Certified Kubernetes Security Specialist (CKS) #1: 試験環境: CKA 前提、ツール、試験時間の運用
CKA シリーズ 27 編 でクラスターをインストールし、運用し、直す管理者の仕事を身に付けたなら、最後の段階は そのクラスターをどう安全に守るか です。CNCF Kubernetes 認定のうち、セキュリティ専門家視点の実技試験が Certified Kubernetes Security Specialist (CKS) です。本シリーズは CKS 合格に必要なすべてのドメインを 20 編で解きほぐすトラックです。
CKS は新しいリソースを作る試験ではなく、すでに動いているクラスターの攻撃対象領域を減らす 試験です。コンテナをカーネルレベルで閉じ込め、イメージを検証し、ランタイムで異常な振る舞いを捕まえます。そのためこの最初の記事は、試験の構造だけでなく、CKS が扱う セキュリティツールの大きな絵 と試験中にドキュメントをどう使うかまで一緒に押さえます。
CKS はどんな資格か #
CKS は Kubernetes クラスターとその上のワークロードを攻撃から守る能力 を実技で検証する資格です。CKA がクラスターを動かし続ける仕事だったなら、CKS はそのクラスターの 攻撃対象領域を減らし、侵入を検知し、被害を閉じ込める 仕事に集中します。次のような作業を空のターミナルで制限時間内に終えられるかを見ます。
- NetworkPolicy で default deny を敷き、必要な通信だけを開く
- AppArmor と seccomp でコンテナのシステムコールを制限する
- Pod Security Admission で危険な Pod を拒否する
- イメージを Trivy でスキャンし cosign で署名を検証する
- OPA/Gatekeeper や Kyverno でポリシーを強制する
- Falco でランタイムの異常な振る舞いを検知し audit log を分析する
この試験に通った人はクラスターを運用するだけにとどまらず、攻撃者の視点で弱点を見つけて塞ぐ ことができます。
CKA 保有が前提条件 #
CKS は受験予約の時点で 有効な CKA 資格を持っていなければ 登録できない唯一の CNCF Kubernetes 認定です。CKA の運用知識 (kubeadm、etcd、RBAC、トラブルシューティング) を当然知っているものとして前提にし、その上にセキュリティを積み上げます。したがって CKA シリーズ を先に終えた状態でこのトラックに入ることをおすすめします。
どんな人に価値があるか #
| 職種 | 効用 |
|---|---|
| プラットフォーム / セキュリティエンジニア | Kubernetes セキュリティ設計と運用の最上位の証明 |
| DevSecOps | サプライチェーン・ランタイムセキュリティツールの実務的な実力 |
| SRE / インフラエンジニア | CKA の次のセキュリティの深さの確保 |
| コンプライアンス担当 | CIS benchmark・ポリシー強制の実務的な理解 |
CKS は CNCF Kubernetes 認定 3 種 (CKAD・CKA・CKS) のうち最も専門的でツール集約的な試験です。6 つのドメインがそれぞれ異なるツールを要求するので、ツールごとの使い方を身に付けることが合格の核心です。
試験の構造 #
CKS 試験の表面的な情報は短く覚えておく価値があります。
| 項目 | 値 |
|---|---|
| 形式 | 実技 (performance-based)。実際のクラスターで作業 |
| 問題数 | 約 15〜20 個の作業 (task) |
| 試験時間 | 2 時間 |
| 合格ライン | 67% |
| 受験料 | $395 USD (再受験 1 回を含む) |
| 有効期間 | 2 年 |
| 受験資格 | 有効な CKA 資格が必須 |
| ドキュメント閲覧 | kubernetes.io/docs のほか、Falco、Trivy、AppArmor、gVisor など指定ツールのドキュメント閲覧が許可される |
| 受験方式 | オンライン監督 (PSI)。リモートターミナル |
| Kubernetes バージョン | 受験時点の最新マイナーバージョン基準 (予約時に確認) |
CKA と決定的に違う点 #
CKA はクラスターを作って直す試験でした。CKS は すでに動いているクラスターをより安全に変える 試験です。そのため同じ kubectl を使っても、作業の目標が異なります。「この Pod が root で動かないようにせよ」「この namespace に default deny を適用せよ」「このイメージの脆弱性をスキャンせよ」といったセキュリティ志向の作業が出ます。さらに Kubernetes の外の Linux セキュリティツール (AppArmor、seccomp、Falco) をノードで直接扱う作業が多く、CKA より Linux システムセキュリティの感覚 がより必要です。
合格ライン 67% #
CKS の合格ラインは 67% で、CKA・CKAD の 66% より 1 段階高いです。作業単位で採点され、一部には部分点があります。ツールごとに使い方が異なり 1 つの作業で詰まりやすいので、手に馴染んだ作業から確実に点数を積み上げる運用が重要です。
6 つのドメインの比重 #
CKS の出題範囲は 公式試験カリキュラム に 6 つのドメインで整理されています。
| # | ドメイン | 比重 | シリーズ対応 |
|---|---|---|---|
| 1 | Cluster Setup | 10% | #2 · #3 |
| 2 | Cluster Hardening | 15% | #4 · #5 |
| 3 | System Hardening | 15% | #6〜#8 |
| 4 | Minimize Microservice Vulnerabilities | 20% | #9〜#12 |
| 5 | Supply Chain Security | 20% | #13〜#15 |
| 6 | Monitoring, Logging and Runtime Security | 20% | #16〜#18 |
比重はそのまま学習時間の配分ガイドになります。後ろの 3 つのドメイン (マイクロサービス・サプライチェーン・ランタイム) がそれぞれ 20% で合わせて 60% を占めます。この 3 つのドメインが合否を左右し、それぞれ PSA・イメージスキャン/署名・Falco といった別々のツールを要求するので、ツールの習熟度がそのまま点数になります。
CKS が扱うセキュリティツールの大きな絵 #
CKS の学習はすなわちツールの学習です。本シリーズで扱うツールをドメインごとにあらかじめ 1 つの表に押さえておきます。
| 領域 | ツール | やること |
|---|---|---|
| ネットワーク | NetworkPolicy、Cilium | 通信の遮断、Pod 間の mTLS |
| ベンチマーク | kube-bench | CIS benchmark の点検 |
| システム | AppArmor、seccomp | システムコール・ファイルアクセスの制限 |
| ポリシー | Pod Security Admission、OPA/Gatekeeper、Kyverno | 危険な Pod・マニフェストの拒否 |
| 隔離 | gVisor、Kata Containers | カーネル隔離サンドボックス |
| イメージ | Trivy、Kubesec、cosign、SBOM | 脆弱性スキャン、署名検証 |
| ランタイム | Falco、audit log | 異常な振る舞いの検知、監査 |
各ツールが どんな攻撃を防ぐのか を一行で説明できてはじめて、試験で作業の意図を素早く把握できます。
学習戦略 #
1) ツールごとに手で 1 回ずつ #
CKS はツールごとの試験です。AppArmor プロファイルを直接ロードしてみて、seccomp プロファイルを Pod に付けてみて、Falco ルールをトリガーしてみた人が試験会場で詰まりません。ローカルクラスターで各ツールを 1 回ずつ直接動かしてみます。
2) ドキュメントの場所をあらかじめ覚える #
CKS は kubernetes.io/docs だけでなく Falco・Trivy・AppArmor・gVisor などの公式ドキュメント閲覧が許可されます。試験中にプロファイル文法やコマンドオプションをドキュメントから素早く探せるよう、各ツールのドキュメントのどこに何があるかをあらかじめ覚えておくことが時間を節約する道です。
3) 比重の高い後ろのドメインに重みを #
マイクロサービス・サプライチェーン・ランタイムの 3 つのドメインが 60% を占めます。前の Cluster Setup (10%) も重要ですが、合否を左右するのは後ろのドメインなので、PSA・イメージ署名・Falco に学習時間をより多く配分します。
4) 模擬試験は後半に #
本シリーズを一周したら、#20 にフルスケールの実技模擬試験を置いてあります。追加の練習が必要なら、killercoda の CKS シナリオや受験券に含まれる killer.sh の模擬環境が信頼できる基準です。
登録と受験環境 #
登録の手順 #
- 有効な CKA 資格を確認する。 CKS は CKA なしには受験を予約できない
- Linux Foundation 教育ポータル で CKS を購入。割引キャンペーンを活用可能
- 受験券に含まれる killer.sh 模擬試験 2 回 を活用
- PSI 監督システムで受験日を予約後、システム互換性チェックを通過
オンライン監督受験の準備 #
CKS はリモートターミナルに接続して作業するオンライン監督試験です。
- 身分証 — 英文表記のあるパスポートが最も安全。名前が登録情報と正確に一致する必要あり
- 受験環境 — 机の上のすべての物を片付け、デュアルモニターは 1 台だけ使用、家族・ルームメイトの出入りを遮断
- システム点検 — 受験 30 分前に入室してバックグラウンドアプリをすべて終了。安定した有線ネットワークを推奨
まとめ #
この記事で押さえたこと:
- CKS は Kubernetes セキュリティ専門家の実技資格。攻撃対象領域を減らし、侵入を検知し、被害を閉じ込める試験
- 有効な CKA 保有が受験の前提。約 15〜20 個の作業 / 2 時間 / 67% / $395 (再受験 1 回を含む) / 2 年有効
- 6 つのドメイン。Cluster Setup (10%)、Cluster Hardening (15%)、System Hardening (15%)、Minimize Microservice Vulnerabilities (20%)、Supply Chain Security (20%)、Monitoring, Logging and Runtime Security (20%)
- ツールがすなわち試験。NetworkPolicy・kube-bench・AppArmor・seccomp・PSA・OPA/Gatekeeper・Kyverno・gVisor・Trivy・cosign・Falco
- 学習戦略。ツールごとに手で 1 回ずつ。ドキュメントの場所を覚える。比重の高い後ろのドメインに重みを
次へ — NetworkPolicy 深掘り #
環境は押さえました。ここから最初のドメイン Cluster Setup の核心であるネットワーク隔離から入ります。
#2 NetworkPolicy 深掘り: default deny、ingress/egress では、デフォルトの all-allow 状態を default deny にひっくり返す方法、ingress と egress をそれぞれどう制限するか、podSelector と namespaceSelector を組み合わせて必要な通信だけを開くパターン、そして試験でよく出る「この namespace を隔離しつつ DNS だけ許可せよ」というタイプまで、直接作りながら整理します。