテステーションを活用することで、以下が可能になります:

• ビルドが 期待された手順どおりに実行されたかを検証する

• 入力やビルド環境が ポリシーに準拠していることを確認する

• 異なるシステムやステージをまたいで ビルドプロセスを追跡（トレース） する

コード署名

すべての Docker Hardened Image は、署名付き で提供されており、イメージのダイジェストとともにレジストリに保存されます。

これらの署名は、イメージの真正性を証明可能にする暗号的証拠であり、cosign、Docker Scout、Kubernetes の Admission Controller などのツールと互換性があります。

署名付きイメージを活用することで、以下のことが可能になります:

• イメージが Docker によって公開されたものであることを確認する

• イメージが 改ざんまたは再公開されていないかを検出する

• CI/CD や本番環境でのデプロイにおいて、署名の検証を必須化する

関連リソース

• SLSA プロビナンスアテステーション 

• イメージ署名の詳細

• アテステーションの概要