Kyverno（キベルノ）

2025年11月5日

Kyverno（キベルノ）

英語表記: Kyverno

概要

Kyverno（キベルノ）は、Kubernetes環境におけるセキュリティとガバナンスを維持するためのポリシーエンジンです。コンテナ技術（Docker, Podman）を利用した大規模なシステムにおいて、設定の不備やセキュリティリスクを防ぐため、「ポリシー管理」の役割を担います。特に、Kubernetesネイティブな設計思想に基づいており、ポリシーをYAMLファイルとして宣言的に定義できる点が大きな特徴です。クラスタ内のリソース（PodやDeploymentなど）が作成・更新される際に、定義されたルールに違反していないかを自動的にチェックし、必要に応じて設定を修正したり、操作を拒否したりする働きを持っています。

Kyvernoは、コンテナ技術（Docker, Podman）が発展する中で、セキュリティとガバナンスを自動化する仕組みとして非常に重要な位置を占めています。多くのユーザーが自由にリソースをデプロイする環境において、一貫性のあるルールを強制するための強力なツールなのです。

詳細解説

Kyvernoは、コンテナ技術のエコシステム、特にKubernetesクラスタの「セキュリティとガバナンス」を自動化し、維持することを目的として開発されました。単なる監査ツールではなく、ポリシーの強制実行（Enforcement）を行う点がポイントです。

1. ポリシー管理の必要性

コンテナ技術を用いたシステム運用では、多数のマイクロサービスが稼働し、多くの開発者がクラスタにアクセスします。このとき、「すべてのコンテナイメージは特定のセキュアなレジストリから取得しなければならない」「特権コンテナの使用は禁止する」「すべてのリソースには環境を示すラベルを付与しなければならない」といった、組織全体で守るべきルール（ポリシー）が存在します。

もしこれらのポリシーを手動でチェックしていたら、ミスが発生したり、運用が追いつかなくなったりするのは目に見えていますよね。Kyvernoは、このような人為的なミスを防ぎ、ポリシーを自動的かつ一貫して適用するために存在しています。これが、私たちがKyvernoを「コンテナ技術におけるポリシー管理」の文脈で語る理由です。

2. 動作原理：Admission Controllerとの連携

Kyvernoの動作の核心は、KubernetesのAdmission Controller（アドミッションコントローラー）にあります。これは、Kubernetes APIサーバーにリクエスト（例：Podの作成リクエスト）が到達した際に、そのリクエストを処理する前に検証や変更を行うための仕組みです。

Kyvernoは、このAdmission ControllerのWebhookとして動作します。具体的には、リクエストがAPIサーバーに届くと、Kyvernoが定義しているポリシーと照らし合わせ、以下の3つの主要な機能を提供します。

A. 検証（Validation）

リクエストされたリソースがポリシーに違反していないかをチェックします。違反している場合、そのリソースの作成や更新を拒否します。
* 例: 「特権モードで実行しようとしているコンテナ」を検出した場合、デプロイメントを即座にブロックします。これはセキュリティ上の重大なリスクを未然に防ぐ、非常に重要な機能です。

B. 変更（Mutation）

リソースが作成される前に、ポリシーに従ってそのリソースの定義を自動的に変更・修正します。
* 例: リクエストされたPodの定義に特定のラベルが欠けていた場合、Kyvernoが自動的にそのラベルを追加（パッチ処理）してからデプロイを許可します。これにより、ユーザーが設定を忘れても、ガバナンスルールが守られます。

C. 生成（Generation）

特定のリソースが作成されたことをトリガーとして、別のリソースを自動的に生成します。
* 例: 新しいNamespace（名前空間）が作成された際、そのNamespace専用のセキュリティポリシーや設定マップを自動的に生成し、初期設定を完了させます。

3. Kubernetesネイティブな強み

Kyvernoのポリシーは、すべてKubernetesのカスタムリソース定義（CRD）としてYAML形式で記述されます。これは、他のポリシーエンジンが独自の言語（例：Rego）を使用する場合があるのに対し、KyvernoがKubernetesの標準的なツールと知識だけで運用できることを意味します。

この「Kubernetesネイティブ」な特性こそが、運用者にとって大きなメリットです。既存のKubernetesのワークフロー（GitOpsなど）に容易に組み込むことができ、学習コストも低く抑えられます。ポリシー自体もクラスタ内のオブジェクトとして管理されるため、一貫性のある管理が実現するのです。

具体例・活用シーン

Kyvernoがコンテナ技術のセキュリティとガバナンスにどのように貢献しているか、具体的な例と分かりやすいアナロジーで見てみましょう。

1. アナロジー：クラスタの「入国審査官」

Kyvernoの役割は、Kubernetesクラスタという国境における優秀な入国審査官に例えることができます。

あなたが新しいリソース（Pod、Deploymentなど）を作成するリクエストを送信することは、「この国に入りたい」と申請することに相当します。

審査（Validation）: 審査官（Kyverno）は、まずあなたの申請書類（リソース定義）が国の定めるルール（セキュリティポリシー）に違反していないか厳しくチェックします。「危険な武器（特権コンテナ）を持っていないか？」「必要なビザ（必須ラベル）を持っているか？」
- もし違反があれば、審査官は「入国拒否！」と操作をブロックします。これにより、危険なリソースがクラスタ内に入ることを防ぎます。
修正（Mutation）: 申請内容に軽微な不備や不足があった場合、審査官は親切に「ここにパスポート番号（特定の環境変数）を追記してください」と自動で修正を施します。
- ユーザーの手間を省きつつ、ガバナンスを維持できます。
付随処理（Generation）: あなたが入国（Namespace作成）した際、審査官は同時に「宿泊先の情報（デフォルトのネットワークポリシー）」を自動で作成し、提供します。
- これにより、新しい環境でもすぐに安全な状態が確保されます。

このように、Kyvernoはクラスタの安全と秩序を保つために、すべてのリソースの出入りを厳格に管理しているのです。

2. 実際の活用シーン（箇条書き）

セキュリティ基準の強制:
- 特定のレジストリ（例：社内レジストリ）以外のコンテナイメージの使用を禁止し、サプライチェーン攻撃のリスクを低減します。
- リソース制限（CPU/メモリ）が設定されていないコンテナのデプロイを拒否し、リソース枯渇によるサービス停止を防ぎます。
コスト管理とガバナンス:
- すべてのリソースに「部署名」「環境名」のラベルを必須とし、コスト追跡や棚卸しを容易にします。
設定の自動補完:
- イメージプルポリシーを自動的にIfNotPresentやAlwaysに設定し、一貫した動作を保証します。

Kyvernoは、コンテナ技術の運用をスケールさせる上で、セキュリティとガバナンスの自動化を担う、欠かせない存在となっています。

資格試験向けチェックポイント

Kyverno自体が直接的にITパスポートや基本情報技術者試験で出題される可能性は低いですが、その背景にある「セキュリティとガバナンス」の概念は非常に重要です。応用情報技術者以上のレベルでは、コンテナ環境の具体的なセキュリティ対策として問われる可能性があります。

特に押さえるべきキーワード

ポリシーエンジン: セキュリティや設定のルールを定義し、強制的に適用するソフトウェア。
Kubernetesネイティブ: Kubernetesの標準的な機能（CRD, YAML）を利用してポリシーを管理する点。
宣言的設定: 「どうあるべきか」を記述するだけで、システムが自動的にその状態を実現しようとする方式。Kyvernoのポリシー定義はこの方式を採用しています。
ガバナンスとコンプライアンス: Kyvernoの最大の目的は、技術的なセキュリティだけでなく、組織的なルール（ガバナンス）や法規制遵守（コンプライアンス）を技術的に担保することにあります。

もし試験で「コンテナ環境におけるセキュリティ対策として、デプロイ時にリソースの設定を検証・変更する仕組み」について問われたら、それはKyvernoのようなポリシーエンジンの役割を指している、と判断できると素晴らしいです。