概要
オープンソースのKubernetesセキュリティプラットフォーム「Kubescape」がバージョン4.0に達し、一般提供(GA)を開始した。KubeCon + CloudNativeCon Europe 2026での発表に合わせたリリースで、ランタイム脅威検知エンジンとAIエージェント(KAgent)向けセキュリティスキャンが主要な新機能として加わった。コアメンテナーのBen Hirschberg氏は、ランタイム検知エンジンについて「大規模環境で厳密にテストされ、安定性が実証済みだ」と述べている。Kubescapeは2025年1月にCNCFサンドボックスからインキュベーティング層へ昇格しており、ARMO社がメンテナンスをリードしている。
ランタイム脅威検知とアーキテクチャの刷新
新しいランタイム検知エンジンはCommon Expression Language(CEL)ルールを使ってプロセス、Linuxケーパビリティ、システムコール、ネットワークイベント、ファイルアクティビティをリアルタイムで監視する。検知ルールはKubernetesのカスタムリソース定義(CRD)として管理され、アラートをAlertManager・SIEM・Syslog・Webhookにルーティングできる。また「Kubescape Storage」もGAとなり、セキュリティメタデータを標準のetcdインスタンスから分離してKubernetes Aggregated APIで保持する設計を採用し、大規模・高密度クラスターへの対応を強化した。
アーキテクチャ面では、従来の侵襲的なhost-sensor DaemonSetとhost-agentを廃止し、単一のnode-agentにその機能を統合した。Direct API接続への移行により安定性と監査性が向上している。
AIエージェントセキュリティへの対応
Kubescape 4.0の注目点は、急増するAIエージェントのインフラ管理への対応だ。KAgentネイティブプラグインを導入し、AIアシスタントがKubernetesのセキュリティポスチャ(脆弱性・RBAC設定・コンテナの振る舞いパターン)を直接クエリできるようにした。さらに、KAgentのCRDにおけるセキュリティ上重要な42の設定ポイントをカバーする15の新OPA Regoベースコントロールを追加した。空のセキュリティコンテキスト、NetworkPolicyの欠如、過剰な権限でのネームスペース監視といった脆弱性への対処が含まれる。開発チームは「AIエージェントの自律性が高まる中、高リスクなアクションを実行されないよう堅牢なセキュリティガードレールが不可欠だ」と強調している。
コンプライアンス対応
コンプライアンス面では、CISベンチマークのバージョン1.12(バニラKubernetes)とバージョン1.8(EKS/AKS)のサポートが追加された。既存のNSA-CISAおよびMITRE ATT&CKフレームワークへの対応と合わせ、企業が求めるセキュリティ標準への準拠をさらに充実させている。CVEノイズを95%以上削減できるとされており、セキュリティ運用の効率化に貢献する。