【Black Hat Asia 2025】eBPFを活用したCI/CDパイプラインのリアルタイム保護

みなさんこんにちは、サイバーマトリックスで開発エンジニアをしているImadです。先日の「Black Hat Asia 2025」でのセッションレポートを書きたいと思います。

Securing CI/CD runners through eBPF agent（eBPFを活用したCI/CDパイプラインのリアルタイム保護）

CI（継続的インテグレーション）およびCD（継続的デリバリー／デプロイメント）は、現代のソフトウェア開発に欠かせない仕組みとなっています。これにより、コードの統合とデプロイが迅速に行えるようになる一方で、その複雑さと高権限性ゆえに、サイバー攻撃の標的にもなりやすいという課題を抱えています。

こうした状況を受けて、YahooのMert Coskuner氏とKonduktoのCenk Kalpakoglu氏は、eBPF（Extended Berkeley Packet Filter）技術を活用したオープンソースツール「kntrl（コントロール）」を開発し、CI/CDランナーのセキュリティ強化を図っています。

なぜCI/CDパイプラインが狙われるのか

近年、悪意あるアプリケーションの蔓延が加速するなか、攻撃者はパッケージの脆弱性やCI/CDツール自体の設定ミスを突いて侵入を試みています。特にCI/CD環境は、複雑な構成と高い権限を持つことから、攻撃対象として非常に魅力的です。

しかし、多くの組織ではセキュリティレビューのための時間や専門知識、人材が不足しており、対策が後手に回っているのが現状です。

eBPFとは何か

eBPF（Extended Berkeley Packet Filter）は、Linuxカーネル内部で安全にサンドボックス化されたプログラムを実行できる技術で、カーネルのソースコードやモジュールを直接変更することなく高度な処理が可能です。当初はネットワークパケットのフィルタリング用途で設計されましたが、現在ではシステムモニタリング、可観測性、セキュリティ制御など、幅広い用途で利用されています。

『kntrl』によるソリューション

「kntrl」は、このeBPFを活用して、CI/CDランナー上での異常動作をリアルタイムで監視・防止するオープンソースの実行時エージェントです。カーネルレベルで動作することで、従来の監視ツールでは検知が難しかった攻撃も即座に把握し、被害の拡大を防ぐことが可能です。

主な機能：

• リアルタイムモニタリング：システムコールなどのカーネル動作を常時監視し、異常な振る舞いを即時に検出

• 異常防止機能：検出された挙動に対し、即時の防御策を実行し、CI/CDパイプラインの整合性を保持

• オープンソース公開：コミュニティによる継続的な改善と最新脅威への対応が可能

デモと導入の可能性

Coskuner氏とKalpakoglu氏はプレゼンテーションの中で、「kntrl」の実動デモを披露しました。実際にCI/CD環境下で発生しうる攻撃の検知と防止を行う様子は、非常に実践的かつ説得力のある内容でした。

彼らは、ソフトウェアサプライチェーン全体のセキュリティを強化するためには、こうしたプロアクティブな防御メカニズムが不可欠であると強調しており、多くの組織において「kntrl」の導入が有効であるとしています。

CICD Guardとの比較

別の記事で、CI/CDセキュリティのお話があり、把握できた範囲で簡単に違いをまとめましたので、ぜひ参考にしてみてください。