防御と運用
構成管理
別称: CM
定義
システムやアプリケーションのあるべき状態を定義・記録・強制し、構成を既知・一貫・安全に保つための運用規律。
構成管理は OS・ネットワーク機器・アプリ・クラウドリソースの正式設定を定義し、Ansible・Puppet・Chef・Terraform・Kubernetes オペレーターなどのツールで適用・差異解消を行います。バージョン管理と policy-as-code を組み合わせることで、ドリフト検知・再現可能な再構築・CIS や DISA STIG といったハードニングベンチマークへの準拠証跡を実現します。セキュリティ面では、最も多い侵害根本原因のひとつである「静かな構成ドリフト」を排除し、変更管理やセキュリティベースラインと密接に結びつきます。
例
- すべての S3 バケットに暗号化とパブリックアクセスブロックを強制する Terraform 定義。
- 全 SSH サーバを承認済みの CIS ベンチマーク構成へ戻す Ansible プレイブック。
関連用語
変更管理
IT システムへの変更を、リスクを管理しつつ追跡可能な形で提案・審査・承認・計画・実施・事後レビューする体系的なプロセス。
システムハードニング
不要な機能の削除、設定の引き締め、安全な既定値の強制によりシステムのアタックサーフェスを縮小する取り組み。
セキュリティベースライン
あるシステム種別を本番投入する前に必ず満たすべき、文書化された最低限のセキュリティ設定。
Asset Management
Asset Management — definition coming soon.
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。