Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 1248

ワークロード ID

ワークロード ID とは何ですか?

ワークロード IDサービス・コンテナ・関数に割り当てられる暗号的 ID で、長期間の共有シークレットなしに他システムへ認証するために使われる。

ワークロード ID は、Kubernetes Pod、サーバレス関数、仮想マシン、バッチジョブといった各ワークロードに対し、共有の静的キーではなく、独自の短命でアテステーション済みの資格情報を付与する考え方です。クラウドネイティブな実装として、GKE Workload Identity(Kubernetes ServiceAccount を Google ServiceAccount にマッピング)、AWS IAM Roles for Service Accounts(IRSA、OIDC フェデレーション利用)、Azure Workload Identity、SPIFFE/SPIRE ベースの ID などがあります。ワークロードはローカルの信頼できるエンドポイント(IMDS、kubelet、エージェント)からトークンや X.509 SVID を取得し、クラウド API、データベース、他サービスへの呼び出しに用います。本モデルはゼロトラストの基盤であり、資格情報漏洩時の影響範囲を大きく狭めます。

  1. 01

    GKE Workload Identity により Pod がマッピングされた Google ServiceAccount で Cloud Storage を呼び出す。

  2. 02

    AWS IRSA で EKS Pod が投影された OIDC トークンを使い IAM ロールを引き受ける。

よくある質問

ワークロード ID とは何ですか?

サービス・コンテナ・関数に割り当てられる暗号的 ID で、長期間の共有シークレットなしに他システムへ認証するために使われる。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

ワークロード ID とはどういう意味ですか?

サービス・コンテナ・関数に割り当てられる暗号的 ID で、長期間の共有シークレットなしに他システムへ認証するために使われる。

ワークロード ID はどのように機能しますか?

ワークロード ID は、Kubernetes Pod、サーバレス関数、仮想マシン、バッチジョブといった各ワークロードに対し、共有の静的キーではなく、独自の短命でアテステーション済みの資格情報を付与する考え方です。クラウドネイティブな実装として、GKE Workload Identity(Kubernetes ServiceAccount を Google ServiceAccount にマッピング)、AWS IAM Roles for Service Accounts(IRSA、OIDC フェデレーション利用)、Azure Workload Identity、SPIFFE/SPIRE ベースの ID などがあります。ワークロードはローカルの信頼できるエンドポイント(IMDS、kubelet、エージェント)からトークンや X.509 SVID を取得し、クラウド API、データベース、他サービスへの呼び出しに用います。本モデルはゼロトラストの基盤であり、資格情報漏洩時の影響範囲を大きく狭めます。

ワークロード ID からどのように防御しますか?

ワークロード ID に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

ワークロード ID の別名は何ですか?

一般的な別名: サービス ID, Pod ID。

関連用語

関連項目