アプリケーション開発のスピードを加速させる「コンテナ技術」。その中核にあるのが、コンテナレジストリです。Docker や Kubernetes をはじめとする環境では、レジストリを通じてコンテナイメージのプッシュ・プル(送信・取得)が日常的に行われています。
しかし、このレジストリが安全でなければ、悪意ある改ざんやなりすまし、通信の盗聴による情報漏洩といった深刻な被害につながる可能性があります。
そこで重要となるのが、SSL証明書を用いた通信の暗号化と信頼性の担保です。本記事では、初心者向けにSSL証明書と組み合わせたセキュアなコンテナレジストリの構築方法と運用のポイントを解説します。
コンテナレジストリとは?
コンテナレジストリとは、DockerやPodmanなどで利用されるコンテナイメージを保存・共有するためのサーバーです。
代表的なコンテナレジストリ
- Docker Hub(パブリック)
- Amazon ECR / Google Container Registry(クラウド)
- Harbor / GitLab Container Registry(オンプレミス)
開発チームがコンテナをビルド → レジストリにプッシュ → 本番環境がプルしてデプロイ、という流れが一般的です。
なぜSSLが必要なのか?
✅ 通信内容が盗聴されるリスク
プル・プッシュ時の通信内容には、イメージデータ本体、アカウント情報、アクセストークンなどが含まれます。SSLが無効な場合、ネットワーク上でそれらが盗聴される恐れがあります。
✅ 証明書のない通信先を信頼できない
SSL証明書がないレジストリは、クライアント側からも「不正なサイト」と認識され、通信がブロックされることもあります。たとえばDockerでは、HTTPS未対応のレジストリへアクセスするには明示的な許可が必要です。
SSL証明書を使ったセキュアなレジストリ構築手順
✅ 1. ドメインの準備
レジストリはFQDN(例:registry.example.com)でアクセスできるようにし、証明書が適用できるようにします。IP直指定では証明書エラーになります。
✅ 2. SSL証明書を取得
- Let’s Encrypt(無料/90日更新)
- 商用CA(グローバルサイン、DigiCertなど)
特に社内向けのプライベートレジストリではLet’s Encryptを使うケースが多いですが、商用の信頼性が高いCAを使うとより安心です。
✅ 3. SSL証明書をレジストリに設定(例:Docker Registry)
Docker RegistryをHTTPSで動作させるには、証明書と秘密鍵を環境変数で指定します。
bashdocker run -d \
-p 443:443 \
-v /etc/ssl/certs/registry.crt:/certs/domain.crt \
-v /etc/ssl/private/registry.key:/certs/domain.key \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
--name registry \
registry:2
✅ 4. クライアント(Docker)に信頼させる
自己署名証明書を使う場合は、クライアント側(Docker)に手動でCA証明書をインストールし、信頼済みに設定します。
bashmkdir -p /etc/docker/certs.d/registry.example.com
cp ca.crt /etc/docker/certs.d/registry.example.com/
※信頼できない証明書では、x509: certificate signed by unknown authority エラーが発生します。
✅ 5. 認証とアクセス制御を併用
SSLは「通信の暗号化と相手の正当性確認」には有効ですが、「誰がアクセスできるか」を制御する機能は持っていません。Basic認証やOAuth、LDAP認証、トークンベースの認可と組み合わせましょう。
HarborやGitLab Container Registryなどは、ユーザー単位やプロジェクト単位でアクセス制御を設定できます。
よくあるセキュリティ課題とその対策
| 課題 | 原因 | 対策 |
|---|---|---|
| HTTPSが有効でない | 証明書の未導入・設定漏れ | SSL証明書を取得し、正しく適用 |
| 証明書エラーが出る | 中間証明書が不足/期限切れ | フルチェーン(fullchain.pem)を使用し、有効期限を監視 |
| 自己署名証明書の警告 | クライアントが信頼していない | CA証明書を配布し信頼済みに登録 |
| 証明書更新忘れ | Let’s Encryptの自動更新未設定 | certbot+cronなどで更新を自動化 |
SSLに加えて検討したいセキュリティ施策
- 署名付きコンテナイメージ(Cosignなど)
→ イメージの改ざん防止、誰が作ったかを証明 - 脆弱性スキャン(Trivy、Clairなど)
→ レジストリ登録時にセキュリティチェック - 監査ログの有効化
→ 誰がいつどのイメージにアクセス・アップロードしたかを記録 - イメージのバージョン固定/自動削除ルール
→ 古い/不要なイメージの管理を徹底
まとめ
コンテナレジストリは、開発・運用プロセスの中でも重要な「共有ポイント」です。ここにセキュリティの穴があると、全体の信頼性が揺らいでしまいます。
SSL証明書を使った通信の暗号化は、最も基本であり、最も重要な対策の一つです。
自己署名だけで済ませるのではなく、社内ポリシーや運用規模に応じて適切な証明書を導入し、継続的に安全性を保ちましょう。
