概要

CIS Kubernetes Benchmark v1.12.0 に準拠した監査スクリプト集です。シェルで書かれたシンプルな実行可能スクリプト（cis_kubernetes_benchmark.sh）を中心に、CISが定めるセキュリティ基準に沿った各種チェックを自動実行します。コントロールプレーン、ノード設定、kubelet、コンテナランタイム、RBACやAPIサーバーのフラグなどを点検し、問題箇所を報告。出力のフィルタリング機能や「三層チェック機構」を持ち、ローカル実行で手早く監査を行いたい運用者向けのツールです。

リポジトリの統計情報

スター数: 2
フォーク数: 0
ウォッチャー数: 2
コミット数: 5
ファイル数: 5
メインの言語: Shell

主な特徴

CIS Kubernetes Benchmark v1.12.0 に準拠したチェックを自動実行
単一のシェルスクリプトで手軽に監査可能（cis_kubernetes_benchmark.sh）
出力フィルタリングと三層チェック機構で柔軟なレポーティング
MITライセンスで利用・改変が容易

技術的なポイント

本プロジェクトはシェル（Shell）で実装された軽量な監査ツールで、CIS v1.12.0 の要件に基づく多数のチェックを順に実行します。技術的に注目すべき点は以下です。

実行環境と権限: 多くのチェックはノード上でのファイルやプロセス、systemdユニット、kubelet設定、コンテナランタイムの設定確認を行うためroot権限または同等のアクセスが必要です。これは手早いローカル監査に適しますが、リモートAPIのみで完結するツールほど安全な限定実行はできません。
三層チェック機構: READMEにある「三層チェック」は（例えば設定ファイルの存在確認 → 内容の妥当性検証 → 実行中プロセスやフラグの確認）のように段階的に確認することで誤検知を減らし、状況に応じた判定を出力する設計を想定させます。これにより単なる有無チェックより実用的な結果が得られます。
出力とフィルタリング: 結果は標準出力へ出力され、フィルタリング機能で必要なチェック項目だけを表示することが可能です。CIやログ収集に組み込む際に不要なノイズを抑えられます。
ベンチマークの適用範囲: CIS v1.12.0に合わせた設計のため、対象となるKubernetesのバージョンや推奨設定は当該基準に準拠します。新しいKubernetesリリースではチェック項目や推奨設定が変化しているため、最新クラスタに使う場合はスクリプトの更新や別ツール（例: kube-bench 等）との比較検討が必要です。
拡張性と実装のトレードオフ: シェル実装は依存が少なく導入が簡単ですが、複雑なロジックやJSON/YAMLパース、高度なAPI呼び出しを行うには限界があります。大規模自動化や詳細レポートが必要ならば、別言語での実装や集約ツールとの連携が望まれます。