Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 602

Kyverno

Kyverno とは何ですか?

KyvernoKyverno は CNCF の Kubernetes ポリシエンジンで、新しい DSL を使わずネイティブな YAML で記述したポリシによりリソースの検証・変更・生成を行います。

Kyverno はアドミッション webhook として導入され、YAML で記述された ClusterPolicy または Policy の CR に基づき、selector、match、validate、mutate、generate、verifyImages などのルールを実行します。ポリシ言語が Kubernetes オブジェクトの構造に沿っているため、マニフェストに慣れたチームは Rego を覚えずにルールを書けます。さらにイメージ検証(Cosign/Notation)、既存リソースに対するバックグラウンドスキャン、例外ワークフロー、新規名前空間作成時の依存オブジェクト(NetworkPolicy、RoleBinding)の自動生成にも対応します。Pod Security Standards、イメージ署名、ラベル規約、サプライチェーン証明の強制によく使われ、アドミッションポリシ領域で OPA Gatekeeper と競合します。

  1. 01

    新しい名前空間ごとに default-deny の NetworkPolicy を自動生成する Kyverno ポリシ。

  2. 02

    verifyImages ポリシがすべてのコンテナイメージに有効な Cosign 署名を要求する。

よくある質問

Kyverno とは何ですか?

Kyverno は CNCF の Kubernetes ポリシエンジンで、新しい DSL を使わずネイティブな YAML で記述したポリシによりリソースの検証・変更・生成を行います。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

Kyverno とはどういう意味ですか?

Kyverno は CNCF の Kubernetes ポリシエンジンで、新しい DSL を使わずネイティブな YAML で記述したポリシによりリソースの検証・変更・生成を行います。

Kyverno はどのように機能しますか?

Kyverno はアドミッション webhook として導入され、YAML で記述された ClusterPolicy または Policy の CR に基づき、selector、match、validate、mutate、generate、verifyImages などのルールを実行します。ポリシ言語が Kubernetes オブジェクトの構造に沿っているため、マニフェストに慣れたチームは Rego を覚えずにルールを書けます。さらにイメージ検証(Cosign/Notation)、既存リソースに対するバックグラウンドスキャン、例外ワークフロー、新規名前空間作成時の依存オブジェクト(NetworkPolicy、RoleBinding)の自動生成にも対応します。Pod Security Standards、イメージ署名、ラベル規約、サプライチェーン証明の強制によく使われ、アドミッションポリシ領域で OPA Gatekeeper と競合します。

Kyverno からどのように防御しますか?

Kyverno に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Kyverno の別名は何ですか?

一般的な別名: Kyverno ポリシ, ClusterPolicy。

関連用語