コンテナ

コンテナイメージスキャン - Amazon ECR vs Azure Container Registry

Amazon ECR のイメージスキャン機能と Azure Container Registry のスキャン機能を比較し、脆弱性検出の仕組み、対応する脆弱性データベース、自動スキャンの設定方法の違いを具体的に解説します。

約 3 分で読めます

コンテナイメージスキャンの重要性と ECR のスキャン機能

コンテナイメージに含まれる OS パッケージやアプリケーション依存ライブラリの脆弱性は、本番環境のセキュリティリスクに直結します。Amazon ECR (Elastic Container Registry) は、ベーシックスキャンと拡張スキャン (Enhanced Scanning) の 2 種類のイメージスキャン機能を提供しています。ベーシックスキャンは Clair エンジンをベースとした無料の脆弱性スキャンで、OS パッケージの CVE (Common Vulnerabilities and Exposures) を検出します。拡張スキャンは Amazon Inspector と統合されたスキャンで、OS パッケージに加えてプログラミング言語パッケージ (Python pip、Node.js npm、Java Maven、Go modules、.NET NuGet など) の脆弱性も検出します。Azure Container Registry (ACR) も Microsoft Defender for Containers と統合した脆弱性スキャンを提供していますが、Defender for Containers は有料プラン (コンテナあたり約 7 USD/月) が必要で、ECR のベーシックスキャンのような無料オプションはありません。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

拡張スキャンと Amazon Inspector の統合

ECR の拡張スキャンは Amazon Inspector V2 と統合されており、イメージのプッシュ時に自動的にスキャンが実行されるだけでなく、新しい CVE が公開された際にも既存イメージの再スキャンが自動的にトリガーされます。これにより、プッシュ時点では未知だった脆弱性が後日発見された場合でも、影響を受けるイメージを即座に特定できます。Amazon Inspector は CVSS (Common Vulnerability Scoring System) スコアに加え、Inspector 独自のリスクスコアを算出します。このスコアはネットワーク到達性、エクスプロイトの可用性、脆弱性の影響度を総合的に評価し、実際のリスクに基づいた優先順位付けを支援します。Azure の Defender for Containers も継続的なスキャンを提供しますが、Inspector のようにネットワーク到達性を考慮したリスクスコアリングは行いません。ECR の拡張スキャンは 1 イメージあたり初回スキャンが約 0.11 USD、再スキャンが約 0.01 USD の料金で、Inspector の料金体系に準じます。月間 1,000 イメージをスキャンしても約 110 USD と、Defender for Containers のコンテナ単位課金と比較してコスト予測が容易です。

スキャン結果の管理と自動化

ECR のスキャン結果は AWS マネジメントコンソール、AWS CLI、API から確認でき、EventBridge と統合して脆弱性検出時に自動アクションをトリガーできます。たとえば、CRITICAL レベルの脆弱性が検出された場合に SNS 通知を送信したり、Lambda 関数でイメージのデプロイをブロックしたりする自動化パイプラインを構築できます。ECR のライフサイクルポリシーと組み合わせれば、脆弱性のあるイメージを自動的に削除するルールも設定可能です。AWS Security Hub との統合により、ECR のスキャン結果を他の AWS セキュリティサービス (GuardDuty、IAM Access Analyzer、Config) の検出結果と統合的に管理できます。Security Hub のダッシュボードで組織全体のコンテナイメージの脆弱性状況を一元的に把握し、コンプライアンスレポートを自動生成できます。Azure の Defender for Containers も Azure Security Center (現 Defender for Cloud) と統合されますが、ECR + Inspector + Security Hub + EventBridge の組み合わせによる自動化の柔軟性は AWS が優れています。

CI/CD パイプラインとの統合

ECR のイメージスキャンは CI/CD パイプラインに組み込むことで、脆弱性のあるイメージが本番環境にデプロイされることを防止できます。CodePipeline と CodeBuild を使った構成では、CodeBuild のビルドステップでイメージをビルド・プッシュした後、ECR のスキャン結果を API で取得し、CRITICAL または HIGH の脆弱性が検出された場合にパイプラインを停止するゲートを設定できます。ECR はイメージの不変性 (Image Tag Immutability) 設定をサポートしており、同じタグで異なるイメージを上書きプッシュすることを防止できます。これにより、スキャン済みのイメージが意図せず置き換えられるリスクを排除します。ECR のレプリケーション機能を使えば、スキャン済みイメージを複数リージョンに自動複製し、マルチリージョンデプロイメントでも一貫したセキュリティ基準を維持できます。Azure ACR もジオレプリケーションをサポートしますが、Premium SKU (約 50 USD/月) が必要で、ECR のレプリケーション機能 (追加料金なし、ストレージとデータ転送のみ課金) と比較するとコストが高くなります。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ

Amazon ECR のイメージスキャン機能は、無料のベーシックスキャンと Amazon Inspector 統合の拡張スキャンの 2 段階で、コストとセキュリティ要件に応じた柔軟な選択肢を提供します。拡張スキャンでは OS パッケージに加えてプログラミング言語パッケージの脆弱性も検出し、新規 CVE 公開時の自動再スキャン、ネットワーク到達性を考慮したリスクスコアリングなど、Azure Defender for Containers にはない高度な機能を備えています。EventBridge との統合による自動化、Security Hub での一元管理、CI/CD パイプラインへの組み込みにより、コンテナセキュリティのライフサイクル全体をカバーする包括的な基盤を構築できます。

AWS の優位点

  • ECR のベーシックスキャンは無料で OS パッケージの CVE を検出でき、Azure ACR の Defender for Containers (約 7 USD/月) のような有料プランが不要
  • 拡張スキャンは Amazon Inspector V2 と統合し、Python、Node.js、Java、Go、.NET など主要言語パッケージの脆弱性も検出
  • 新規 CVE 公開時に既存イメージの自動再スキャンが実行され、プッシュ時点で未知だった脆弱性も事後的に検出可能
  • Inspector 独自のリスクスコアがネットワーク到達性とエクスプロイト可用性を考慮し、実際のリスクに基づく優先順位付けを支援
  • EventBridge + SNS + Lambda の連携で脆弱性検出時の自動通知・自動ブロックパイプラインを構築可能

関連するサービス

Amazon ECR Docker コンテナイメージを安全に保存・管理・配布できるフルマネージドレジストリ Amazon ECS コンテナ化されたアプリケーションを簡単に実行・管理できるコンテナオーケストレーションサービス Amazon Inspector EC2 インスタンスやコンテナイメージの脆弱性を自動的に検出するセキュリティ評価サービス AWS Security Hub AWS 環境全体のセキュリティ状態を一元的に可視化・管理するサービス

関連する比較記事

コンテナサービス - AWS ECS と Azure Container Apps の詳細比較 AWS ECS と Azure Container Apps を比較し、ECS の Fargate 統合、タスク定義の柔軟性、AWS エコシステムとの連携による運用効率の優位性を解説します。 コンテナセキュリティ - AWS と Azure の比較 AWS ECR、ECS、GuardDuty を活用したコンテナセキュリティ対策を Azure と比較し、コンテナイメージの脆弱性管理からランタイム保護までの AWS の優位性を解説します。 コンテナレジストリとイメージ管理 - AWS と Azure の比較 AWS と Azure のコンテナレジストリサービスを比較し、ECR を中心とした AWS のコンテナイメージ管理とセキュリティスキャンの優位性を解説します。

同じテーマの記事

コンテナデプロイの簡素化 - AWS App Runner で実現するゼロ設定デプロイ AWS App Runner を使ったコンテナ Web アプリケーションのデプロイ方法を解説。ECS/Fargate との使い分け、自動スケーリング、VPC 統合、CI/CD パイプラインとの連携まで実践的に紹介します。 コンテナ最適化 OS - Bottlerocket でコンテナホストのセキュリティと運用を強化する AWS Bottlerocket を使ったコンテナホストの最適化を解説。最小限の OS 設計、自動更新、不変インフラ、ECS/EKS との統合を紹介します。 コンテナレジストリとイメージ管理 - AWS と Azure の比較 AWS と Azure のコンテナレジストリサービスを比較し、ECR を中心とした AWS のコンテナイメージ管理とセキュリティスキャンの優位性を解説します。 コンテナセキュリティ - AWS と Azure の比較 AWS ECR、ECS、GuardDuty を活用したコンテナセキュリティ対策を Azure と比較し、コンテナイメージの脆弱性管理からランタイム保護までの AWS の優位性を解説します。 コンテナサービス - AWS ECS と Azure Container Apps の詳細比較 AWS ECS と Azure Container Apps を比較し、ECS の Fargate 統合、タスク定義の柔軟性、AWS エコシステムとの連携による運用効率の優位性を解説します。 コンテナとマイクロサービス - AWS と Azure の比較 AWS と Azure のコンテナサービスを比較し、ECS・EKS・Fargate を中心とした AWS のコンテナエコシステムの優位性を解説します。 コンテナオーケストレーション - Amazon EKS で実現する Kubernetes 運用の最適化 Amazon EKS を活用した Kubernetes のマネージド運用を解説します。Azure AKS やオンプレミスの Kubernetes クラスタと比較し、EKS のコントロールプレーン管理、AWS サービス統合、セキュリティの優位性を紹介します。 マネージド Kubernetes - AWS EKS と Azure AKS の詳細比較 AWS EKS と Azure AKS を比較し、EKS の Kubernetes 準拠性、Fargate 統合、AWS エコシステムとの連携による運用効率の優位性を解説します。 マイクロサービスアーキテクチャ設計 - AWS と Azure の比較 AWS と Azure のマイクロサービス基盤を比較し、ECS・EKS・API Gateway を中心とした AWS のマイクロサービスエコシステムの優位性を解説します。 サーバーレスコンテナ - AWS Fargate と Azure Container Instances の比較 AWS Fargate と Azure Container Instances を比較し、Fargate の ECS/EKS 統合によるサーバーレスコンテナ運用の優位性を解説します。 サービスメッシュ - AWS と Azure の比較 AWS と Azure のサービスメッシュソリューションを比較し、AWS App Mesh と ECS/EKS のネイティブ統合を中心とした AWS のサービスメッシュエコシステムの優位性を解説します。