【解説】Docker Hub とプライベートレジストリの違いと使い分け

2025年9月9日

Docker

Docker コンテナレジストリの選択で迷っていませんか。企業での開発が進む中、Docker イメージをどこで管理するかは重要な判断となります。

Docker Hub とプライベートレジストリ、それぞれの特徴と適切な使い分けについて詳しく解説します。この記事を読めば、あなたの組織に最適なレジストリ選択ができるようになるでしょう。

Docker Hub の基本概要

Docker Hub は Docker 社が提供する公式のコンテナレジストリサービスです。世界中の開発者が利用する最も一般的なレジストリとして、多くの組織で採用されています。

図の意図: Docker Hub の基本的な仕組みと利用フローを示します。

mermaidflowchart TB
    developer[開発者] -->|docker push| hub[Docker Hub]
    hub -->|docker pull| server[本番サーバー]
    hub -->|docker pull| ci[CI/CD Pipeline]

    subgraph hub_features[Docker Hub 機能]
        public[パブリックリポジトリ]
        private[プライベートリポジトリ]
        automated[自動ビルド]
        scan[脆弱性スキャン]
    end

    hub --- hub_features

補足: Docker Hub は開発者とサーバー間のイメージ配布の中心的な役割を果たし、様々な付加機能を提供します。

Docker Hub とは何か

Docker Hub は 2013 年にリリースされた世界最大のコンテナレジストリサービスです。現在では数百万のリポジトリが公開されており、nginx、mysql、node などの公式イメージから個人開発者の作品まで幅広くホストされています。

このサービスの最大の特徴は、誰でも簡単にアクセスできる利便性にあります。Docker をインストールすれば、特別な設定なしに即座にイメージのプルが可能です。

提供される機能とサービス

Docker Hub では以下のような豊富な機能が提供されています。

機能	説明	対応プラン
リポジトリホスティング	Docker イメージの保存・配信	全プラン
自動ビルド	GitHub/Bitbucket 連携での自動ビルド	Pro 以上
Webhooks	プッシュ時の外部通知	全プラン
脆弱性スキャン	セキュリティ問題の自動検出	Pro 以上
チーム管理	組織内でのアクセス制御	Team 以上

自動ビルド機能では、GitHub にコードをプッシュするだけで自動的に Docker イメージがビルドされ、レジストリに保存されます。これにより開発者の手間が大幅に削減されるでしょう。

料金体系（Free/Pro/Team）

Docker Hub は用途に応じて選択できる 3 つの料金プランを提供しています。

Free プラン（無料）

パブリックリポジトリ: 無制限
プライベートリポジトリ: 1 個まで
イメージプル: 200 回/6 時間（匿名）、2000 回/6 時間（認証済み）

Pro プラン（月額 5 ドル）

プライベートリポジトリ: 無制限
イメージプル: 5000 回/6 時間
自動ビルド: 5 並列
脆弱性スキャン対応

Team プラン（月額 7 ドル/ユーザー）

Pro の全機能
チーム管理機能
監査ログ
SAML シングルサインオン

多くの個人開発者は Free プランから始めて、商用利用時に Pro プランへ移行するパターンが一般的です。

パブリック/プライベートリポジトリの違い

Docker Hub では、パブリックとプライベートの 2 種類のリポジトリが作成できます。

パブリックリポジトリ 世界中の誰でもアクセス可能なリポジトリです。オープンソースプロジェクトや学習目的での利用に適しており、多くの公式イメージもこの形式で配布されています。

プライベートリポジトリ 特定のユーザーやチームのみがアクセス可能なリポジトリです。企業での開発や機密性の高いアプリケーションでの利用に適しています。

選択する際は、アプリケーションの性質と組織のセキュリティポリシーを十分に検討することが重要です。

プライベートレジストリの基本概要

プライベートレジストリは、組織が独自に構築・運用するコンテナレジストリです。セキュリティやコンプライアンスの要件が厳しい環境で重要な選択肢となります。

図の意図: プライベートレジストリの種類と配置パターンを示します。

mermaidflowchart TD
    org[組織] --> choice{プライベートレジストリ選択}

    choice -->|クラウド型| cloud[クラウドプライベートレジストリ]
    choice -->|オンプレミス型| onprem[オンプレミスレジストリ]

    cloud --> ecr[AWS ECR]
    cloud --> gcr[Google Container Registry]
    cloud --> acr[Azure Container Registry]

    onprem --> harbor[Harbor]
    onprem --> nexus[Sonatype Nexus]
    onprem --> registry[Docker Registry]

    subgraph benefits[メリット]
        security[完全なアクセス制御]
        compliance[コンプライアンス対応]
        performance[ネットワーク最適化]
    end

    choice --- benefits

補足: 組織の要件に応じてクラウド型かオンプレミス型かを選択し、それぞれに特化したソリューションが利用できます。

プライベートレジストリとは

プライベートレジストリは、組織が自社内でのみ利用するために構築する Docker レジストリです。外部からのアクセスを制限し、組織独自のセキュリティポリシーに従って運用されます。

最大の特徴は完全なコントロールです。アクセス権限、保存期間、バックアップ方式など、全ての運用方針を組織の要件に合わせて設定できます。

主要なプライベートレジストリサービス

現在市場で利用できる主要なプライベートレジストリサービスをご紹介します。

クラウド型サービス

AWS Elastic Container Registry (ECR): AWS 環境との高い親和性
Google Container Registry (GCR): Google Cloud Platform との統合
Azure Container Registry (ACR): Microsoft Azure エコシステムでの最適化
GitLab Container Registry: GitLab CI/CD との seamless な連携

オンプレミス型ソリューション

Harbor: CNCF プロジェクトの本格的なレジストリ
Sonatype Nexus: マルチフォーマット対応のリポジトリマネージャー
JFrog Artifactory: エンタープライズ向け高機能ソリューション

それぞれに特徴があり、組織の技術スタックと要件に応じて選択することが重要です。

オンプレミス vs クラウド型

プライベートレジストリの配置方式には大きく 2 つのアプローチがあります。

項目	オンプレミス	クラウド型
初期投資	高い（サーバー、ストレージ購入）	低い（従量課金）
運用負荷	高い（フル管理が必要）	低い（マネージドサービス）
カスタマイズ性	高い（全て制御可能）	中程度（サービス仕様に依存）
セキュリティ	完全に内部制御	クラウド事業者との責任共有
スケーラビリティ	手動でのスケールアップが必要	自動スケーリング対応

オンプレミスは完全なコントロールを求める組織に、クラウド型は運用効率を重視する組織に適しています。

セルフホスティング vs マネージドサービス

プライベートレジストリの運用方式についても重要な選択があります。

セルフホスティング 組織が直接サーバーを管理し、Docker Registry や Harbor などのソフトウェアを運用する方式です。最大限の自由度がある反面、運用スキルとリソースが必要になります。

マネージドサービス
AWS ECR や Google GCR のような、クラウド事業者が提供するマネージドサービスを利用する方式です。運用負荷が軽減される一方、事業者の仕様に制約されることがあります。

多くの組織では、運用負荷と自由度のバランスを考慮してマネージドサービスを選択するケースが増えています。

機能面での比較

Docker Hub とプライベートレジストリでは、提供される機能に大きな違いがあります。組織の要件に応じて適切な選択をするために、詳細な比較を行いましょう。

図の意図: 機能面での比較項目と重要度を可視化します。

mermaidgraph LR
    subgraph docker_hub[Docker Hub]
        dh_access[基本的なアクセス制御]
        dh_scan[脆弱性スキャン Pro+]
        dh_build[自動ビルド Pro+]
        dh_webhook[Webhook 通知]
    end

    subgraph private_registry[プライベートレジストリ]
        pr_access[高度なアクセス制御]
        pr_scan[企業向けスキャン]
        pr_audit[監査ログ]
        pr_backup[カスタムバックアップ]
    end

    comparison[機能比較] --> docker_hub
    comparison --> private_registry

    style pr_access fill:#e1f5fe
    style pr_audit fill:#e1f5fe

補足: プライベートレジストリは企業要件に特化した高度な機能を提供し、Docker Hub は利便性重視の機能構成となっています。

アクセス制御とセキュリティ

セキュリティ面では両者に大きな差があります。

Docker Hub のアクセス制御

ユーザー・チーム単位での権限管理
読み取り・書き込み権限の設定
IP アドレス制限（Enterprise プランのみ）
二要素認証対応

Docker Hub では基本的なアクセス制御は可能ですが、細かな権限管理には限界があります。

プライベートレジストリのアクセス制御

Role-Based Access Control（RBAC）
LDAP/Active Directory 統合
SAML シングルサインオン
プロジェクト単位での詳細権限設定
ネットワークレベルでのアクセス制限

プライベートレジストリでは、企業のセキュリティポリシーに完全に準拠した権限管理が可能です。特に Harbor のような本格的なソリューションでは、非常に細かい権限制御ができます。

イメージの管理機能

イメージ管理における機能の違いも重要な判断要素です。

Docker Hub

bash# 基本的なタグ管理
docker tag myapp:latest myusername/myapp:v1.0.0
docker push myusername/myapp:v1.0.0

# 自動削除ポリシーは限定的
# 手動での管理が基本

プライベートレジストリ（Harbor の例）

bash# 高度なイメージ管理
# イメージの自動削除ポリシー設定
# レプリケーション設定
# イメージ署名と検証

# Robot Account での自動化
harbor-cli project create --name myproject
harbor-cli robot create --name ci-robot --permissions push,pull

プライベートレジストリでは、ライフサイクル管理や自動化機能が大幅に強化されており、大規模な運用に適しています。

脆弱性スキャン機能

セキュリティ要件の高い環境では脆弱性スキャン機能が重要になります。

Docker Hub のスキャン機能

Snyk エンジンによるスキャン
Pro プラン以上で利用可能
CVE データベースとの照合
基本的なレポート機能

プライベートレジストリのスキャン機能

複数スキャンエンジン対応（Trivy、Clair 等）
カスタムポリシー設定
CI/CD パイプライン統合
詳細な脆弱性レポート
修復提案機能

企業ではカスタマイズ可能なスキャン機能が求められることが多く、この点でプライベートレジストリが優位になります。

統合機能（CI/CD 等）

開発フローとの統合機能も選択の重要な要素です。

Docker Hub の統合機能

yaml# GitHub Actions での Docker Hub 利用例
name: Build and Push
on: [push]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Build and push
        uses: docker/build-push-action@v2
        with:
          push: true
          tags: user/app:latest

プライベートレジストリの統合機能

yaml# GitLab CI での Harbor 統合例
build:
  stage: build
  script:
    - docker build -t $HARBOR_REGISTRY/project/app:$CI_COMMIT_SHA .
    - docker push $HARBOR_REGISTRY/project/app:$CI_COMMIT_SHA
  only:
    - master

プライベートレジストリでは、組織の CI/CD パイプラインに最適化された統合が可能で、より柔軟な開発フローを構築できます。

コスト面での比較

レジストリ選択において、コスト面での比較は避けて通れない重要な要素です。初期投資から長期運用まで、総合的な視点でコストを分析しましょう。

図の意図: Docker Hub とプライベートレジストリのコスト構造を比較します。

mermaidgraph TB
    subgraph docker_hub_cost[Docker Hub コスト]
        dh_initial[初期投資: $0]
        dh_monthly[月額: $5-7/user]
        dh_storage[ストレージ: 込み]
        dh_bandwidth[転送量: 制限あり]
    end

    subgraph private_cost[プライベートレジストリ コスト]
        pr_initial[初期投資: 高い]
        pr_monthly[月額運用費]
        pr_storage[ストレージ: 別途]
        pr_bandwidth[転送量: 制限なし]
    end

    tco[Total Cost of Ownership] --> docker_hub_cost
    tco --> private_cost

    style pr_initial fill:#ffebee
    style dh_monthly fill:#e8f5e8

補足: Docker Hub は低い初期投資で始められますが、プライベートレジストリは初期投資が必要な分、長期的な柔軟性があります。

初期導入コスト

Docker Hub の初期導入コスト

アカウント開設: 無料
設定・統合作業: 1-2 人日
学習コスト: 最小限

Docker Hub の最大の魅力はゼロ初期投資で始められることです。Free プランなら今すぐ利用開始でき、有料プランでも月額課金のため初期費用を抑制できます。

プライベートレジストリの初期導入コスト

ハードウェア（オンプレミスの場合）: 50 万円〜
ソフトウェアライセンス: 0 円〜100 万円
構築・設定作業: 5-20 人日
学習・トレーニング: 10-30 人日

オンプレミス型では相当な初期投資が必要になります。一方、AWS ECR のようなクラウド型なら初期コストを大幅に削減できるでしょう。

運用コスト

継続的な運用コストでは、組織の規模によって大きな差が生まれます。

Docker Hub の運用コスト例

markdown小規模チーム（5人）:
- Pro プラン: $25/月
- 管理工数: 0.5人日/月
- 総コスト: 約$30-40/月

中規模チーム（20人）:
- Team プラン: $140/月
- 管理工数: 1人日/月
- 総コスト: 約$200-250/月

プライベートレジストリの運用コスト例

markdownAWS ECR (中規模利用):
- ストレージ: $50/月
- 転送量: $30/月
- 管理工数: 2人日/月
- 総コスト: 約$150-200/月

オンプレミス Harbor:
- 電気・保守: $200/月
- 管理工数: 4人日/月
- 総コスト: 約$500-800/月

運用コストでは組織の規模とスキルによって大きく変動することが分かります。

スケール時のコスト変化

組織の成長に伴うコスト変化も重要な考慮点です。

Docker Hub のスケーリングコスト

ユーザー数に比例してコスト増加
大規模になると割高になりがち
プル制限によりパフォーマンス問題の可能性

プライベートレジストリのスケーリングコスト

初期投資後は変動コストが少ない
自社のペースでスケーリング可能
長期的にはコスト効率が良い

50 人規模での比較例

Docker Hub Team: $350/月
AWS ECR: $150-200/月
オンプレミス Harbor: $300-500/月（初期投資回収後）

大規模になるほどプライベートレジストリが有利になる傾向があります。

TCO（総所有コスト）の観点

3 年間の総所有コスト（TCO）で比較してみましょう。

規模	Docker Hub	AWS ECR	オンプレミス
小規模（5 人）	$1,080	$1,800	$3,600
中規模（20 人）	$5,040	$6,000	$8,400
大規模（50 人）	$12,600	$7,200	$10,800

この分析から、以下の傾向が見えてきます：

小規模では Docker Hub が圧倒的に有利
中規模以上では AWS ECR が最もコスト効率が良い
オンプレミスは規模に関わらず最もコストが高い

ただし、これは純粋な金銭コストのみの比較です。セキュリティ要件やコンプライアンス要件がある場合、プライベートレジストリの価値はコスト以上になることもあります。

使い分けの判断基準

Docker Hub とプライベートレジストリ、どちらを選ぶべきかは組織の状況によって決まります。適切な判断をするための具体的な基準をご紹介します。

図の意図: 判断基準の優先度と決定フローを示します。

mermaidflowchart TD
    start[レジストリ選択開始] --> org_size{組織規模}

    org_size -->|5人未満| small[小規模組織]
    org_size -->|5-50人| medium[中規模組織]
    org_size -->|50人以上| large[大規模組織]

    small --> security1{セキュリティ要件}
    medium --> security2{セキュリティ要件}
    large --> security3{セキュリティ要件}

    security1 -->|低い| docker_hub1[Docker Hub 推奨]
    security1 -->|高い| private1[プライベートレジストリ検討]

    security2 -->|低い| docker_hub2[Docker Hub]
    security2 -->|高い| private2[プライベートレジストリ]

    security3 -->|問わず| private3[プライベートレジストリ推奨]

    style docker_hub1 fill:#e8f5e8
    style private3 fill:#e1f5fe

補足: 組織規模とセキュリティ要件が主な判断軸となり、規模が大きくなるほどプライベートレジストリの優位性が高まります。

組織規模による選択

組織の規模は最も重要な判断基準の一つです。

小規模組織（1-10 人）での判断

Docker Hub が適している条件:
- 開発チームが小さく、管理負荷を最小化したい
- 初期投資を抑えたい
- パブリックなオープンソースプロジェクトが多い
プライベートレジストリが適している条件:
- 機密性の高いアプリケーションを開発している
- 既存のクラウドインフラと統合したい
- 将来的な成長を見越して初期から統一したい

中規模組織（10-50 人）での判断 この規模ではコストとセキュリティのバランスが重要になります。

bash# 判断指標の例
if [ "$team_size" -gt 20 ] && [ "$security_requirement" = "high" ]; then
    echo "プライベートレジストリを推奨"
elif [ "$monthly_budget" -lt 200 ]; then
    echo "Docker Hub Team プランを検討"
else
    echo "詳細な要件分析が必要"
fi

大規模組織（50 人以上）での判断 大規模組織ではプライベートレジストリがほぼ必須となります。理由として、コスト効率、セキュリティ、統合の観点で大きな優位性があるためです。

セキュリティ要件による選択

セキュリティ要件のレベルによって選択肢が大きく変わります。

低セキュリティ要件（一般的な Web アプリ）

Docker Hub で十分対応可能
基本的なアクセス制御で問題なし
コストを優先した選択が可能

中セキュリティ要件（企業内システム）

プライベートリポジトリは必須
脆弱性スキャン機能が重要
AWS ECR 等のマネージドサービスが適している

高セキュリティ要件（金融・医療・政府系）

オンプレミス型のプライベートレジストリが必要
監査ログとコンプライアンス対応が必須
Harbor + 独自セキュリティ拡張を検討

以下の表でセキュリティ要件ごとの機能対応を整理しました：

要件	Docker Hub	クラウド型	オンプレミス
アクセス制御	○	◎	◎
監査ログ	△	○	◎
データ主権	×	△	◎
カスタム認証	△	○	◎
エアギャップ対応	×	×	◎

開発・運用体制による選択

組織の技術力と運用体制も重要な判断要素です。

開発中心の組織

yaml# 開発効率を重視した選択基準
development_focus:
  - 学習コスト: 低い方が良い
  - 統合の簡易性: 重要
  - 運用負荷: 最小化したい

recommendation: 'Docker Hub または AWS ECR'

運用チームが充実している組織

yaml# 運用の柔軟性を重視した選択基準
operations_focus:
  - カスタマイズ性: 重要
  - 制御の詳細さ: 必要
  - 長期的な最適化: 投資対効果を重視

recommendation: 'Harbor または Nexus Repository'

小規模で運用リソースが限られている組織 この場合はマネージドサービス一択です。自社でインフラを管理する余裕がない場合、Docker Hub やクラウド型プライベートレジストリを選択しましょう。

コンプライアンス要件による選択

特定の業界や地域では、コンプライアンス要件がレジストリ選択を決定します。

データローカライゼーション要件

データを国外に保存できない場合
オンプレミス型が必要
または国内クラウドリージョンでの運用

業界標準への準拠

SOC2、ISO27001 等の認証が必要
監査機能とレポート機能が重要
トレーサビリティの確保

GDPR 等のプライバシー規制

個人情報を含むイメージの管理
データの削除権（Right to be forgotten）への対応
プライバシーバイデザインの実装

これらの要件がある場合、プライベートレジストリでの細かい制御が不可欠となります。

具体的な導入事例

実際の組織でどのような選択がなされているか、具体的な事例を通して理解を深めましょう。これらの事例は、あなたの組織での意思決定の参考になるはずです。

スタートアップでの Docker Hub 活用例

事例: フィンテックスタートアップ A 社（開発者 15 名）

A 社は金融サービス系の SaaS 開発を行うスタートアップです。限られた予算と人的リソースの中で、効率的な開発環境を構築する必要がありました。

選択した構成:

yaml# A社の Docker Hub 活用構成
registry: Docker Hub Team Plan
repositories:
  - frontend: private
  - api-server: private
  - batch-jobs: private
  - shared-libs: private

workflow:
  - GitHub Actions での自動ビルド
  - プライベートリポジトリで機密性確保
  - Pro プランの脆弱性スキャン活用

導入の決め手:

初期投資ゼロで素早くスタート可能
GitHub Actions とのシームレスな統合
チーム管理機能で権限制御が可能
月額$105（15 名 × $7）で予算に収まる

運用での工夫点:

bash# CI/CDパイプラインでの最適化
# ビルド時間短縮のためのマルチステージビルド活用
FROM node:16-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production

FROM node:16-alpine
WORKDIR /app
COPY --from=builder /app/node_modules ./node_modules
COPY . .
CMD ["npm", "start"]

成果と課題:

開発速度が 30%向上
デプロイ作業が自動化され、人的エラーが削減
しかし、プル制限により本番環境でのスケーリング時に問題が発生
将来的にはプライベートレジストリへの移行を検討中

エンタープライズでのプライベートレジストリ導入例

事例: 製造業大手 B 社（開発者 200 名、複数事業部）

B 社は従来のオンプレミス中心の開発からクラウドネイティブへの移行を進める中で、コンテナレジストリの統一が課題となっていました。

選択した構成:

yaml# B社のプライベートレジストリ構成
primary_registry: Harbor (オンプレミス)
cloud_registry: AWS ECR (災害対策用レプリケーション)

structure:
  business_units:
    - automotive: 50 repositories
    - electronics: 30 repositories
    - materials: 40 repositories

  governance:
    - RBAC による詳細権限制御
    - 事業部横断での共通ライブラリ管理
    - 全イメージの脆弱性スキャン必須

導入プロセス:

要件定義（2 ヶ月）: セキュリティポリシーとガバナンス要件の整理
検証環境構築（1 ヶ月）: Harbor と ECR での機能検証
段階移行（6 ヶ月）: 事業部単位での順次移行
全社展開（3 ヶ月）: 社内標準としての確立

技術的な実装詳細:

bash# Harbor での高可用性構成
version: '3.8'
services:
  harbor-core:
    image: goharbor/harbor-core:v2.5.0
    restart: always
    cap_drop:
      - ALL
    cap_add:
      - CHOWN
      - SETGID
      - SETUID
    volumes:
      - /data/harbor:/data

  harbor-db:
    image: goharbor/harbor-db:v2.5.0
    restart: always
    volumes:
      - /data/database:/var/lib/postgresql/data

導入効果:

セキュリティ水準の大幅向上: 全イメージでの脆弱性管理が実現
ガバナンス強化: 事業部間での不適切な依存関係を可視化・制御
コスト最適化: 3 年間で約 40%のコスト削減を実現
開発効率向上: CI/CD パイプラインの統一により開発サイクルが 25%短縮

ハイブリッド構成での活用例

事例: SaaS 企業 C 社（開発者 80 名、グローバル展開）

C 社は北米・アジア・欧州に開発拠点を持ち、各地域の規制要件に対応しながら効率的な開発を行う必要がありました。

選択したハイブリッド構成:

mermaidgraph TB
    subgraph global[グローバル共通]
        docker_hub[Docker Hub]
        shared_images[共通基盤イメージ]
    end

    subgraph regions[地域別構成]
        us_ecr[US: AWS ECR]
        eu_harbor[EU: Harbor on-premises]
        asia_gcr[Asia: Google GCR]
    end

    subgraph sync[レプリケーション]
        sync_process[定期同期プロセス]
    end

    docker_hub --> regions
    regions --> sync_process
    sync_process --> regions

地域別の選択理由:

北米（AWS ECR）: 本社インフラとの統合性を重視
欧州（Harbor オンプレミス）: GDPR 対応でデータローカライゼーション必須
アジア（Google GCR）: Google Cloud Platform での開発環境と統合

運用フロー:

bash# 共通基盤イメージの更新フロー
#!/bin/bash

# 1. Docker Hub で基盤イメージを更新
docker build -t company/base-image:latest .
docker push company/base-image:latest

# 2. 各地域レジストリに自動レプリケーション
regions=("us-ecr" "eu-harbor" "asia-gcr")

for region in "${regions[@]}"; do
    echo "Replicating to $region..."
    replicate_image company/base-image:latest $region
done

# 3. 地域固有のアプリケーションイメージをビルド
build_regional_apps