Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 670

Kubernetes アドミッションコントローラ

監修Cybersecurity entrepreneur & security researcher

Kubernetes アドミッションコントローラ とは何ですか?

Kubernetes アドミッションコントローラアドミッションコントローラは Kubernetes API server のプラグインで、認証済み要求が永続化される前に傍受し、ポリシに従ってオブジェクトを検証・変更・拒否します。


Kubernetes のアドミッションは、API server のリクエストパイプラインにおいて認証と認可の、かつオブジェクトが etcd に書き込まれるに位置します。順序付けられた二段階で動作し、mutating コントローラはオブジェクトを書き換え(既定値の付与、Istio/Envoy サイドカーの注入)、続いて validating コントローラが受理または拒否します。組み込みコントローラには NamespaceLifecycleResourceQuotaServiceAccountPodSecurityImagePolicyWebhook があります。外部ポリシエンジンは MutatingWebhookConfiguration/ValidatingWebhookConfiguration として登録し、AdmissionReview の JSON ペイロードを受け取って許可/拒否の判定を返します。ここが OPA GatekeeperKyverno の接続点です。1.30(GA)以降、ValidatingAdmissionPolicy は CEL 式を API server に直接埋め込み、webhook へのネットワークホップを排除します。

アドミッションは、サプライチェーンおよびワークロードのポリシを強制する中心点です。イメージ署名の検証(Sigstore/cosign)、Pod Security Standards、ラベル統制などです。そのため webhook 自体が攻撃対象になります。2025 年 3 月の IngressNightmare(CVE-2025-1974、CVSS 9.8、および CVE-2025-1097/1098/24514)では、認証されていない攻撃者が ingress-nginx の admission エンドポイントに到達して NGINX ディレクティブを注入し、コントローラ Pod での RCE とクラスタ全体のシークレット窃取の可能性を招きました。アドミッションエンドポイントを決してネットワークに公開してはならないという痛烈な教訓です。

運用面では、到達不能な webhook に対する failurePolicy: Failクラスタを機能不全に陥らせる可能性があるため、namespaceSelector で webhook の適用範囲を絞り、timeoutSeconds を短く設定し、kube-system を除外します。

flowchart LR
  U[kubectl / クライアント] --> API[API server]
  API --> AUTHN[認証]
  AUTHN --> AUTHZ[認可 RBAC]
  AUTHZ --> MUT[Mutating アドミッション -> 注入 / 既定値]
  MUT --> SCH[スキーマとオブジェクトの検証]
  SCH --> VAL[Validating アドミッション + VAP CEL]
  VAL --> D{許可?}
  D -->|拒否| ERR[クライアントへ要求を拒否]
  D -->|許可| ETCD[(Persist to etcd)]
  VAL -.policy.-> ENG[OPA Gatekeeper / Kyverno]

  1. 01

    mutating webhook がラベル付き名前空間の新規 Pod すべてに Istio/Envoy サイドカーを注入する。

  2. 02

    ValidatingAdmissionPolicy が runAsNonRoot が未設定の Deployment を拒否する。

よくある質問

Kubernetes アドミッションコントローラ とは何ですか?

アドミッションコントローラは Kubernetes API server のプラグインで、認証済み要求が永続化される前に傍受し、ポリシに従ってオブジェクトを検証・変更・拒否します。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

Kubernetes アドミッションコントローラ とはどういう意味ですか?

アドミッションコントローラは Kubernetes API server のプラグインで、認証済み要求が永続化される前に傍受し、ポリシに従ってオブジェクトを検証・変更・拒否します。

Kubernetes アドミッションコントローラ からどのように防御しますか?

Kubernetes アドミッションコントローラ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Kubernetes アドミッションコントローラ の別名は何ですか?

一般的な別名: Admission Webhook, ValidatingAdmissionPolicy。

関連用語