Kubernetesセキュリティの標準的ツールが確定？　KubescapeをCNCFインキュベーションプロジェクトに採用：IntelやAWSも利用

　Kubescapeは、2021年にARMOが創設したプロジェクトで、リリース以来、急速に成長し、クラウドネイティブコミュニティー内で広く採用されるオープンソースセキュリティプロジェクトの一つとなっている。Kubescapeがインキュベーションプロジェクトに採用されたことは、セキュリティフレームワークのテストやハードニングといったサービスを活用したいという採用者の意欲と準備が整っていることを示すだけでなく、セキュリティツールやプロジェクトの充実に向けたクラウドネイティブの継続的な取り組みの一環でもある。

　Kubescapeのリリース当初はCLIツールとして提供され、クラスタやワークロードの設定（Helm、YAML、RBACなど）を「CISA-NSA Kubernetes Hardening Guide」（米国サイバーセキュリティインフラ安全保障庁と米国国家安全保障局が提供するKubernetesセキュリティ強化ガイド）に基づいて検証する機能を備えていた。

　プロジェクトの人気は急速に高まり、KubernetesのDevOpsチームやサイバーセキュリティコミュニティーからのセキュリティニーズに応えるため、Kubescapeは進化を続けた。設定のスキャンやハードニングの推奨、「MITRE ATT&CK」や「Kubernetes CIS Benchmark」（Kubernetesセキュリティ基準）といったセキュリティフレームワークに基づく脆弱性スキャンなどの機能が追加された。

　その他、eBPFを活用した到達性分析、Kubernetesネットワークポリシーの推奨、異常行動に基づく脅威検出機能も加えられた。使いやすさと普及率を高めるために、KubescapeはIDE、CI/CDパイプライン、「Prometheus」などの監視システムとの統合機能も導入した。Kubescapeのコミュニティーはスタートアップ的な革新性を持ち合わせており、このアプローチによって、単なるコンプライアンススキャナーから、先進的な異常検出機能を備えた包括的なランタイムセキュリティソリューションへと進化を遂げている。

Kubescapeの活用状況

　KubescapeはCNCFのエコシステムと深く統合されている。ランタイムの可観測性（オブザーバビリティ）には「Inspektor Gadget」経由でeBPFを使い、設定スキャンには「Open Policy Agent」（OPA）を利用している。Prometheus、「ArgoCD」「Headlamp」といったツールとも統合しており、ユーザーは監視を強化したりデプロイメントを自動化したりできる他、Kubernetesクラスタに関するリアルタイムの洞察を得ることができる。

　Kubescapeは、DevOpsエンジニアの間で常に人気のあるツールで、さまざまな業界の多くのチームがセキュリティ強化のために活用している。以下は、Kubescapeの著名な導入事例だ。

• Intel：セキュリティ対策の優先順位付けにKubescapeを使用
• AWS（Amazon Web Services）：セキュリティ教育資料の一環としてKubescapeを使用
• Bitnami：Helmチャートのセキュリティ強化にKubescapeを利用
• ARMO：Kubescapeを同社のクラウドランタイムセキュリティプラットフォーム「ARMO Platform」の基盤として活用
• Energi Danmark：Kubernetes導入初期からKubescapeを使用し、CI/CDパイプラインに組み込む

　Kubescapeのロードマップは、単に新機能を追加するだけでなく、プロジェクトの成熟度を反映した内容になっている。2025年2月現在の主な重点領域は以下の3点だ。

• リソースの利用率やその他のパフォーマンス指標の改善を目的としたコアプラットフォームの強化
• ユーザーエクスペリエンスの改善
• セキュリティ機能の追加