security-inspector コンポーネントは、Container Service for Kubernetes (ACK) クラスターに対して、ワークロード構成を複数のディメンションにわたりスキャンすることで、セキュリティ検査を実行します。
概要
security-inspector は、クラスター内のワークロード構成をリアルタイムでスキャンし、セキュリティリスクを検出し、堅牢化(ハードニング)に関する推奨事項を提供します。以下の図に、コンポーネントのアーキテクチャを示します。
注意事項
security-inspector は、安全な構成の検査をサポートしています。また、FairwindsOps 社が提供するオープンソースツール「Polaris」と統合されており、Kubernetes ワークロード構成におけるセキュリティリスクをスキャンします。Polaris の詳細については、「Polaris GitHub リポジトリ」をご参照ください。
検査結果は、以下の 5 つのディメンションに分類され、それぞれ特定のリスク領域を対象としています。
ヘルスチェック:検出されない障害を引き起こす可能性のある、liveness プローブおよび readiness プローブの未設定または誤設定を検出します。
イメージ:タグの欠落など、安全性に問題のあるコンテナイメージ構成を使用しているものを特定します。
ネットワーク:不要なネットワークアクセスを公開するワークロード構成を検出します。
リソース:リソース競合を招く可能性のある、CPU およびメモリ制限の未設定を検出します。
セキュリティ:権限昇格、環境変数内へのプレーンテキスト形式の AccessKey ペアの格納、不適切な RBAC 権限など、高リスクのセキュリティ設定を検出します。
検査の実行手順については、「ACK クラスター内のワークロードを構成検査で確認する」をご参照ください。
リリースノート
以下の表には、security-inspector のすべてのリリースが一覧表示されています。タイプ 列では、各変更の種別を以下のように分類しています。
機能追加:新規の検査機能またはスキャン対象ディメンションの追加
修正:バグ修正または CVE パッチ適用
安定性向上:機能変更なしの依存関係アップグレード(Go バージョンなど)
改善:パフォーマンス、互換性、または構成に関する改善
2025 年 12 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.16.7 | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.16.7 | 2025-12-03 | 安定性 | 安定性向上のため、Go を 1.24.11 にアップグレードしました。 | 業務への影響はありません。 |
2025 年 8 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.16.6 | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.16.6 | 2025-08-11 | 安定性 | 安定性向上のため、Go を 1.24.6 にアップグレードしました。 | 業務への影響はありません。 |
2025 年 7 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.16.5.2-gffa860c-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.16.5.2-gffa860c-aliyun | 2025-07-09 | 安定性 | 安定性向上のため、Go を 1.24.4 にアップグレードしました。 | 業務への影響はありません。 |
2025 年 4 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.16.3.3-ge515753-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.16.3.3-ge515753-aliyun | 2025-04-16 | 安定性 | 安定性向上のため、Go を 1.24.2 にアップグレードしました。 | 業務への影響はありません。 |
| v0.16.2.0-gbce6b15-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.16.2.0-gbce6b15-aliyun | 2025-04-09 | 修正 | security-inspector 名前空間内のリソースが削除された場合に、コンポーネント Pod がクラッシュする問題を修正しました。コンポーネントは、今後クラッシュせずに、エラーメッセージをコンテナログに出力するようになります。 | 業務への影響はありません。 |
2025 年 3 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.16.1.0-gea4d02f-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.16.1.0-gea4d02f-aliyun | 2025-03-18 | 安定性 | 安定性向上のため、Go を 1.23.7 にアップグレードしました。 | 業務への影響はありません。 |
2025 年 1 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.16.0.0-g4e93dcd-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.16.0.0-g4e93dcd-aliyun | 2025-01-02 | 安定性 | 安定性向上のため、Go を 1.23.4 にアップグレードしました。 | 業務への影響はありません。 |
2024 年 10 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.15.0.0-g4218661-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.15.0.0-g4218661-aliyun | 2024-10-10 | 機能 | 環境変数内に格納されたプレーンテキスト形式の AccessKey ペアの検出機能を追加しました。 | 業務への影響はありません。 |
2024 年 8 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.14.1.0-g829a93d-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.14.1.0-g829a93d-aliyun | 2024-08-01 | 改善 | バージョン互換性を向上しました。 | 業務への影響はありません。 |
2024 年 7 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.14.0.0-gfc02c67-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.14.0.0-gfc02c67-aliyun | 2024-07-26 | 改善 | 本バージョンより、検査タスクが security-inspector 名前空間内で実行されるようになりました。 | 業務への影響はありません。 |
2024 年 3 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.13.0.0-g88dfa8f-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.13.0.0-g88dfa8f-aliyun | 2024-03-26 | 機能 | RBAC 検査を拡張し、ワイルドカード検出、cluster-admin ロール検出、およびデフォルトクラスターロール(system:basic-user、system:discovery、system:public-info-viewer)の変更検出を追加しました。 | 業務への影響はありません。 |
2024 年 2 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.12.0.7-g6f9d47f-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.12.0.7-g6f9d47f-aliyun | 2024-02-21 | 機能 | [アドオン] ページで、ホストネットワークの使用量とヘルスチェックポートを設定できるようになりました。 | 業務への影響はありません。 |
2023 年 12 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.11.0.3-ga2fad87-aliyun | registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.11.0.3-ga2fad87-aliyun | 2023-12-21 | 修正 | コンポーネントのアップグレード時に、security-inspector-polaris-cronjob の ttlSecondsAfterFinished フィールドに対するユーザーによる変更が保持されるようにしました。 | 業務への影響はありません。 |
2023 年 6 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.10.1.2-g13c9de7-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.10.1.2-g13c9de7-aliyun | 2023-06-02 | 修正 | - クラスターをバージョン 1.26.3-aliyun.1 にアップグレードした後に発生していたコンポーネントの不具合を修正しました。
- 定期スキャンを最適化し、同時に実行されるタスクが 1 つだけになるようにしました。これにより、クラスター内に保留中のタスク Pod が複数生成されることがなくなります。
| 業務への影響はありません。 |
2023 年 4 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.10.0.3-g15b35c4-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.10.0.3-g15b35c4-aliyun | 2023-04-13 | 改善 | Kubernetes 1.26 のサポートを追加しました。 | 業務への影響はありません。 |
2023 年 2 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.9.1.0-gcdddfa7-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.1.0-gcdddfa7-aliyun | 2023-02-27 | 修正 | コンポーネントのベースイメージに含まれていた CVE-2023-0286 を修正しました。 | 業務への影響はありません。 |
2022 年 12 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.9.0.0-g1d38ec6-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.0.0-g1d38ec6-aliyun | 2022-12-22 | 機能 | - Kubernetes 1.18 以降を実行する ACK サーバーレス クラスターのサポートを追加しました。
- Simple Log Service (SLS) のダッシュボードが誤って削除された場合に、コンポーネントコンテナを再起動することで自動復元する機能を追加しました。
| 業務への影響はありません。 |
| v0.8.3.2-ge5496db-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.2-ge5496db-aliyun | 2022-12-13 | 修正 | カナリー版リリース。プログラムの初期化を高速化し、コンポーネントのインストール直後に検査タスクが即座に実行されないという課題を解決しました。 | 業務への影響はありません。 |
2022 年 8 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.8.3.1-gf7bf0e0-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.1-gf7bf0e0-aliyun | 2022-08-30 | 改善 | SecurityInspectorConfigAuditHighRiskFound および SecurityInspectorConfigAuditFinished のイベントメッセージを改善し、詳細情報へのリンクを追加しました。 | 業務への影響はありません。 |
2022 年 6 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.8.2.16-gc84d60d-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.2.16-gc84d60d-aliyun | 2022-06-21 | 修正 | - Kubernetes 1.22 クラスターにおいて、
MountVolume.SetUp failed for volume "config" : object "kube-system"/"security-inspector-polaris-config" not registered イベントが発生する問題を修正しました。 - API サーバーへのリクエストを最適化し、大規模クラスターにおける負荷を軽減しました。
| 業務への影響はありません。 |
2022 年 4 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.8.1.0-g58d1a56-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.1.0-g58d1a56-aliyun | 2022-04-11 | 修正 | - 不適切なコンポーネント構成により、Pod をホストするノードが自動的にドレインされない問題を修正しました。
- 複数のクラスターが同じログプロジェクトを共有している場合に、検査レポートが正しく表示されない問題を修正しました。
| 業務への影響はありません。 |
2022 年 2 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.8.0.0-gb0edd1d-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.0.0-gb0edd1d-aliyun | 2022-02-15 | 修正 | privilegeEscalationAllowed 検査項目の深刻度レベルを「中」に設定しました。- Kubernetes 1.16 クラスターへの対応を強化し、<a href="https://github.com/kubernetes/kubernetes/issues/84880">#84880</a> で記述されている問題を修正しました。
| 業務への影響はありません。 |
2021 年 12 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.7.0.5-g8cc37b6-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.7.0.5-g8cc37b6-aliyun | 2021-12-03 | 機能 | - Kubernetes 1.22 のサポートを追加しました。本バージョンより、Kubernetes 1.16 以降のみがサポート対象となります。
- ARM64 アーキテクチャのサポートを追加しました。
| 業務への影響はありません。 |
2021 年 9 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.6.0.4-gc12ad66-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.6.0.4-gc12ad66-aliyun | 2021-09-20 | 機能 | - Kubernetes v1.20 向け CIS Kubernetes Benchmark v1.0.0 に対するスキャンをサポートしました。
capabilitiesAdded 検査項目を大文字・小文字を区別しないようにしました。詳細については、「ACK クラスター内のワークロードを構成検査で確認する」をご参照ください。
| 業務への影響はありません。 |
2021 年 6 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.5.0.2-g5e33765-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.5.0.2-g5e33765-aliyun | 2021-06-24 | 修正 | 複数のクラスターが同じ SLS プロジェクトを共有している場合に、レポートデータが正しく表示されない問題を修正しました。 | 業務への影響はありません。 |
2021 年 3 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.4.0.0-g541eb31-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.4.0.0-g541eb31-aliyun | 2021-03-15 | 機能 | - CIS Kubernetes ベースラインチェックのサポートを追加しました。
- スキャン実行時に Event Hub で確認可能な、以下の Kubernetes イベントを追加しました:
- <code>SecurityInspectorConfigAuditStart</code>:構成検査の開始
- <code>SecurityInspectorConfigAuditFinished</code>:構成検査の完了
- <code>SecurityInspectorConfigAuditHighRiskFound</code>:構成検査後の高リスク構成の検出
- <code>SecurityInspectorBenchmarkStart</code>:ベースラインチェックの開始
- <code>SecurityInspectorBenchmarkFinished</code>:ベースラインチェックの完了
- <code>SecurityInspectorBenchmarkFailedCheckFound</code>:ベースラインチェック後の失敗したスコア付きチェックの検出
| 業務への影響はありません。 |
2021 年 1 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.3.0.2-gcb49252-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.3.0.2-gcb49252-aliyun | 2021-01-05 | 機能追加 | 不適切な RBAC 構成を特定するため、匿名ユーザーによるアクセス権限のスキャンをサポートしました。 | 業務への影響はありません。 |
2020 年 12 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.2.0.22-gd1fbaff-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.2.0.22-gd1fbaff-aliyun | 2020-12-16 | 機能 | - 最新の検査結果を Custom Resource Definitions (CRDs) を使用して保存するようにしました。
- 必要に応じて、特定の検査項目を有効または無効にできるようになりました。
- ワークロードのホワイトリストを設定できるようになりました。
| 業務への影響はありません。 |
2020 年 7 月
| バージョン | イメージアドレス | 変更日 | タイプ | 変更内容 | 影響 |
|---|
| v0.1.0.3-g69f71f6-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.1.0.3-g69f71f6-aliyun | 2020-07-06 | 機能 | クラスター内のワークロードを検査し、検査レポートを生成するために、構成検査タスクを手動でトリガーできます。 | 業務への影響はありません。 |