Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 367

eBPF セキュリティ

eBPF セキュリティ とは何ですか?

eBPF セキュリティLinux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。

eBPF(extended Berkeley Packet Filter)は、検証済みのサンドボックスバイトコードをカーネル内で安全に実行できる Linux カーネル技術で、kprobes、tracepoints、XDP、tc、ソケット、LSM フックなど何千ものフックポイントに装着できます。セキュリティ分野では FalcoTetragon(Cilium プロジェクト)、Tracee(Aqua Security)、Kubescape、Sysdig、Datadog Cloud Workload Security、そして L3/L4/L7 のネットワークポリシーを担う Cilium 自身など、現代のオブザーバビリティ・エンフォースメントツールの基盤となっています。eBPF はカーネルモジュールを使わずにシステムコールやパケットをワイヤースピードで観測できるため、コンテナランタイム検知、ドリフト解析、eBPF ベース EDR、DDoS 対策などに活用できます。エコシステムは Linux Foundation 配下の eBPF Foundation が運営しています。

  1. 01

    Cilium Tetragon を用いて、コンテナ内で /bin/sh の execve など機微なシステムコール列が現れた瞬間にプロセスを終了させる。

  2. 02

    Cilium により Kubernetes Pod 間でサイドカーなしに ID 認識型 L7 HTTP ポリシーを適用する。

よくある質問

eBPF セキュリティ とは何ですか?

Linux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。 サイバーセキュリティの 防御と運用 カテゴリに属します。

eBPF セキュリティ とはどういう意味ですか?

Linux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。

eBPF セキュリティ はどのように機能しますか?

eBPF(extended Berkeley Packet Filter)は、検証済みのサンドボックスバイトコードをカーネル内で安全に実行できる Linux カーネル技術で、kprobes、tracepoints、XDP、tc、ソケット、LSM フックなど何千ものフックポイントに装着できます。セキュリティ分野では Falco、Tetragon(Cilium プロジェクト)、Tracee(Aqua Security)、Kubescape、Sysdig、Datadog Cloud Workload Security、そして L3/L4/L7 のネットワークポリシーを担う Cilium 自身など、現代のオブザーバビリティ・エンフォースメントツールの基盤となっています。eBPF はカーネルモジュールを使わずにシステムコールやパケットをワイヤースピードで観測できるため、コンテナランタイム検知、ドリフト解析、eBPF ベース EDR、DDoS 対策などに活用できます。エコシステムは Linux Foundation 配下の eBPF Foundation が運営しています。

eBPF セキュリティ からどのように防御しますか?

eBPF セキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

eBPF セキュリティ の別名は何ですか?

一般的な別名: eBPF ランタイムセキュリティ, カーネルオブザーバビリティ。

関連用語