2018年、テスラが自社のKubernetesクラスター内で攻撃者による暗号通貨マイニング活動を確認した際、その根本原因は驚くほど単純だった:パスワード設定のない公開ダッシュボードである。数年後も、同様の設定ミスが大規模組織を悩ませ続けている。 過去12ヶ月間で90%の組織が少なくとも1件のKubernetesセキュリティインシデントを経験している(Red Hat 2024年調査)。また新規クラスターはデプロイから18分以内に最初の攻撃試行に直面する(Wiz 2025年調査)。 コンテナおよびKubernetesセキュリティ市場は2024年の17億ドルから2030-2033年には80-90億ドルへ成長すると予測されており、これらの環境を保護する緊急性はかつてないほど高まっています。本ガイドでは、基礎的なモデルやライフサイクルのベストプラクティスから、今日の高度な攻撃に対処する振る舞い 検知やクラウドセキュリティ戦略まで、Kubernetesセキュリティの全領域を網羅します。
Kubernetesセキュリティとは、イメージ構築からデプロイ、実行時運用に至るアプリケーションライフサイクル全体において、コンテナ化されたワークロードとそのオーケストレーション基盤を保護するための一連の実践手法、ツール、ポリシーを指します。これには、制御プレーン、ワーカーノード、コンテナイメージ、ネットワークトラフィック、構成レイヤー全体にわたる、構成の強化、アクセス制御(RBAC)、ネットワークセグメンテーション、シークレット管理、実行時脅威検知、コンプライアンス監視が含まれます。
なぜこれが重要なのか?Kubernetesはデフォルトでは安全ではない。このプラットフォームは、デフォルト設定において堅牢なセキュリティよりも柔軟性と開発者の作業速度を優先する。組織はクラスターを本番環境対応にする前に、ロールベースのアクセス制御(RBAC)、ネットワークポリシー、シークレットの暗号化、Podセキュリティ基準、監査ログを積極的に設定しなければならない。Kubernetesセキュリティ概念のドキュメントによれば、共有責任モデルはセキュリティ設定の負担を明確にオペレーターに課している。
これを誤った場合のビジネスへの影響は深刻である。67%の組織がKubernetesのセキュリティ懸念により導入を遅延または減速させ、46%が収益または顧客の損失を経験し、30%が罰金を科された(Red Hat 2024)。Kubernetesクラスターの拡大する攻撃対象領域は、APIサーバー、etcdデータストア、kubelet、コンテナランタイム、ネットワークオーバーレイ、そしてその内部で実行されるすべてのワークロードに及ぶ。
コンテナセキュリティは、個々のコンテナイメージ、ランタイム、および分離メカニズムに焦点を当てます。Kubernetesセキュリティは、単一のコンテナを超えたオーケストレーション層の懸念事項を追加します。これには、APIサーバーへのアクセス制御、クラスター全体で誰が何を実行できるかを規定するRBACポリシー、ネットワークポリシーによって管理されるポッド間およびネームスペース間の通信、シークレット管理と保存時の暗号化、デプロイ前にワークロードを検証するアドミッションコントローラー、監査ログやPod Security Standardsなどのクラスター全体の設定が含まれます。
設定ミスのあるクラスターにデプロイされた強化されたコンテナイメージは、依然として脆弱な状態です。Kubernetesのセキュリティは、それらのコンテナを取り囲み、接続し、オーケストレーションする基盤インフラストラクチャに対処します。
設定ミスがKubernetes侵害の大半を占めるが、横移動と 権限昇格を利用した標的型攻撃が急増している。 Red Hatの2024年レポートでは、回答者の50%以上がKubernetesセキュリティインシデントの主因として設定ミスを挙げています。主要なセキュリティ懸念の内訳は明確な傾向を示しています:脆弱性(33%)、設定ミスと情報漏洩(27%)、アクティブな攻撃(24%)、コンプライアンス監査の不合格(16%)。
さらに、EKSクラスターの81%が依然として廃止予定のCONFIG_MAP認証に依存しており(Wiz 2025)、攻撃者が積極的に悪用するレガシーリスクを生み出している。コンテナベースの横方向移動攻撃は2025年に34%増加(Tigera)し、機会主義的な設定ミス悪用から、意図的な侵害後の操作への移行を反映している。
これらの日付付きで出典明記された事例研究は、不十分なKubernetesセキュリティが招く結果と、各インシデントから得られる教訓を示している。
MITRE ATT&CK 、Kubernetesの脅威をセキュリティ対策にマッピングするための共通言語を提供します。以下の表は、MITRE ATT&CK 主要な戦術を、特定のKubernetesセキュリティ対策にマッピングしたものです。
表1: Kubernetesセキュリティ制御に対応したMITRE ATT&CK マトリックス
4Csモデルは、各セキュリティ層が下位層の完全性に依存する階層型防御フレームワークを提供する。業界で広く採用されているこのモデルは、Kubernetesセキュリティを4つの入れ子構造の層に整理する。
各レイヤーは下層のレイヤーを基盤として構築される。完全に硬化されたコンテナイメージであっても、それが稼働するクラスターが匿名APIアクセスを許可している場合、その保護効果は限定的である。同様に、厳格なクラウドセキュリティ設定も、コンテナ内で実行されるコードにハードコードされたシークレットや脆弱な依存関係が含まれている場合、その価値を失う。
効果的なKubernetesセキュリティには、ライフサイクルの各フェーズにおける制御が必要であり、ビルド時のスキャンでは対応できないギャップをランタイム検出が埋めます。以下のプラクティスは、ビルド、デプロイ、ランタイムの各フェーズに分類され、OWASP Kubernetes Security Cheat Sheetに沿った包括的なKubernetesセキュリティチェックリストを提供します。
Kubernetesのセキュリティコンテキストは、ポッドまたはコンテナの権限とアクセス制御設定を定義します。これらの設定には、非rootユーザーとしての実行、Linux機能の削除、読み取り専用ルートファイルシステムの設定、seccompプロファイルの定義が含まれます。すべてのワークロードにセキュリティコンテキストを一貫して適用することで、多くの一般的な権限昇格経路を防ぐことができます。
Kubernetesにおける実行時セキュリティとは、ワークロードのデプロイ後に監視と保護を行う手法である。デプロイ前に既知の脆弱性を検出するビルド時スキャンとは異なり、実行時セキュリティは稼働中のクラスターにおいてアクティブな脅威、異常な動作、zero-day 検知する。高度なDevSecOpsイニシアチブを導入している組織(回答者の42%)は、ビルド時の予防策に実行時検知を組み合わせている(Red Hat 2024)。
eBPFベースのセキュリティスタック(Falco、Tetragon、Cilium)は、パフォーマンスへの影響を最小限に抑えつつ、Kubernetesランタイム検知の標準となりつつある。以下のツールは、スキャン、ポリシー適用、ランタイム検知の各カテゴリにおいて、主要なオープンソースオプションを代表するものである。
表2: Kubernetesセキュリティツール比較
KubescapeはCNCFインキュベーションステータスを獲得し、10万以上のクラウド環境において25,000社以上で利用されています(CNCF 2025)。これにより、CNCFに採用された初のKubernetesセキュリティスキャナーとなりました。
拡張バークレーパケットフィルタ(eBPF)は、1%未満のCPUオーバーヘッド(Tetragon)でカーネルレベルの可観測性と強制を実現し、組織のKubernetesランタイムセキュリティへの取り組みを変革します。主要なeBPFベースのツールには以下が含まれます:
Kubescape、Falco、Trivy、Ciliumからなる推奨オープンソーススタックは、1~2.5%の総CPUオーバーヘッドで包括的なKubernetesセキュリティスキャンと検知を実現します。この効率性により、パフォーマンス予算が制約される本番ワークロードにおいてもeBPFベースのセキュリティが実用可能となります。既存ツールの評価を検討する組織においては、NDRツールや侵入検知・防止システムがネットワークレベルの可視性をもってeBPFベースの検知を補完します。
振る舞い脅威検知とネットワークレベルの可視性は、予防のみを目的としたツールとKubernetesクラスターを標的とするアクティブな脅威との間の重大なギャップを埋めます。構成スキャンとポリシー適用は必要ですが不十分です。これらは既知の悪意ある構成を防ぎますが、予防制御を回避した検知 攻撃者を検知 できません。
Kubernetesはデフォルトでフラットネットワークを採用しており、任意のポッドが他のポッドと通信可能です。このため横方向の移動検知が極めて重要となります。攻撃者はこの特性を悪用し、ネームスペース内でポッド間を移動し、クラスター全体でネームスペース間をエスカレートし、侵害されたポッド内からクラウドメタデータサービスにアクセスします。
TeamPCPworm 2026年2月)はこのパターンを大規模に実証した。 単一のポッド足場を足掛かりに、同グループはクラスター全体の列挙、ワークロード横断的なコマンド実行、特権DaemonSetの展開を可能とし、クラスターを分散型ボットネットへと変貌させました。これにより少なくとも185台のサーバーが侵害されました(eSecurity Planet)。コンテナベースの横方向移動攻撃が2025年に34%増加する中、検知 東西方向トラフィックパターンの検知 もはや任意の対策ではありません。
振る舞い 、既知のシグネチャとの照合ではなく、異常なパターンの特定に焦点を当てます。Kubernetes環境では、これらのパターンには異常なAPI呼び出し、予期しないポッド間通信、認証情報のアクセス異常、リソースハイジャックの兆候などが含まれます。
2026年1月に公表されたKubernetesテレメトリの脆弱性は、このアプローチが重要である理由を示している。 研究者らは、監視ツールに一般的に付与されるノード/プロキシのGET RBAC権限が、Kubelet APIを介してポッド内で任意のコマンドを実行するために悪用され得ることを発見した。Kubernetesはこれを「意図した動作」と分類し、パッチを発行しない方針だ。唯一の防御策は、監視サービスアカウントからの異常なexec操作を検知することである(The New Stack)—振る舞い 脅威ハンティングの典型的な適用事例と言える。
Kubernetesの脅威に対する検出方法には以下が含まれます:
主要なKubernetesセキュリティガイドのいずれも、ネットワーク検知と対応(NDR)がKubernetesセキュリティとどのように統合されるかを論じていない。これは重大な盲点である。なぜなら、ネットワークレベルの可視性は、設定ベースのツールが完全に見逃す脅威を検知するからだ。
NDRはKubernetesクラスター内の東西方向トラフィック可視化を提供し、予期せぬサービスに到達するポッド、ネームスペース間の異常なデータ量、横方向チャネルを通じたデータ漏洩の試みなど、異常な通信パターンを特定します。これにより、設定スキャンやポリシー適用をネットワークレベルでの能動的脅威検知で補完し、Kubernetesセキュリティのベストプラクティスを採用しているにもかかわらず90%の組織が依然としてインシデントを経験する原因となる検知のギャップに対処します。
KSPMは継続的なコンプライアンス可視性を提供し、Kubernetesの制御を規制フレームワークにマッピングすることは、企業導入において今や不可欠です。Kubernetesセキュリティポスチャ管理(KSPM)は、セキュリティベースラインに対してクラスター構成を継続的に評価し、設定ミス、ポリシー違反、コンプライアンスのギャップをリアルタイムで特定します。
KSPMツール(Kubescape、Wiz、Prisma Cloud、Sysdigなど)は、CISベンチマーク、Podセキュリティ基準、カスタム組織ポリシーなどのセキュリティ基準に対して、Kubernetesクラスター構成の継続的評価を提供します。kube-benchによって評価されるCIS Kubernetes Benchmarkは、クラスター強化において最も広く採用されている基準です。OWASP Kubernetes Top 10は、優先順位付けされたリスクフレームワークを提供し、不安全なワークロード構成(K01)、サプライチェーン脆弱性(K02)、過度に寛容なRBAC(K03)、ポリシー適用ギャップ(K04)、不十分なロギング(K05)、脆弱なコンポーネント(K10)までを網羅しています。2025年版に向けた更新作業が現在進行中です。
NSA/CISA Kubernetes強化ガイドv1.2(2022年8月)は、サプライチェーンリスク、悪意のある脅威アクター、内部者脅威を網羅するKubernetesセキュリティに関する政府の権威ある参照資料であり続けている。コンプライアンス自動化は2026年に強化され、組織は定期的な手動評価ではなく自動化された証拠収集を通じて継続的なコンプライアンスを実証することが求められるようになる(Veeam)。
表3:主要な規制フレームワークに対応するKubernetesセキュリティ制御
SBOM要件は、OMB M-26-05が2026年1月にリスクベースアプローチへ移行したことで進化を遂げている。クラウドサービスプロバイダーは現在、要求に応じて稼働中の本番環境のSBOMを提供する必要があり、これによりKubernetes CI/CDパイプラインへのSBOM生成の統合が推進されている。
Kubernetesセキュリティは、eBPFベースのツール群、プラットフォームの強化、そして予防のみから検知主導の防御戦略への移行により急速に成熟している。2025年から2026年にかけてのいくつかの進展が、組織がKubernetesセキュリティアーキテクチャにアプローチする方法を再構築している。
プラットフォームの強化が加速している。2025年中にKubernetes v1.32-v1.35において6つの主要セキュリティ機能が安定版ステータスに達した。これにはバウンドサービスアカウントトークンの改善、サイドカーコンテナ、再帰的読み取り専用マウント、セレクタベース認証、匿名リクエスト制限、順序付きネームスペース削除が含まれる。 さらに8つの機能が2026年に安定版となる見込みで、ユーザーネームスペース、mTLS用Pod証明書、イメージプル認証などが含まれる(CNCF 2025)。
重要インフラの移行には注意が必要です。Ingress-NGINXは2026年3月にサポート終了を迎え、以降は新機能リリース、バグ修正、セキュリティパッチの提供が一切行われません。Kubernetesセキュリティ対応委員会はGateway APIへの移行を推奨しています(Kubernetes Blog)。レガシーなIngress-NGINXコントローラーを維持する組織は、パッチ未適用の脆弱性に晒されるリスクがあります。
市場評価が史上最高水準に達している。GoogleによるWizの320億ドル買収はサイバーセキュリティ分野における史上最大の買収であり、クラウドネイティブセキュリティ市場の正当性を証明するとともに、業界最大手企業にとってKubernetesセキュリティツールとプラットフォームが戦略的優先事項であることを示している(The Register)。
DevSecOpsの導入が加速している。現在42%の組織が高度なDevSecOpsイニシアチブを実施中であり、48%が導入初期段階にある(Red Hat 2024)。セキュリティの追加的対応から統合的セキュリティ実践へのこの移行により、開発速度とセキュリティカバレッジの間のギャップが縮小している。
Vectra Kubernetesセキュリティへのアプローチは、振る舞い 検知と Attack Signal Intelligence。設定スキャンやポリシー適用だけに依存するのではなく、Vectra はハイブリッドクラウド環境全体(Kubernetesクラスター内の東西方向トラフィックを含む)のネットワークトラフィックパターンを監視し、進行中の攻撃の振る舞い 検知 。 このアプローチは「侵害を前提とする」という考え方に基づいています。つまり、高度な攻撃者は最終的に防御策を回避するため、侵害後の行動(横方向の移動、特権昇格、データ漏洩など)を検知することが実際のリスク低減につながります。設定ベースのツールを補完するネットワーク検知・対応を提供することで、組織は防御だけでは阻止できない脅威を特定するために必要な可視性を獲得します。
Kubernetesセキュリティとは、イメージ構築からデプロイ、実行時運用に至るアプリケーションライフサイクル全体において、コンテナ化されたワークロードとそのオーケストレーション基盤を保護する一連の実践手法、ツール、ポリシーを指します。これには構成の強化、RBACによるアクセス制御、ネットワークポリシーによるネットワークセグメンテーション、シークレット管理、実行時脅威検知、コンプライアンス監視が含まれます。 コンテナセキュリティが個々のイメージやランタイムに焦点を当てるのとは異なり、KubernetesセキュリティはAPIサーバー、etcdデータストア、アドミッションコントローラー、クラスター全体の設定など、オーケストレーション層に対処します。過去1年間に90%の組織が少なくとも1件のインシデントを経験している現状(Red Hat 2024)において、包括的なKubernetesセキュリティはオプションの強化策ではなく、ビジネス上の必須要件です。
いいえ。Kubernetesはデフォルト設定において、セキュリティよりも柔軟性と開発速度を優先します。初期状態では、クラスターはポッド間の通信を無制限に許可し、etcd内の保存済みシークレットを暗号化せず、一部の設定では匿名APIアクセスを許可し、Pod Security Standardsを強制しません。 組織は、クラスターを本番環境対応にする前に、最小権限によるRBACの積極的な設定、デフォルト拒否ネットワークポリシーの実装、etcd暗号化の有効化、アドミッションコントローラーのデプロイ、監査ログ設定を必須とします。 その緊急性は現実のものだ:AKSクラスターは作成後18分以内に、EKSクラスターは28分以内に最初の攻撃試行に直面する(Wiz 2025)。デフォルト設定と安全な運用とのこの隔たりこそが、Kubernetesセキュリティのベストプラクティスが初日から不可欠な理由である。
4つのCとは、クラウド、クラスター、コンテナ、コードを指す。各層は下位層を基盤として構築される。クラウドインフラストラクチャは、IAMポリシー、ネットワークファイアウォール、転送中の暗号化を通じて基盤を提供する。クラスターレベルの制御は、RBAC、アドミッションコントローラー、etcd暗号化、監査ログ記録によりオーケストレーション層を保護する。 コンテナセキュリティは、イメージスキャン、ベースイメージの強化、ルートレス実行、セキュリティコンテキストを通じて個々のワークロードを強化します。コードセキュリティは、依存関係スキャン、シークレット検出、サプライチェーン検証を通じてアプリケーションレベルの脆弱性に対処します。外層のいずれかに弱点があると、内層全体のセキュリティが損なわれるため、4CsはKubernetesセキュリティアーキテクチャ全体のギャップを特定し解消するための実用的なフレームワークとなります。
主要なオープンソースツールには、eBPFベースのシステムコール監視による実行時脅威検知のためのFalco(CNCF卒業)、 コンテナイメージとKubernetes構成の包括的な脆弱性スキャンを行うTrivy、25,000社以上のセキュリティ態勢管理を実現するKubescape(CNCFインキュベーション)、アドミッション制御とポリシー適用を行うOPA/GatekeeperおよびKyverno、CIS Kubernetes Benchmark準拠評価を行うkube-bench、1%未満のCPUオーバーヘッドでeBPFベースのセキュリティ可観測性を提供するTetragon/Ciliumなどがある。 Wiz、Sysdig、Prisma Cloudなどのベンダーが提供するエンタープライズプラットフォームは、商用サポートとより広範な機能セットを追加します。推奨されるオープンソーススタックであるKubescape、Falco、Trivy、Ciliumは、ビルドから実行時までを包括的にカバーし、総CPUオーバーヘッドは1~2.5%です。
Kubernetesセキュリティ態勢管理(KSPM)は、CIS Kubernetes Benchmarks、Pod Security Standards、カスタム組織ポリシーなどのセキュリティ基準に対してクラスター構成を継続的に評価します。KSPMツールは、クラスター全体の設定ミス、ポリシー違反、コンプライアンスギャップをリアルタイムで自動的に特定し、定期的な手動評価に取って代わります。主要なKSPMツールには、Kubescape、Wiz、Prisma Cloud、Sysdigなどがあります。 特定時点のスキャンとは異なり、KSPMは設定ドリフトやポリシーコンプライアンスを継続的に可視化します。これはHIPAA、PCI DSS、SOC 2、NIST 800-53などの規制枠組みでますます要求される機能です。2026年にコンプライアンス自動化が強化される中、KSPMはエンタープライズ向けKubernetes導入において不可欠な基盤となっています。
Kubernetesは、レイヤー3および4(IPアドレスとポート)におけるポッド間のトラフィックフローを制御するネットワークポリシーを提供します。デフォルトでは、すべてのポッド間通信が制限なく許可され、攻撃者にとって横方向の移動を容易にするフラットなネットワークが形成されます。組織は、インバウンドおよびアウトバウンドトラフィックの両方に対してデフォルト拒否のネットワークポリシーを実装し、必要な通信経路のみを明示的に許可する必要があります。 より細かな制御のため、Ciliumはレイヤー7(アプリケーションプロトコル層)でeBPFベースのネットワークポリシー適用を提供します。一方、IstioやLinkerdなどのサービスメッシュソリューションは、暗号化されたポッド間通信のための相互TLS(mTLS)を追加します。ポリシー適用に加え、NDRは東西方向トラフィックパターンの可視性を提供し、ポリシー違反だけでは検知できない検知 通信を検知 。
OWASP Kubernetes Top 10は、Kubernetes環境における最も重大なセキュリティリスクを優先順位付けしたリストであり、リスク評価と制御マッピングのための共通フレームワークを提供します。現在のリスクには、不安全なワークロード構成(K01)、サプライチェーン脆弱性(K02)、過度に寛容なRBAC(K03)、 集中型ポリシー適用不足(K04)、不十分なログ記録と監視(K05)、破損した認証(K06)、ネットワークセグメンテーションの欠如(K07)、シークレット管理の失敗(K08)、クラスターコンポーネントの設定ミス(K09)、および古くて脆弱なKubernetesコンポーネント(K10)が含まれます。各リスクは、組織が実装できる特定の制御に対応しています。 2025年版の更新は現在、コミュニティ調査を通じて進行中です。CIS Kubernetes BenchmarkおよびNSA/CISA Kubernetes Hardening Guideと組み合わせることで、OWASP Top 10はKubernetesセキュリティコンプライアンスのための包括的なリスクフレームワークを提供します。