Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 120

BPF LSM

BPF LSM とは何ですか?

BPF LSM検証済み eBPF プログラムを LSM フックに装着し、システムコール・ファイル・ソケット・capability に対するカスタム MAC 判定を強制できる Linux Security Module。

BPF LSM(BPF Linux Security Module)は 2020 年に Linux 5.7 へマージされ、Google の KP Singh 氏らが中心となって開発しました。Linux Security Module フレームワークは inode_permission、socket_connect、bprm_check、file_open、capable など数百のセキュリティフックを定義しており、SELinuxAppArmor・Smack・Tomoyo といった従来の LSM はこれを利用しています。BPF LSM は検証済みの eBPF プログラムを同じフックに実行時にアタッチでき、ポリシーをカーネルへのパッチではなくコンパイル済みバイトコードとして配信できます。Cilium Tetragon、KubeArmor、bpfd といったツールが BPF LSM を用いて MAC 制御を実装し、例えばコンテナ内で /tmp 下バイナリの execve を拒否したり、機微なプロセスへの ptrace を阻止したりしつつ、ホットロードと cgroup 認識を維持します。SELinux や AppArmor を置き換えるのではなく補完するものです。

  1. 01

    KubeArmor 経由で BPF LSM プログラムを投入し、Kubernetes Pod 内で /usr/bin 以外のバイナリの execve を拒否する。

  2. 02

    Tetragon を用いて bpf/security_ptrace_access_check フックでハードニング済みプロセスへの ptrace 試行を遮断する。

よくある質問

BPF LSM とは何ですか?

検証済み eBPF プログラムを LSM フックに装着し、システムコール・ファイル・ソケット・capability に対するカスタム MAC 判定を強制できる Linux Security Module。 サイバーセキュリティの ID とアクセス カテゴリに属します。

BPF LSM とはどういう意味ですか?

検証済み eBPF プログラムを LSM フックに装着し、システムコール・ファイル・ソケット・capability に対するカスタム MAC 判定を強制できる Linux Security Module。

BPF LSM はどのように機能しますか?

BPF LSM(BPF Linux Security Module)は 2020 年に Linux 5.7 へマージされ、Google の KP Singh 氏らが中心となって開発しました。Linux Security Module フレームワークは inode_permission、socket_connect、bprm_check、file_open、capable など数百のセキュリティフックを定義しており、SELinux・AppArmor・Smack・Tomoyo といった従来の LSM はこれを利用しています。BPF LSM は検証済みの eBPF プログラムを同じフックに実行時にアタッチでき、ポリシーをカーネルへのパッチではなくコンパイル済みバイトコードとして配信できます。Cilium Tetragon、KubeArmor、bpfd といったツールが BPF LSM を用いて MAC 制御を実装し、例えばコンテナ内で /tmp 下バイナリの execve を拒否したり、機微なプロセスへの ptrace を阻止したりしつつ、ホットロードと cgroup 認識を維持します。SELinux や AppArmor を置き換えるのではなく補完するものです。

BPF LSM からどのように防御しますか?

BPF LSM に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

BPF LSM の別名は何ですか?

一般的な別名: LSM BPF, eBPF LSM。

関連用語