SRGについて技術記事採用情報
SRGについて技術記事採用情報
HOME/技術記事/Kubestronautに合格するまでの資格攻略

Kubestronautに合格するまでの資格攻略

メディア統括本部 サービスリライアビリティグループ(SRG)の石川雲(@ishikawa_kumo)です。
#SRG(Service Reliability Group)は、主に弊社メディアサービスのインフラ周りを横断的にサポートしており、既存サービスの改善や新規立ち上げ、OSS貢献などを行っているグループです。
本記事では、私がKubestronautになるまでに受験した五つの試験について、それぞれの内容や出題傾向を分析します。いずれも半年前(2024/9~2025/6)の情報ですので、ご利用の際は最新情報をご確認ください。

はじめに

Kubestronautは、Cloud Native Computing Foundation (CNCF) が提供する5つのKubernetes関連資格すべてに合格した個人に与えられる称号です。
具体的には、CKA (Certified Kubernetes Administrator)、CKAD (Certified Kubernetes Application Developer)、CKS (Certified Kubernetes Security Specialist)、KCNA (Kubernetes and Cloud Native Associate)、KCSA (Kubernetes and Cloud Security Associate) の5つの有効な認定を同時に保有する必要があります。
CNCFはこのステータスに達したコミュニティメンバーを、特別なジャケットと共に「Kubestronaut」として認定します。
2024年に入りCKSの試験内容が更新されてから、日本語の具体的な攻略記事がまだ少ないと感じたため、本記事を執筆することにしました。
この記事では、Kubestronautを目指す方々に向けて、各資格の準備方法、出題傾向、そして高得点を取得するための具体的な戦略をご紹介します。
特に、筆者が再試験を経験したCKSについては、より詳細な解説を行います。

全ての試験に共通する準備

全ての試験は「PSI Secure Browser」という専用アプリケーションを使用して受験する必要があります。
このうち、CKA、CKAD、CKSはコマンド操作が求められる実技試験であり、KCNAとKCSAは選択問題形式の試験です。

PSI Secure Browserと遅延対策

このアプリケーションで最も注意すべき点は、操作の遅延です。
体感で80msから150ms程度の遅延があり、少しでも回答速度が落ちると、時間内に全ての問題を解き終えることが難しくなります。
この問題への唯一の解決策は、徹底的な練習です。
具体的には、以下の状態を目指しましょう。
  • 問題のタイトルと本文を見た瞬間に、問題の意図、使用すべきコマンドや作成するマニフェスト、参考にするべき公式ドキュメントの例が即座に思い浮かぶ。
  •  (kubectlのalias) コマンドを駆使して、ほとんどのマニフェストを迅速に生成できる。
  • ターミナルとブラウザ間のコピー&ペーストでミスをしない。特にMacの場合、Command+C/Vが使用できないなど、OSやブラウザによって操作が異なるため、試験購入時に提供されるKiller.shの模擬試験環境で十分に練習しておくことが重要です。

受験環境の準備

安定した受験環境を整えることも重要です。筆者も二度ぐらい大変な経験がありました。
  • 過去に受験経験がある場合でも、PSI Secure Browserは一度アンインストールし、再度インストールすることをお勧めします。インストール後にはPCを再起動しておくと、より安心です。筆者は一度、アプリケーションが起動しないトラブルに見舞われました。
  • 万が一のPCトラブルに備え、バックアップのPCを準備しておくことを強く推奨します。
  • 試験中はイヤホンやヘッドホンの使用は認められません。筆者は私用PCのマイクに問題があったためヘッドホンで受験しようとしましたが、試験官に外すよう指示されました。慌てて社用PCに切り替えて事なきを得ましたが、事前にマイクの動作確認は必須です。

難易度について

学習資料の豊富さや試験問題の難易度を総合的に評価すると、私の個人的な順位は以下の通りです。

CKA (Certified Kubernetes Administrator) 攻略

CKAは、5つの資格の中で最も学習資料や過去問に近い情報が豊富な試験です。少し調べればたくさん出てきます。

準備と練習方法

全ての実技試験もそうですが、CKA合格の鍵は、とにかく練習量です。試験範囲を網羅的にカバーするように練習しましょう。
問題数は変動しますが、2024年時点では16問から21問程度出題されることが多いようです。
以下の資料を活用して練習を進めましょう。
  • 試験購入時に付属するKiller.shの模擬試験(2回分)
推奨する練習の順番は以下の通りです。
  1. まず、コミュニティ製の練習問題を全て、最低2周は解きます。
  1. 次に、Killer.shの1回分を受験し、採点結果と回答を詳細に分析します。各問題の解答ポイントを自分なりにまとめましょう。セッションは36時間有効なので、時間内であれば何度も挑戦できます。3周ほど繰り返し解くことをお勧めします。
  1. 最後に、2回目のKiller.shに挑戦します。ここで90点以上を取得できれば、本番試験に向けた準備は万全と言えます。このセッションも36時間限定なので、本番試験の直前に起動するのが効果的です。
模擬試験は本番よりも少し難易度が高く設定されています。
特に、 や  のアップグレードに関する問題は、少しのミスが大きな時間ロスにつながるため、重点的に練習しておきましょう。
繰り返し練習すれば、ほぼ満点も取れます。(筆者の点数)

CKAD (Certified Kubernetes Application Developer) 攻略

筆者はCKAの後にCKADを受験したため、一部参考にならない点があるかもしれませんが、その経験を基に解説します。

準備と練習方法

CKADは問題数が多いのが特徴です(2024年情報: 25問)。
出題範囲の多くはCKAと重複していますが、ClusterUpgradeの問題が出題されず、Docker Image/Deployment Manifestに関する問題がいくつか出題されました。
以下の資料で練習しましょう。
  • 試験購入時に付属するKiller.shの模擬試験(2回分)
練習の進め方はCKAと同様です。
CKAに合格していれば、特別な対策なしでもCKADに合格できる可能性はありますが、時間との戦いになるため、練習を通じて回答速度を上げておくことが賢明です。
筆者はほとんど練習せずに挑戦しましたが、時間は非常に厳しく、点数も満足のいくものではありませんでした。

CKS (Certified Kubernetes Security Specialist) 攻略

CKSは、筆者が唯一再試験を受けた、最も手強い資格でした。

CKSの特徴と学習の指針

CKSの最大の特徴は、参考にできる過去問が極端に少ないことです。(2024年末更新されたため)
Killer.shの模擬試験と全く同じ問題は一問も出題されませんでした。
しかし、問われる知識自体は試験範囲に準拠しています。
模擬試験は、問題そのものを覚えるのではなく、試験環境に慣れ、関連知識を体系的に理解するために活用しましょう。
問題数は16問から18問程度で、これ以上多いと時間内に解ききることは困難です。
私は一回目で66%を取得しましたが、あと1%足りませんでした。
 
下記は再試験の結果です。

参考資料とその活用法

  • Killer.shの模擬試験(2回分)
    • 試験環境の操作練習に最適です。
    • 難易度的には、本番と同等ですが、ほとんどの問題はそのまま出題されません。
    • 以下のテーマの問題は、本番の問題とコンセプトが似ているため、解法をしっかり理解しておくと役立ちます。
      • Apiserver Security
      • Pod Security Standard
      • CIS Benchmark
      • CiliumNetworkPolicy
      • AppArmor Profile
      • Secrets in ETCD
      • Configure TLS on Ingress
      • Audit Log Policy
      • ImagePolicyWebhook

詳細な出題範囲と対策

ここからは、CKSの具体的な出題傾向と対策を詳しく解説します。

CIS Benchmark関連

Kubelet、Etcd、Scheduler、Api Serverといったコンポーネントの認証・認可設定を修正する問題が出題されます。
  •  や  といったオプションの設定が中心です。
  • 対応が成功したかどうかを確認するプロセスは、Killer.shの採点方法が参考になります。

TLS関連

  • Killer.shなどではSecret生成からしていますが、本番試験では、TLS Secretは既に作成されていることが多く、マニフェストから参照するだけで済むケースがほとんどです。
  •  のアノテーション  は忘れがちです。ドキュメントから探すのは難しいため、暗記しておくことをお勧めします。

Dockerfile・Manifestのセキュリティ

  • Dockerfileでは、 のようにroot以外のユーザーを指定する修正が頻出します。Dockerfileが非常に長い場合でも、全てを読む必要はなく、USER周辺を確認すれば十分です。
  • Deploymentなどのマニフェストでは、 を修正する問題が中心です。基本的にはPod Security Standardの基準に沿って修正すれば問題ありません。
  • ServiceAccountの  は、Pod側ではなくServiceAccountリソースのspecで設定する方が確実です。

Falco関連

Falcoを普段使っていないと、失点しやすい分野です。
Falco Ruleの作成・修正と、Falcoコマンドラインの操作が主に出題されます。
  • Falco Ruleは、既存のルールを直接修正しても問題ありません。
      • Overrideする必要はないケースが多いです。
  • 「特定のファイルパスにアクセスしているPodを特定する」といった問題が典型例です。
      • 以下の様なRuleを作成し、 を出力させ、 コマンドでPodを特定します。
  • Falcoのコマンドラインでは、 オプションでルールファイルを指定できます。
      • 例: 
参考になりそうな例です
Falcoに興味のある方は、私の連載をチェックしてみてください。

Audit Log関連

Audit Logの設定は、API Serverの起動オプションを変更して行います。
  • 注意点として、AuditPolicyのファイルマウントが既に設定されている場合があります。Killer.shの感覚でファイルマウントの設定まで追加してしまうと、API Serverが起動しなくなり、時間を無駄にすることがあります。

Network Policy

CKAやCKADで問われるNetwork Policyの知識に加え、Cilium Network Policyも出題範囲に含まれます。

その他

  • Cluster Upgrade: CKAと同様に、CKSでもクラスタのアップグレード問題が出題されます。
  • SBOM関連: 脆弱性のあるalpineイメージを検知するような問題が出題された記憶があります。Killer.shのSBOM問題のコマンドラインの使い方が参考になります。

KCNA (Kubernetes and Cloud Native Associate) 攻略

KCNAは入門者向けの資格です。
筆者は特別な勉強をせずに満点を取ることができました。
Kubernetesに関するある程度の基礎知識があれば、問題なく合格できるはずです。
公式のシミュレーターはありませんが、もし自信がなければ、Udemyなどで提供されている模擬試験問題集を利用すると良いでしょう。

KCSA (Kubernetes and Cloud Security Associate) 攻略

個人的には、CKSの次に難しいと感じた試験です。また、受験時の言語は、現時点英語のみになります。
全て選択問題ですが、特定のセキュリティ基準名や機構名など、正確な暗記が求められるため、受験中は冷や汗をかきました。
筆者は以下の模擬試験サイトを利用して学習しましたが、もう少し時間をかけて勉強するべきだったと感じています。

Kubestronaut認定後の流れ

5つ全ての資格に合格すると、すぐにKubestronautのデジタルバッジが発行されます。
その後、約1週間ほどでCNCFの担当者からメールが届き、専用Slackへの招待、メーリングリストへの登録、そして記念ジャケットのサイズ確認などの連絡があります。
記念ジャケットに関しては、日本ではCNCJが代理で配布を行う可能性もありますが、詳細は不明です。私のジャケットはCNCF 10周年イベントでもらいました。
この記事が、Kubestronautを目指すすべてのエンジニアの一助となれば幸いです。
 
SRGにご興味ありましたらぜひこちらからご連絡ください。