こんにちは!「ゴールデンクバーストロノート」を目指して走り続けているgasbugsです。ついに、旅の5番目の関門であり、最も重要なマイルストーンの一つであるCKS(Certified Kubernetes Security Specialist)資格を取得しました!🥳
今回のCKS合格により、CNCFが認定する「クバーストロノート(Kubestronaut)」資格を公式に達成しました。CKA、CKAD、CKS、KCNA、KCSAまで合計5つの資格を集めて達成した最初の目標なので、感慨もひとしおです。CKAを取得してから実に6年ぶりの取得となりました。もちろん、15個すべてを集める「ゴールデン」クバーストロノートまではまだ道のりは長いですが、大きな山を一つ越えたという思いで、達成感を隠しきれません!1週間以内にメールが届くとのことなので、受け取って登録しなければなりません。現在、韓国基準で80名の方がいらっしゃいます。
今回のCKS試験は、「セキュリティ専門家」という名にふさわしく、Kubernetesクラスターを安全に構築・運用する実践的な能力を非常に執拗に掘り下げる試験でした。2021年の経験と比較して、明らかに変化した最新の傾向を肌で感じることができました。これから、その熾烈な2時間の記録と、主要な出題ポイントを詳細に共有させていただきます。
🔥 2021年と比べて2025年のCKS、こう変わった!
まず、CKSを準備されている方が最も気になるであろう最新の出題傾向から見ていきましょう。2021年と比較して、試験の性格がかなり変わりました。
- Static Pod修正問題の大幅増加: 以前は一般的なPodやDeploymentを扱う比重が高かったのですが、今ではコントロールプレーンコンポーネントと直接関連する/etc/kubernetes/manifests内のStatic Pod設定を直接修正する問題が核心となりました。APIサーバー、スケジューラーなどの設定を変更する必要がある状況が増えました。
- 新規セキュリティ機能の必須出題: Pod Security Standards (PSS)とImagePolicyWebhookは、今やほとんど毎回出題される定番問題です。単に概念を知るだけでなく、実際の環境に適用し、トラブルシューティングする能力が必須です。
- コンテナランタイムセキュリティの強調: Dockerソケット(docker.sock)が持つ脆弱性を認識し、これを除去する方法を問う問題が出題されました。ホストとコンテナランタイム間のセキュリティ境界を理解することが重要になりました。
- サプライチェーンセキュリティ(SBOM)問題の登場: bomツールを使用してSBOM(Software Bill of Materials)を抽出し、特定のパッケージバージョンを使用するイメージを見つけて対処するなど、最新のサプライチェーンセキュリティトレンドを反映した問題が印象的でした。
- CKA領域の移動: 過去のCKAの定番問題であったワーカーノードのKubeletバージョンアップグレードのようなクラスター管理問題がCKSに移ってきたようです。クラスター自体のセキュリティ保守能力を合わせて評価しようという意図と見られます。
- プレッシャーのある時間管理: 最大の変化は、2時間という短い時間内に難しい実習問題を解決しなければならない点です。特にStatic Podの修正は、小さなミス一つがクラスター全体に影響を与える可能性があるため、迅速かつ正確な問題解決能力がより重要になりました。
🛡️ 実際の試験で直面した主要な課題
私が試験で経験した主要な課題を振り返ると以下の通りです。セキュリティの複数のレイヤーを横断し、総合的な理解度を評価する問題が主でした。
1. クラスターのセットアップと強化 (Cluster Setup & Hardening)
- Auditing: クラスターのすべての活動を監視するAuditing設定は基本中の基本でした。ログパス、監査ポリシーファイル(policy file)を直接作成し適用する能力を詳細に評価しました。📜
- Kubeletバージョンアップグレード: kubeadmで構成されたクラスターのワーカーノードKubeletバージョンを指定されたバージョンに安全にアップグレードする実務能力を検証しました。
- Kubelet認証/認可: KubeletのAuthentication/Authorization設定をWebhookモードに変更し、関連する証明書設定を有効にするなど、ノード-APIサーバー間の通信セキュリティを強化する問題が出題されました。
2. ワークロードおよびランタイムセキュリティ (Workload & Runtime Security)
- Pod Security Standards (PSS): restrictedプロファイルが適用されたネームスペースでデプロイ失敗イベント(Fail Event)を確認し、原因となるSecurity Contextを修正してデプロイを成功させる実践的なトラブルシューティング能力が求められました。
- DockerfileおよびDeploymentセキュリティ改善: DockerfileではUSER rootをUSER non-root-userに変更し、Deploymentではprivileged設定を削除するなど、コードとデプロイメント仕様の両方でセキュリティ脆弱性を見つけて改善する必要がありました。✍️
- ホストパスアクセス制御: ホストの/dev/memのような機密パスにアクセスするDeploymentを見つけ出し、直ちにscale 0で対処して脅威を除去する問題が出ました。(おそらくFalcoルールと関連するシナリオと推測されます。)
- Dockerソケットセキュリティ: セキュリティ上危険なdockerグループから特定のユーザーを削除し、Dockerソケットへの不正アクセスを遮断する能力を評価しました。
3. ネットワークおよびサプライチェーンセキュリティ (Network & Supply Chain Security)
- NetworkPolicy: Default Denyポリシーを基本に設定し、podSelector、namespaceSelector、cidrなど多様な条件を組み合わせて包括的なIngress/Egressルールを確立する能力を検証しました。🌐
- ImagePolicyWebhook: 特定のイメージのみを許可するImagePolicyWebhookを構成し、許可されていないイメージがクラスターで実行されることを根本的に遮断する高度なセキュリティポリシーを実装する必要がありました。
- SBOMベースの脆弱性対策: bomツールでイメージのSBOMを分析し、特定のバージョンの脆弱なパッケージを使用するイメージを識別し、そのイメージを使用するDeploymentから問題となるコンテナを削除するサプライチェーンセキュリティ問題が出題されました。📦
- TLS証明書管理: IngressのTLS通信のためのSecretを直接生成し適用する能力など、通信暗号化の基本を忠実に確認しました。
✨ 総評: Kubernetesセキュリティの実践総合版
CKSは単に知識を確認する試験ではなく、与えられた時間内に実際の運用環境で発生しうる多様なセキュリティ脅威を診断し、分析し、対処する「セキュリティエンジニア」の能力を総合的に評価する試験でした。
今回の合格で「クバーストロノート」という意味のあるマイルストーンを築きましたが、「ゴールデンクバーストロノート」まではまだ10個の資格が残っています。まだ半分にも達していませんね!しかし、この旅を通じて、単なる資格収集を超え、クラウドネイティブエコシステムに対する深い理解と専門性を積み重ねていく過程自体が楽しいです。
次の旅も多くの期待と応援をお願いします!皆様も楽しいクラウドネイティブの旅になりますように!🎉
タグ: CKS, Certified Kubernetes Security Specialist, Kubernetes, クバーストロノート, Kubestronaut, 資格取得体験記, CKS体験記, Kubernetes資格, CNCF, クラウドネイティブ, 情報セキュリティ, Kubernetesセキュリティ
コメントを残す