Skip to content
Published on

Kubestronautになる方法 完全ガイド2026 — CNCF 5資格ロードマップ(KCNA・KCSA・CKA・CKAD・CKS)

Authors

はじめに — 5つの星を集める旅

KubeConの会場で、ひときわ目を引く青いジャケットがあります。

背中にロケットのロゴが入ったこのジャケットは、お金では買えません。CNCFのKubernetes資格5つをすべて有効な状態で保有する人、すなわちKubestronautだけに贈られるものだからです。

2024年のKubeCon Parisで発表されたこのプログラムは、いまやKubernetesエンジニアのキャリアにおける象徴的なマイルストーンになりました。さらにその上には、CNCFの全資格を制覇するGolden Kubestronautという、より高いステージまで用意されています。

この記事では、2026年時点でKubestronautになるための全プロセスを扱います。5つの資格の構造と最適な取得順序、受験料を大きく節約する方法、killer.shシミュレーターの活用法、試験当日のターミナル設定、そして働きながらの6〜12ヶ月ロードマップまで、順番に整理していきます。

Kubestronautプログラムとは?

Kubestronautは、CNCF(Cloud Native Computing Foundation)が運営する公式の認定プログラムです。

条件はシンプルです。以下の5つの資格を同時に有効(active)な状態で保有すること。

  • KCNA — Kubernetes and Cloud Native Associate(選択式)
  • KCSA — Kubernetes and Cloud Native Security Associate(選択式)
  • CKA — Certified Kubernetes Administrator(実技)
  • CKAD — Certified Kubernetes Application Developer(実技)
  • CKS — Certified Kubernetes Security Specialist(実技)

鍵になるのは「同時に有効」という条件です。1つでも失効すると資格を失うため、取得順序とスケジュール管理が合格そのものと同じくらい重要になります。条件を満たすとCNCFが確認のうえウェルカムパッケージの案内を送ってくれて、公式ページには国別のKubestronaut名簿が公開されます。

Kubestronautの特典 — ジャケットは始まりにすぎない

いちばん有名な特典はジャケットですが、実利的な特典はほかにもあります。

  • Kubestronautジャケット: 達成者だけに提供される限定ジャケット
  • Credlyデジタルバッジ: LinkedInや履歴書に付けられる公式認定
  • 専用コミュニティ: Kubestronautだけが招待される非公開Slackチャンネルとメーリングリスト
  • 資格割引クーポン: 毎年更新されるCNCF資格50%割引クーポン(発表基準で年5枚)— 更新費用の負担が大きく下がります
  • イベント割引: KubeConなどCNCF主催イベントの登録割引

とくに割引クーポンは資格維持の決め手です。5つの資格はそれぞれ24ヶ月で失効するため、更新コストを半額にしてくれるクーポンは、事実上プログラムの維持装置として機能します。特典の詳細は変わる可能性があるので、公式ページで確認してください。

Golden Kubestronaut — 15資格の頂点

2025年に発表されたGolden Kubestronautは、さらに一段上の挑戦です。

既存の5つに加えて、CNCFの残りすべての資格と、Linux FoundationのLFCSまで要求されます。2026年現在でおよそ次の15種です。

  • 基本の5種: KCNA、KCSA、CKA、CKAD、CKS
  • PCA — Prometheus Certified Associate(モニタリング)
  • ICA — Istio Certified Associate(サービスメッシュ)
  • CGOA — Certified GitOps Associate(GitOpsの原則)
  • CAPA — Certified Argo Project Associate(Argo CD・Workflows)
  • OTCA — OpenTelemetry Certified Associate(可観測性)
  • KCA — Kyverno Certified Associate(ポリシーエンジン)
  • CCA — Cilium Certified Associate(eBPFネットワーキング)
  • CBA — Certified Backstage Associate(開発者ポータル)
  • CNPA — Cloud Native Platform Engineering Associate(プラットフォームエンジニアリング)
  • LFCS — Linux Foundation Certified System Administrator(Linux実技)

発表基準の特典は、専用のバックパックとビーニー、毎年1回のKubeCon無料登録、そして一度達成すれば生涯維持されるタイトルです。CNCFに新しい資格が追加されると新規挑戦者の要件も増える仕組みなので、挑戦するならリストが短いうちが有利です。

5つの資格を一目で把握する

まず全体像です。定価は2026年初の公式ページ基準で、セールやポリシー変更により変わる可能性があります。

資格形式時間問題数合格ライン定価有効期間
KCNA選択式(遠隔監督)90分6075%$25024ヶ月
KCSA選択式(遠隔監督)90分6075%$25024ヶ月
CKA実技(ターミナル)120分15〜20タスク66%$44524ヶ月
CKAD実技(ターミナル)120分15〜20タスク66%$44524ヶ月
CKS実技(ターミナル)120分15〜20タスク67%$44524ヶ月

覚えるべきルールは2つだけです。第一に、CKSは有効なCKA保有者だけが受験できます。第二に、購入後12ヶ月以内に受験日を設定する必要があり、すべての試験に1回の無料再受験が含まれています。

KCNA — クラウドネイティブへの第一歩

KCNAは、Kubernetesとクラウドネイティブのエコシステム全般を問う入門レベルの理論試験です。

ドメイン比重
Kubernetes Fundamentals46%
Container Orchestration22%
Cloud Native Architecture16%
Cloud Native Observability8%
Cloud Native Application Delivery8%

半分近くがKubernetesの基礎です。Pod・Deployment・Serviceといったコアオブジェクト、コントロールプレーンの構成要素、そしてCNCFエコシステムの一般常識(Prometheus、Helm、GitOpsの概念)が問われます。

実務経験があれば1〜2週間、入門者なら4週間ほどの学習で十分届く難易度です。ただし「簡単な試験」と侮ってはいけません。合格ラインが75%と実技より高く、準備が甘いと意外に足をすくわれます。

KCSA — セキュリティ概念を固める2つ目の理論試験

KCSAは、Kubernetesセキュリティの概念地図を描く試験です。

ドメイン比重
Overview of Cloud Native Security14%
Kubernetes Cluster Component Security22%
Kubernetes Security Fundamentals22%
Kubernetes Threat Model16%
Platform Security16%
Compliance and Security Frameworks10%

4Cモデル(Cloud、Cluster、Container、Code)、STRIDE脅威モデリング、Pod Security Standards、RBAC、監査ログといったテーマがまんべんなく出題されます。

ポジショニングが面白い試験です。実質的にCKSの理論版なので、CKSの直前に配置すると実技の準備と概念の整理が自然に噛み合います。後述する取得順序でKCSAを4番目に置くのはこのためです。

CKA — クラスタ管理者実技のスタンダード

CKAはKubernetes資格の代名詞です。120分間、複数の実クラスタを行き来しながら15〜20個のタスクを解きます。

ドメイン比重
Troubleshooting30%
Cluster Architecture, Installation & Configuration25%
Services & Networking20%
Workloads & Scheduling15%
Storage10%

比重が示すとおり、**トラブルシューティングが30%**で最大です。死んだノードの復旧、kubelet障害の診断、コントロールプレーンの修復といった問題は配点も高めです。2025年2月の改訂以降は、HelmとKustomize、Gateway API、CRDとOperator関連も出題範囲に入りました。

そしてCKAの定番中の定番、etcdバックアップは手が覚えるまで練習しましょう。

# CKAの定番問題 — etcdスナップショットのバックアップ
ETCDCTL_API=3 etcdctl snapshot save /var/lib/backup/etcd-snapshot.db \
  --endpoints=https://127.0.0.1:2379 \
  --cacert=/etc/kubernetes/pki/etcd/ca.crt \
  --cert=/etc/kubernetes/pki/etcd/server.crt \
  --key=/etc/kubernetes/pki/etcd/server.key

証明書のパス3つを毎回ドキュメントで探していては3分を失います。バックアップとリストアをセットで最低10回は繰り返してください。

CKAD — 開発者視点のスピードラン

CKADは、アプリケーションをKubernetes上で扱う能力を見る試験です。

ドメイン比重
Application Environment, Configuration and Security25%
Application Design and Build20%
Application Deployment20%
Services and Networking20%
Application Observability and Maintenance15%

ConfigMapとSecret、3種類のProbe、リソース制限、CronJob、カナリア・ブルーグリーンのデプロイ戦略、Helmチャートの利用まで、開発者が毎日触る領域が中心です。

CKADの本質はスピードです。問題自体はCKAより穏やかですが、問題数に対して時間がタイトなので、命令形(imperative)コマンドでYAMLを生成する習慣がないと時間切れになります。CKAと出題範囲が大きく重なるため、続けて準備すると相乗効果が大きいです。

CKS — 最後の関門、セキュリティ実技

CKSは5つの中で最難関と評される試験です。有効なCKAが受験の前提条件という点からも、そのレベルがうかがえます。

ドメイン比重
Minimize Microservice Vulnerabilities20%
Supply Chain Security20%
Monitoring, Logging and Runtime Security20%
Cluster Setup15%
Cluster Hardening15%
System Hardening10%

NetworkPolicy、最小権限のRBAC、Pod Security Standards、AppArmorとseccompのプロファイル、ランタイムサンドボックス、Falcoによるランタイム検知、Trivyのイメージスキャン、SBOMまで — ツールの幅広さこそがCKSの難しさです。

なかでもNetworkPolicyは必ず手に馴染ませておくべきです。

# CKSの定番問題 — デフォルト拒否(default deny)のNetworkPolicy
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
  namespace: prod
spec:
  podSelector: {}
  policyTypes:
    - Ingress

空のpodSelectorが「そのNamespaceのすべてのPod」を意味すること、IngressとEgressを分けて制御すること — この基本パターンから無数の変形問題が生まれます。

最適な取得順序 — なぜKCNA → CKAD → CKA → KCSA → CKSなのか

正解は1つではありませんが、初挑戦ならこの順序をおすすめします。

  1. KCNA — 理論で全体の地図を描き、遠隔試験の手続きも気軽に経験する
  2. CKAD — 実技の中で参入障壁が最も低く、kubectlのスピードがここで完成する
  3. CKA — CKADで培ったスピードの上に、クラスタ運用とトラブルシューティングを積む
  4. KCSA — CKSの直前に、セキュリティ概念を理論で先行学習する
  5. CKS — すべての土台の上で最後の関門を突破する

この順序のロジックは3つあります。

第一に、難易度が階段状に上がります。理論 → やさしい実技 → 深い実技 → セキュリティ理論 → セキュリティ実技という流れなので、急な壁がありません。

第二に、KCSAがCKSの予習になります。同じセキュリティドメインを理論と実技で2周することになり、学習効率が高いのです。

第三に、有効期間の管理に有利です。5つが同時に有効である必要があるため、最初の資格取得から24ヶ月以内に最後の試験まで終える必要がありますが、やさしいものから始めれば序盤の遅延が少なくなります。すでに運用経験が豊富なら、CKAから始めてCKADを後に回すバリエーションも良い選択です。

費用の最適化 — バンドル、会員割引、Black Friday

定価で5つすべてを支払うと、$445 かける3と $250 かける2で、合計 $1,835 です。しかし定価を全額払う人はほとんどいません。

  • Black Friday・Cyber Monday: 毎年11月末のLinux Foundation最大のセール。歴代40〜65%規模の割引が繰り返されてきました。ここで5つまとめて購入するのが定石です。購入後12ヶ月以内に日程を組めばよいので、先に買っておいても問題ありません
  • バンドル購入: CKA+CKSのようなセット商品やKubestronaut向けバンドルが、常時20〜30%台の割引で提供されています
  • 常時クーポン: Linux FoundationのニュースレターやCNCFコミュニティチャンネルに30〜40%のクーポンが随時流れます。KubeCon参加者に配られる割引コードもあります
  • 会社の教育費: 多くの会社で教育予算・自己啓発費として処理できます。チーム単位のバウチャー購入には追加割引が付くこともあります

ちなみにCKAの受験料はかつて $395 でしたが、いまは $445 まで上がっており、値上げの傾向は続いています。「いつか取るつもり」なら、セールのときに買っておくほうが確実に有利です。

再受験ポリシーとkiller.shシミュレーター

CNCF資格の受験チケットには、二重のセーフティネットが組み込まれています。

第一に、1回の無料再受験です。初回で不合格でも、12ヶ月の有効期間内にもう一度受験できます。「落ちたらどうしよう」という不安で受験を先延ばしにするのは損でしかありません。

第二に、CKA・CKAD・CKSのチケットにはkiller.shシミュレーターのセッション2回が含まれます。

  • 各セッションは有効化後36時間オープンしています
  • 2つのセッションは同じ問題セットなので、1回目で間違えた問題を2回目で検証する使い方が良いです
  • 本番より意図的に難しく設計されています。シミュレーターで70〜80%取れれば本番は合格圏、というのが受験者の共通認識です

おすすめの使い方は、試験の1〜2週間前に1回目のセッションで弱点を洗い出し、残りの期間で補強したうえで、試験の2〜3日前に2回目のセッションで最終リハーサルをすることです。

学習リソースのロードマップ — KodeKloud、Killercoda、公式ドキュメント

実績のある組み合わせはだいたいこうなります。

  • 講座: KodeKloudのCKA・CKAD・CKSコースが事実上の標準です。ブラウザ上のラボが付いていて、理論と実習がすぐつながります
  • 無料実習: KillercodaにCKA・CKAD・CKSの無料シナリオが何十本もあります。通勤時間のスキマ練習に最適です
  • 公式ドキュメント: kubernetes.ioのドキュメントとタスクページは、それ自体が最高の教材です。試験中も参照できるので、ドキュメントと親しくなることがそのまま試験対策になります
  • ローカルクラスタ: 結局、自分のクラスタを壊して直す経験がいちばん身につきます
# ローカル練習クラスタ — 使いやすいほうで
minikube start --nodes=2
# または
kind create cluster --name practice
kubectl get nodes -o wide

理論試験(KCNA・KCSA)は、講座よりも問題演習の反復が効率的です。この部分は、後ほど紹介するこのブログのクイズツールが役に立ちます。

公式ドキュメントのブックマーク戦略

実技試験中は、リモートデスクトップ内のFirefoxでkubernetes.ioのドキュメント(およびHelmドキュメント、CKSは指定されたセキュリティツールのドキュメント)を閲覧できます。

ここで重要な落とし穴がひとつ — 自分のブラウザではないため、事前に作ったブックマークは使えません。したがって本当の戦略はブックマークではなく、次の2つです。

  • 検索キーワードの暗記: ドキュメントサイトの検索窓に何を打つかを事前に決めておきます。NetworkPolicyの例が必要なら「network policies」、PVの作成なら「persistent volumes configure」のように、練習で使っていた検索語をそのまま本番でも使います
  • ドキュメントより速いkubectl explain: フィールド名がうろ覚えのときは、ブラウザを開くよりターミナルのほうが速いです
# ドキュメントを漁る前にexplain — フィールド名を思い出せないとき
k explain pod.spec.containers.securityContext
k explain deployment.spec.strategy --recursive
k explain networkpolicy.spec --recursive
k api-resources | grep -i policy

練習の段階から「どのページに何があるか」を体に刻んでおけば、本番では検索一発で目的のページに直行できます。

PSIブラウザ — 実技試験の環境を理解する

CNCFの実技試験はPSIの監督プラットフォームで実施されます。初めての人が最も戸惑うのがこの環境です。

  • 試験はPSI Secure Browserをインストールし、その中で提供される**リモートLinuxデスクトップ(XFCE)**上で行います
  • ターミナルもブラウザ(Firefox)もすべてリモートデスクトップの中で動きます。自分のローカルターミナルではありません
  • リモート画面なので入力遅延が存在します。タイピング速度よりコマンド確認の習慣が重要になります
  • コピー&ペーストはターミナルではCtrl+Shift+CとCtrl+Shift+Vを使います。問題文のリソース名は必ずコピーして使ってください — タイポ1つで0点になります
  • モニターは1台のみ許可されます。ノートPCなら外部モニターを外すか、外部モニター1台だけを使ってノートPCを閉じる構成にします

試験前にPSIが提供するシステム互換性チェックを必ず実行し、可能なら有線インターネットを用意しましょう。

試験ターミナルのセットアップ — aliasとvim設定

試験が始まったら、最初の1〜2分を環境セットアップに投資します。最近の試験環境ではk aliasと補完があらかじめ設定されていることが多いですが、確認して、なければ自分で設定します。

# k aliasと自動補完 — 最近の試験環境では設定済みのことが多いのでまず確認
alias k=kubectl
complete -o default -F __start_kubectl k

# よく使うオプションを環境変数に
export do="--dry-run=client -o yaml"
export now="--force --grace-period 0"

YAMLの編集はvimで行うことになるので、インデント事故を防ぐ最小限の設定も入れておきます。

# ~/.vimrc — YAMLインデント事故の防止
cat <<'EOF' >> ~/.vimrc
set tabstop=2
set shiftwidth=2
set expandtab
set number
EOF

この2つをまとめて「開始60秒ルーチン」にして、練習のたびに同じ手順を繰り返せば、本番では手が勝手に動きます。

# 試験開始直後の60秒セットアップルーチン
kubectl config get-contexts        # コンテキスト一覧の確認
kubectl get nodes                  # クラスタ接続の確認
source <(kubectl completion bash)  # 補完のロード
alias k=kubectl
complete -o default -F __start_kubectl k
export do="--dry-run=client -o yaml"

時間管理 — 2時間で17問を解く方法

CKAで計算してみると、120分で15〜20個(通常17個前後)のタスクなので、1問あたり平均6〜7分です。ただし配点は4%から13%までバラバラなので、平均どおりに解いてはいけません。

  • 各問題で指定されたcontext切り替えコマンドを最初に実行 — 別のクラスタに正解を作ってしまう最悪のミスを防ぎます
  • 下見はせずに1問目から解き始め、2分考えてアプローチが浮かばなければフラグを立てて次へ — 試験UIのフラグ機能を積極的に使います
  • 配点の高いトラブルシューティング問題に時間を残し、最後の10分はフラグ問題の再挑戦に使います
  • そして何より — YAMLを最初から手で打たないこと
# YAMLをゼロから手打ちしない — 命令形で生成してから編集する
k run web --image=nginx $do > pod.yaml
k create deployment api --image=nginx --replicas=3 $do > deploy.yaml
k expose deployment api --port=80 --target-port=8080 $do > svc.yaml
k create configmap app-config --from-literal=ENV=prod $do > cm.yaml

命令形で生成 → ファイルに保存 → vimで必要な部分だけ修正。この3ステップが実技試験の時間管理の核心テクニックです。ちなみに、実技試験で純粋な暗記が占める割合は <10% にすぎません。残りはすべて手のスピードとドキュメント活用力です。

遠隔試験の注意点 — 部屋の検査から身分証まで

理論・実技ともに遠隔監督試験なので、技術以外の準備が合否を左右することもあります。

  • チェックインは開始30分前から: 身分証の確認と環境チェックには思ったより時間がかかります
  • 身分証はローマ字氏名が基準: 登録した英字氏名と身分証の表記が一致している必要があります。韓国・日本の受験者はパスポートが最も確実です
  • Webカメラで部屋を360度スキャン: 机の上、机の下、壁、手首まで見せるよう求められます。付箋・2台目のモニター・紙類はすべて片付けてください
  • 1人きりの静かな部屋: 試験中に誰かが入ってくると中断される可能性があります。家族には事前に伝えておきましょう
  • 飲み物は透明な容器の水だけ許可されます
  • トイレ休憩は可能ですが、タイマーは止まりません
  • 口を覆う、声に出して読む、視線が頻繁に画面の外へ出る、といった行動は監督官の警告対象です

初受験なら、KCNAでこの手続きを一度経験しておくこと自体が大きな資産になります。

働きながらの6〜12ヶ月ロードマップ

週8〜10時間(平日1時間+週末半日)の学習を前提にした標準プランです。

期間目標内容
1〜2ヶ月目KCNA合格概念学習+問題演習の反復、遠隔試験の手続きを経験
3〜5ヶ月目CKAD合格kubectlスピード訓練、命令形コマンドの体得、killer.sh 1回目
6〜8ヶ月目CKA合格クラスタ運用・トラブルシューティング、etcdバックアップ反復
9〜10ヶ月目KCSA合格セキュリティ概念の整理、CKS範囲の理論先行
11〜12ヶ月目CKS合格セキュリティツール実習、killer.sh仕上げ、Kubestronaut申請

経験者なら6ヶ月への圧縮も可能です。CKAから始めてCKADを2〜3週間間隔で連続受験し、KCSAとCKSを一気に終わらせる方式です。

スケジュール設計で最も重要な原則はひとつだけ。**最初の資格が失効する(24ヶ月)前に5つ目まで終える。**余裕を持つなら12ヶ月以内の完走計画が安全で、11月のBlack Fridayにチケットをまとめ買いして12ヶ月の受験有効期間を活かせば、費用とスケジュールが同時に解決します。

韓国と日本のKubestronautコミュニティ

CNCFの公式ページには国別のKubestronaut名簿が公開されていますが、韓国も日本も名前が着実に増えています。

韓国はクラウドネイティブのミートアップと勉強会文化が強い地域です。CNCFコミュニティグループ主体のイベントやオープンチャットの勉強会で合格体験記や健全な学習資料が活発に共有され、Kubestronautジャケットの記念写真はコミュニティの通過儀礼のようになっています。

日本はCloud Native Community Japan(CNCJ)が求心力です。2025年にKubeCon + CloudNativeCon Japanが東京で初開催されてから資格挑戦の熱気が目に見えて高まり、ZennやQiitaに投稿される合格体験記の密度は、世界のどのコミュニティと比べても高い水準です。

両国とも試験自体は英語ベース(一部の試験は日本語提供あり)なので、英語の問題文への対策をコミュニティから得られるのは実質的な助けになります。

転職市場での価値 — DevOps・SRE・プラットフォームエンジニア

資格が実力を保証するわけではありません。しかし採用市場でのシグナル効果は確かです。

  • DevOpsエンジニア、SRE、プラットフォームエンジニアの求人で、CKAは歓迎要件の常連です。クラウドMSP・SIer・金融インフラ系では、事実上の基礎力証明として通用します
  • CKA・CKSが実技試験であることが信頼の根拠です。選択式の資格と違い、「ターミナルで実際に問題を解ける人」であることの証拠になります
  • Kubestronautはまだ希少なので、履歴書やLinkedInで強力な差別化ポイントになります。Credlyバッジのリンクを履歴書の上部に置くのがおすすめです
  • 日本市場はSIerやクラウドインテグレーターを中心にKubernetes人材の需要が堅調で、資格手当や受験費用の支援制度を持つ会社も珍しくありません

ポイントは、資格を「ゴール」ではなく「面接のテーブルに着くための入場券」として使うことです。面接で最終的に問われるのはトラブルシューティングの経験談です — そしてその経験は、CKA・CKSを準備する過程で自然に積み上がります。

このブログのKubestronautクイズツールで練習する

このブログには、Kubestronaut準備のために自作した学習ツールがあります。

Kubestronautクイズは、KCNA・KCSA・CKA・CKAD・CKSの5トラックとGolden Kubestronautの範囲までカバーする、772問以上の問題バンクで構成されています。

  • 資格別トラック: ドメイン比重に合わせた出題で本番の感覚を維持
  • フラッシュカードモード: 通勤時間の概念暗記用
  • hands-onドリル: 実技系コマンドを手で思い出す訓練
  • 弱点領域の復習: 間違えたドメインを集めて再出題

おすすめの使い方はこうです。KCNA・KCSAのような理論試験は、このクイズの反復だけでも合格ラインに届きます。実技試験はクイズで概念の穴を見つけて、実クラスタでの練習と並行してください。kubectlコマンド検索ツールと、LFCS・Golden対策のLinuxコマンドクイズも併用すると効果的です。

おわりに — 軌道に乗る方法

Kubestronautは結局のところ「継続の資格」です。5つの試験のどれも天才性を要求しませんが、5つすべてを24ヶ月の窓の中で有効にすることは、計画と持続力を要求します。

最後にチェックリストを残します。

  • 順序はKCNA → CKAD → CKA → KCSA → CKS、経験者はCKAから
  • チケットはBlack Fridayにバンドルで購入し、購入後12ヶ月以内に受験
  • killer.shの2セッションは試験の1〜2週間前と2〜3日前に配置
  • 開始60秒ルーチン(コンテキスト確認、alias、vim設定)を体に刻む
  • 身分証はパスポート、モニターは1台、部屋は1人、水は透明な容器
  • 最初の資格が失効する前に5つ目に合格 — 理想は12ヶ月での完走

この記事を閉じる前に、KCNAの受験日をひとつ押さえてみてください。ロケットが飛び立つのは燃料タンクが満タンになったときではなく、カウントダウンが始まったときです。

References