本文の内容は、2025年6月11日に Sysdig Team が投稿したブログ(https://sysdig.com/blog/top-15-kubectl-plugins-for-security-engineers/)を元に日本語に翻訳・再構成した内容となっております。
Kubernetes環境はますます複雑化しています。マルチクラウド環境、エッジデプロイメント、そして増え続けるコンプライアンス要件などにより、クラスターを安全に運用し続けることは容易ではありません。セキュリティチームは迅速に行動し、設定ミスを早期に発見し、インシデント化する前に脅威を特定する必要があります。
ここでkubectl プラグインが役立ちます。
これらのツールは、kubectl に様々な追加機能を提供します。RBAC権限の調査からネットワークトラフィックのスニッフィング、クラウドプロバイダーからのシークレットの取得まで、あらゆる機能を提供します。これらのツールは、クラスター全体のセキュリティ強化、より迅速な操作、より詳細な情報の確認に役立ちます。
この記事では、 2025年のセキュリティチームに最適なkubectlプラグインを厳選しました。疑わしい行動を追跡したい場合でも、アクセス制御の可視性を高めたい場合でも、単調な作業を自動化したい場合でも、きっと役立つものが見つかるはずです。
Kubectl プラグインとは何ですか (そしてなぜセキュリティ チームが気にする必要があるのですか)?
Kubectlプラグインは、標準のkubectlツールに追加機能を追加するコマンドライン拡張機能です。通常、ワークフローに直接統合できる、小型で専用に設計されたツールです。ツールを切り替えたり、カスタムスクリプトを書いたりする代わりに、kubectl access-matrixやkubectl sniffなどのコマンドをターミナルから直接実行することで、目的の出力を素早く得ることができます。
セキュリティエンジニアにとって、これらのプラグインは特に便利です。次のようなことに役立ちます。
- 権限を監査し、RBAC 構成を視覚化する
- ネットワークアクティビティまたはポッドレベルのシステムコールをトレースして疑わしい動作を検出する
- シークレットをより安全に(そしてより少ない手作業で)管理
- リアルタイムの可視性でインシデント対応をスピードアップ
- ポリシーの適用とアクセスレビューを容易にすることでコンプライアンスを維持
つまり、セキュリティ エンジニア向けのトップ kubectl プラグインは、単にあれば便利なだけではなく、Kubernetes 環境全体で効率的に作業し、リスクを軽減するために不可欠です。
ただし、プラグインにはいくつか注意点があります。すべてのプラグインが定期的にメンテナンスされているわけではなく、公式に監査されていないものもあります。プラグインをインストールすると、多くの場合、クラスターのデータや認証情報へのアクセスを許可することになります。そのため、プラグインをデプロイする前に、以下の点を確認することをお勧めします。
- プラグインは積極的にメンテナンスされ、オープンソースですか?
- それは組織のセキュリティ ポリシーと一致していますか?
- CI/CD パイプラインで制限したりサンドボックス化したりできますか?
- 機密データやログを公開しますか?
kubectlプラグインは、慎重に使用すれば、セキュリティチームにとって大きな力となります。重要なのは、ニーズに合った適切なプラグインを選択し、安全に使用する方法を理解することです。
セキュリティエンジニア向けのトップ Kubectl プラグイン(2025 年版)
| プラグイン名 | 維持(2025年) | K8sサポート | セキュリティユースケース | 注記 |
| access-matrix | ✅ はい | 1.30以上 | RBAC監査 | リソース全体のアクセス権を視覚化します。( GitHub ) |
| rolesum | ✅ はい | 1.28以上 | 役割の概要とアクセスレビュー | ユーザー、グループ、またはサービス アカウントのロールについてまとめます。( GitHub ) |
| kubectl-trace | ⚠️ 部分的 | 1.29以上 | システムコールトレース(eBPF) | bpftrace プログラムをスケジュールします。最終リリースは 2021 年です。( GitHub ) |
| kubectl-capture | ✅ はい | 1.30以上 | ポッドレベルのシステムコールキャプチャ | Sysdig を使用してシステムコールキャプチャをトリガーします。 ( GitHub ) |
| ksniff | ⚠️ 部分的 | 1.27以上 | パケットキャプチャ | tcpdump と Wireshark を利用します。最終リリースは 2020 年です。( GitHub ) |
| np-viewer | ✅ はい | 1.31以上 | ネットワークポリシーの可視化 | ネットワークポリシールールを視覚化します。( GitHub ) |
| kubectl-cilium | ⚠️ 部分的 | 1.30以上 | CNIレベルのネットワーク可観測性 | Cilium と連携します。最終リリースは 2021 年です。( GitHub ) |
| kubelogin | ✅ はい | 1.28以上 | OIDC ログインヘルパー | Azure 認証を容易にします。( GitHub ) |
| rbac-tool | ⚠️ 部分的 | 1.26以上 | ロールベースのアクセス分析 | 最新の API への更新が必要になる場合があります。 |
| kubectl-whisper-secret | ⚠️ 部分的 | 1.30以上 | 暗号化された秘密管理 | 安全な入力を介してシークレットを作成します。最終更新は 2021 年です。( GitHub ) |
| kubectl-ssm-secret | ⚠️ 部分的 | 1.29以上 | AWSパラメータストアの統合 | AWS SSM からシークレットをインポートします。最終更新は 2019 年です。( GitHub ) |
| cert-managerplugin | ✅ はい | 1.30以上 | 証明書ライフサイクル管理 | cert-manager リソースを管理します。(ドキュメント) |
| inspektor-gadget | ✅ はい | 1.31以上 | eBPFベースの可観測性とデバッグ | イメージベースのガジェットへの移行、組み込みガジェットは廃止。(ブログ) |
| kube-policy-advisor | ✅ はい | 1.30以上 | ポリシーリンティングと最小権限チェック | Pod セキュリティ ポリシーまたは OPA ポリシーを生成します。( GitHub ) |
| stern | ✅ はい | 1.28以上 | マルチポッドのログテーリング | 複数のポッドとコンテナからのログを追跡します。( GitHub ) |
アクセスコントロールとRBAC監査
これらのプラグインを使用すると、Kubernetes RBAC 構成の理解、監査、トラブルシューティングが容易になります。権限の厳格化、構成ミスの調査、コンプライアンスレビューの準備など、どのような作業でも、これらのツールは必要な可視性を提供します。
1. access-matrix – 誰が何にアクセスできるかを視覚化する
便利な理由: セキュリティ インシデントのデバッグやアクセス レビューを行うときに、ユーザーとサービス アカウントがクラスター全体で何ができるかを一目で確認すると役立ちます。access -matrix (旧称 rakkess) は、リソース タイプ別の RBAC 権限のマトリクス形式のビューを提供します。
セキュリティのユースケース:
- 最小権限コンプライアンスのために権限を迅速に監査する
- 過剰な権限を持つロールやクラスタ管理者の拡散を検出する
- オンボーディング/オフボーディング中にアクセススコープを検証する
使用例:
kubectl access-matrix --user dev-team --namespace prod
2. rolesum – あらゆるアイデンティティのRBACロールを要約する
役立つ理由:rolesumは、ユーザー、グループ、またはサービスアカウントに付与されたすべての有効な権限(クラスターのロールとバインディングを含む)を出力する、シンプルながらも強力なプラグインです。簡単なレビューや予期しないアクセス問題のデバッグに最適です。
セキュリティのユースケース:
- サービスアカウントが実際に何ができるかを検証する
- 権限昇格ベクトルのトラブルシューティング
- 対象を絞ったアクセスレビューを実行する
使用例:
kubectl rolesum -u system:serviceaccount:prod:api-sa
GitHub: Ladicle/kubectl-rolesum
3. rbac-tool – RBAC の設定を詳細に調べる
役立つ理由:rbac-tool は、クラスター内のロール、クラスターロール、バインディングを調べるための CLI と UI を提供します。より詳細な権限監査を行う際や、コンプライアンスのためのドキュメントを作成する際に役立ちます。
セキュリティのユースケース:
- 複雑なRBACツリーをナビゲートする
- 未使用または重複した役割を特定する
- アクセスレビューの準備
例:
kubectl rbac-tool who-can get pods
GitHub: FairwindsOps/rbac-tool
⚠️注意: rbac-tool は依然として便利ですが、最近はアクティブなアップデートが行われていません。新しいクラスターで使用する前に、ステージング環境でテストしてください。
4. kube-policy-advisor – 過度に許可されたRBACを見つける
メリット:このプラグインは既存のRBAC権限をスキャンし、より安全なポリシーの推奨事項を生成します。最小限の権限を強制し、潜在的なリスクを早期に特定するのに最適です。
セキュリティのユースケース:
- ワイルドカード(*)を使用してロールにフラグを設定する
- より制限的なポリシーを生成する
- OPAまたはKyvernoとの統合
例:
kubectl policy-advisor -n devGitHub: sysdiglabs/kube-policy-advisor
ランタイム可観測性とインシデント対応
何か問題が発生したり、疑わしい状況になったりしたときは、ポッド内で何が起こっているかを迅速かつ低レベルで可視化する必要があります。これらのプラグインを使用すると、システムコールのトレース、トラフィックのキャプチャ、コンテナの挙動の詳細な調査を、処理速度を低下させることなく簡単に行うことができます。
5. kubectl-capture – Sysdigでコンテナのシステムコールをキャプチャする
役立つ理由:Sysdig Labsによって開発されたkubectl-captureは、稼働中のKubernetesポッドからシステムコールのキャプチャをトリガーするためのCLIツールです。FalcoおよびSysdigと統合することで、サイドカーや永続エージェントを必要とせずに豊富なトレースデータを生成します。
セキュリティのユースケース:
- 侵害の可能性があるワークロードを調査する
- 予期しない動作をリアルタイムで監査
- インシデント対応中に法医学的証拠を収集する
例:
kubectl capture start -n prod -p web-podGitHub: sysdiglabs/kubectl-capture
6. kubectl-trace – オンデマンドで動的なBPFトレースを実行する
役立つ理由:このプラグインを使用すると、Kubernetesポッド上でbpftraceプログラムを直接起動し、システムコール、ファイルアクセス、ネットワーク動作をトレースできます。最近は更新されていませんが、単発の調査には強力なツールとして役立ちます。
セキュリティのユースケース:
- 詳細な実行時動作をキャプチャする (例: execve、open)
- マルウェアや疑わしいシェルアクティビティの兆候を監視する
- パフォーマンスのボトルネックやシステムコールの誤用をトレースする
例:
kubectl trace run nginx --e 'tracepoint:syscalls:sys_enter_execve'
⚠️ 注意: kubectl-trace のメンテナンスは制限されています。最新のクラスターで慎重にテストしてください。
7. inspektor-gadget – 強力なeBPFベースの可視性スイート
役立つ理由:inspektor-gadgetは、Kubernetes用の単一のCLIプラグインにバンドルされたeBPFツールのコレクションです。システムコールのトレース、コンテナのプロファイリング、ネットワーク挙動の検査をサポートします。他のツールよりも重いですが、積極的にメンテナンスされており、急速に進化しています。
セキュリティのユースケース:
- エージェントなしでポッド/コンテナの動作を監視する
- システムコールの使用量の急増を検出する
- 脅威ハンティングのための詳細なランタイムテレメトリをキャプチャ
例:
kubectl gadget top syscalls -n dev✅ 2025 年には、プロジェクトは展開を容易にするためにイメージベースのガジェットに移行します。
ネットワークセキュリティとトラフィックの可視性
ネットワークの不適切な構成や過剰な接続許可は、Kubernetes におけるセキュリティリスクの一般的な原因です。これらの kubectl プラグインは、セキュリティチームがトラフィックを可視化し、パケットをキャプチャし、ネットワークポリシーを確実に適用するのに役立ちます。
8. ksniff – ポッドからのネットワークパケットをキャプチャする
役立つ理由:ksniffはKubernetesと従来のネットワークツールの間のギャップを埋めます。ターゲットポッド内でtcpdumpを使用し、パケットをローカルのWiresharkインスタンスにストリーミングします。メンテナンスは頻繁に行われていませんが、ターゲットを絞ったリアルタイムデバッグには依然として有効です。
セキュリティのユースケース:
- サービス間のラテラルムーブメントを調査する
- インシデント対応やマルウェア分析のためにペイロードをキャプチャする
- 実際に何が流れているかを確認してネットワークポリシーを検証する
例:
kubectl sniff auth-service-123 -n staging⚠️ 積極的にメンテナンスされていません。CNI およびランタイムとの互換性を確認してください。
9. np-viewer – Kubernetesネットワークポリシーを視覚化する
役立つ理由:Kubernetesネットワークポリシーの作成とデバッグは難しい場合があります。np -viewerは、ポッド、サービス、ルール間の関係を視覚化することで、その作業を容易にします。障害や脆弱性につながる前に、構成ミスを軽快に検出できるツールです。
セキュリティのユースケース:
- ポリシーが最小権限を適用していることを検証する
- ギャップや過度に許容された入口/出口を検出する
- ロールアウト中にポリシーの影響を確認する
例:
kubectl np-viewer -n productionGitHub: runoncloud/kubectl-np-viewer
10. kubectl-cilium – Ciliumネットワークポリシーの管理と監視
役立つ理由:クラスターでCiliumをCNIとして使用している場合、このプラグインを使用すると、ネットワークフロー検査やポリシー管理といったCilium固有の機能にCLIレベルでアクセスできるようになります。プラグイン自体は最近更新されていないことに注意してください。CiliumのHelmチャートとCLIの方が積極的にメンテナンスされています。
セキュリティのユースケース:
- レイヤー7でサービス間フローを検査する
- kubectl 経由で Cilium ネットワーク ポリシーを管理する
- ドロップされたトラフィックや誤ってルーティングされたトラフィックをデバッグする
例:
kubectl cilium monitorGitHub: bmcustodio/kubectl-cilium
⚠️ メンテナンスは不確実です。新しい代替手段では、より幅広い機能が提供される可能性があります。
シークレット管理とアイデンティティプラグイン
シークレットをハードコーディングしたり、証明書を手動で管理したりすると、深刻なセキュリティ問題につながる可能性があります。これらのプラグインは、シークレット処理の自動化、暗号化、外部化を支援し、認証情報の安全性とクラスターのクリーン性を維持します。
11. kubectl-whisper-secret – シークレット情報を保存する前に暗号化する
役立つ理由:このプラグインは、プレーンテキストのシークレットをGitにコミットしたり、マニフェストに直接挿入したりする手間を省きます。Mozilla SOPSと統合することで、暗号化されたKubernetesシークレットをローカルで作成し、クラスターに安全に適用します。
セキュリティのユースケース:
- コミットする前に、KMS、GPG、またはageでシークレットを暗号化する
- GitOpsワークフローでシークレットデータを管理する
- デプロイメント中のシークレットの露出を減らす
例:
kubectl whisper-secret apply -f secret.yaml
GitHub: rewanthtammana/kubectl-whisper-secret
⚠️ 最終更新は 2021 年です。まだ役立ちますが、現在の SOPS バージョンでテストしてください。
12. kubectl-ssm-secret – AWS SSMからシークレットを取得する
役立つ理由:AWS Systems Manager パラメータストアから直接シークレットを取得することで、マニフェストへのシークレットのハードコーディングを回避できます。これは、Kubernetes 内でシークレットマネージャーを実行せずにシークレットを一元管理したいクラウドネイティブ環境で特に役立ちます。
セキュリティのユースケース:
- デプロイ時に AWS から認証情報を安全に取得する
- クラスター内のシークレットの拡散を排除
- IAM ロールと統合してきめ細かなアクセスコントロールを実現
例:
kubectl ssm-secret deploy /app/db-password --name db-secretGitHub: pr8kerl/kubectl-ssm-secret
⚠️ プラグインは最近更新されていません。本番環境で使用する前にテストしてください。
13. cert-manager kubectlプラグイン – KubernetesでTLS証明書を管理する
役立つ理由:cert-manager を使って証明書の自動プロビジョニングを行っている場合、このプラグインを使うと、kubectl 経由で証明書リクエスト、発行者、証明書を素早く検査できます。軽量で、積極的にメンテナンスされています。
セキュリティのユースケース:
- 失敗した証明書更新のトラブルシューティング
- 有効期限と発行者の問題を監視する
- 証明書ステータスをCI/CDチェックに統合する
例:
kubectl cert-manager status certificate prod-app-tls14. kubelogin – OIDC(Azure ADなど)経由で認証する
役立つ理由:クラスターがOIDCベースの認証(Azure AD、Google Cloudなど)を使用している場合、kubeloginはユーザーがターミナルから認証情報を生成・更新するのに役立ちます。ブラウザを必要とせず、フェデレーションアクセスを簡素化します。
セキュリティのユースケース:
- OAuth2フローによる開発者ログインの自動化
- 静的なkubeconfigsを短命トークンに置き換える
- クラウドIAM経由でIDベースのアクセスを強制する
例:
kubelogin get-token --login azurecli
15. stern – 複数のポッドのログをリアルタイムで追跡
役立つ理由:sternは、複数のポッドやコンテナからのログを一度にストリーミングできる kubectl プラグインです。正規表現フィルタリング、JSON パース、色分け出力などの機能が組み込まれています。インシデント対応において非常に役立ち、デプロイメント全体にわたるノイズや異常な振る舞いを迅速に特定できます。
セキュリティのユースケース:
- 繰り返し発生するエラーパターンやエクスプロイトの試みを監視する
- 攻撃の疑いがあるときにポッド全体のログイベントをトレースする
- インシデント発生時のネームスペース全体でのワークロードの動作を相関させる
例:
stern payment-api -n prodツールボックスにこれらのプラグインを追加すると、開発を遅らせることなくクラスターをより安全に保護できるようになります。
DIY kubectlプラグイン
コマンドラインコマンドを記述できるプログラミング言語やスクリプトであれば、どんな言語でもプラグインを作成できます。プラグインのインストールや事前のロードは不要なので、プラグインのコンパイルは非常に簡単です。
プラグイン実行可能ファイルは、kubectl バイナリから継承された環境を受け取ります。
そのプラグインは、名前に基づいて実装したいコマンドパスを決定します。たとえば、kubectl-sysdigという名前のプラグインは、kubectl sysdigというコマンドを提供します。
プラグインの実行ファイルをPATH内のどこかにインストールする必要があります。
プラグイン スクリプトは次のようになります。
#!/bin/bash
# optional argument handling
if [[ "$1" == "version" ]]
then
echo "1.0.0"
exit 0
fi
# optional argument handling
if [[ "$1" == "config" ]]
then
echo "$KUBECONFIG"
exit 0
fi
echo "I am a plugin named kubectl-sysdig"
kubectlプラグイン トップ15 – まとめ
以上が、2025年におけるセキュリティエンジニア向けのkubectlプラグインのまとめです。アクセスコントロールからネットワークの可視化、シークレット管理に至るまで、これらのツールはkubectlの活用をさらに深め、デリバリーを遅らせることなくKubernetesのセキュリティ体制を強化するのに役立ちます。
Sysdigでは、セキュリティのシフトレフトを強く推奨しています。つまり、ランタイムのインサイト、脅威検出、コンプライアンスをDevOpsワークフローに直接組み込むことです。kubectl-captureでの不審な振る舞いの調査、RBAC設定の確認、ネットワークポリシーの強化など、これらのプラグインはその第一歩となります。リアルタイム検知、監査証跡、クラウドネイティブなフォレンジックにさらに踏み込みたい方には、Sysdigがお手伝いできます。
注:本記事は、Nigel Douglas によって2023年に執筆された記事の改訂版です。