Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 838

Pod Security Standards

Pod Security Standards とは何ですか?

Pod Security StandardsPod Security Standards(PSS)は Kubernetes が定める Privileged・Baseline・Restricted の三段階セキュリティプロファイルで、安全な Pod 構成を体系化し、廃止された PodSecurityPolicy を置き換えます。

PSS は累進的な三つのプロファイルを定義します。Privileged は制限なしで、システム Pod 向けです。Baseline は hostNetwork、hostPID、hostPath、特権コンテナ、危険な capability など、よく知られた特権昇格経路を禁止します。Restricted は強化のベストプラクティス(runAsNonRoot、ルート FS の読み取り専用、seccomp RuntimeDefault、NET_BIND_SERVICE 以外の全 capability 破棄、ホスト名前空間や危険なボリュームの禁止)を強制します。Pod Security admission controller は名前空間ごとに enforce・audit・warn の三つのモードで適用します。PSS は PodSecurityPolicy の上流後継であり、通常は OPA GatekeeperKyverno と組み合わせます。

  1. 01

    名前空間に pod-security.kubernetes.io/enforce: restricted を付与する。

  2. 02

    Baseline enforce の名前空間で PSA が CAP_SYS_ADMIN を要求する Pod を拒否する。

よくある質問

Pod Security Standards とは何ですか?

Pod Security Standards(PSS)は Kubernetes が定める Privileged・Baseline・Restricted の三段階セキュリティプロファイルで、安全な Pod 構成を体系化し、廃止された PodSecurityPolicy を置き換えます。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

Pod Security Standards とはどういう意味ですか?

Pod Security Standards(PSS)は Kubernetes が定める Privileged・Baseline・Restricted の三段階セキュリティプロファイルで、安全な Pod 構成を体系化し、廃止された PodSecurityPolicy を置き換えます。

Pod Security Standards はどのように機能しますか?

PSS は累進的な三つのプロファイルを定義します。Privileged は制限なしで、システム Pod 向けです。Baseline は hostNetwork、hostPID、hostPath、特権コンテナ、危険な capability など、よく知られた特権昇格経路を禁止します。Restricted は強化のベストプラクティス(runAsNonRoot、ルート FS の読み取り専用、seccomp RuntimeDefault、NET_BIND_SERVICE 以外の全 capability 破棄、ホスト名前空間や危険なボリュームの禁止)を強制します。Pod Security admission controller は名前空間ごとに enforce・audit・warn の三つのモードで適用します。PSS は PodSecurityPolicy の上流後継であり、通常は OPA Gatekeeper や Kyverno と組み合わせます。

Pod Security Standards からどのように防御しますか?

Pod Security Standards に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Pod Security Standards の別名は何ですか?

一般的な別名: PSS, Pod Security Admission, PSA。

関連用語