Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 596

kube-bench

kube-bench とは何ですか?

kube-benchAqua Security が公開する OSS ツールで、Kubernetes クラスタの構成を CIS Kubernetes Benchmark に対して自動的にチェックする。

kube-bench は Aqua Security が保守する Go 製の OSS スキャナで、Kubernetes クラスタが CIS Kubernetes Benchmark にどの程度準拠しているかを評価します。コントロールプレーン、etcd、kubelet、ワーカーノードの各コンポーネントのフラグ、ファイル権限、監査設定、TLS 設定を点検し、コントロールごとに PASS/FAIL/WARN/INFO を出力します。kubeadm、GKE、EKS、AKS、OpenShift、Tanzu などのプロファイルが用意され、ベンチマーク更新に合わせてテストもバージョン管理されています。各ノード上で特権付き Kubernetes Job として実行し、CI/CD パイプラインや定期実行に組み込むのが一般的です。KubescapeTrivy、policy-as-code のアドミッションコントローラと組み合わせて使われる、基本的なハードニングチェックです。

  1. 01

    EKS クラスタのアップグレード後に kube-bench --benchmark eks-1.5.0 で監査する。

  2. 02

    Helm 変更によって kube-bench に FAIL が新たに発生したら CI を失敗させる。

よくある質問

kube-bench とは何ですか?

Aqua Security が公開する OSS ツールで、Kubernetes クラスタの構成を CIS Kubernetes Benchmark に対して自動的にチェックする。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

kube-bench とはどういう意味ですか?

Aqua Security が公開する OSS ツールで、Kubernetes クラスタの構成を CIS Kubernetes Benchmark に対して自動的にチェックする。

kube-bench はどのように機能しますか?

kube-bench は Aqua Security が保守する Go 製の OSS スキャナで、Kubernetes クラスタが CIS Kubernetes Benchmark にどの程度準拠しているかを評価します。コントロールプレーン、etcd、kubelet、ワーカーノードの各コンポーネントのフラグ、ファイル権限、監査設定、TLS 設定を点検し、コントロールごとに PASS/FAIL/WARN/INFO を出力します。kubeadm、GKE、EKS、AKS、OpenShift、Tanzu などのプロファイルが用意され、ベンチマーク更新に合わせてテストもバージョン管理されています。各ノード上で特権付き Kubernetes Job として実行し、CI/CD パイプラインや定期実行に組み込むのが一般的です。Kubescape や Trivy、policy-as-code のアドミッションコントローラと組み合わせて使われる、基本的なハードニングチェックです。

kube-bench からどのように防御しますか?

kube-bench に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

kube-bench の別名は何ですか?

一般的な別名: CIS Kubernetes Benchmark スキャナ。

関連用語

関連項目