また昨年は、AI活用の本格フェーズにも踏み出しました。インフラ運用における生成AI活用の内製化を進め、運用品質と生産性を一段引き上げる新たな取り組みを拡大しています。MSPとして蓄積してきた知見とAIの融合により、"止めない・安心な運用"に加え、"より効率的で賢い運用"を実現していきます。

2025年の活動をいくつかご紹介させてください。

・「インフラ運用20年の会社が考える、インフラ運用とAIのこれから」の登壇レポートを公開しました
　https://heartbeats.jp/topics/10216/

・ハートビーツのエンジニア2名がAWSの「2025 Japan All AWS Certifications Engineers」を受賞しました
　https://heartbeats.jp/info/news/news-20250701-2/

・「Kozutumi」が、帝国データバンクさまの「日本版リモートeシール」実証実験に参画しました
　https://heartbeats.jp/info/topics/20250409_01/

・「一般社団法人日本シーサート協議会」に加盟し、社内CSIRT体制の強化を図りました
　https://heartbeats.jp/info/pressrelease/20250107_01/

・首都圏国立大学合同ハッカソンに企業メンターとして参画し、学生チームの活動をサポートしました
　https://heartbeats.jp/info/sponsorship/sponsorship-20251121/

・『パテレアワード2025』にブロンズスポンサーとして協賛いたしました
　https://heartbeats.jp/info/topics/20240813_01/

昨年も 様々なところで皆様からチャンスを頂きましたこと、この場をお借りしてお礼申し上げます。
その他の活動についてはニュース一覧を御覧ください。

・ニュース 一覧
　https://heartbeats.jp/info/

2026年も更なる成長を目指し、皆様と共に進化してまいります。
私どもの得意分野でお困りのことがございましたらお仕事でご一緒できる機会があれば幸いです。

・クラウド・アクセラレーション事業 | 企画から開発、運用まで一貫したサービスを提供
　https://heartbeats.jp/service/

・Kozutumi | 脱PPAPに最適な重要ファイル転送プラットフォーム
　https://kozutumi.com

皆様と共に、2026年を良い年にすることができるよう邁進してまいります。
引き続き、ご指導ご鞭撻ご贔屓の程、宜しくお願い申し上げます。

システム運用において、ログファイルの肥大化はディスク容量を圧迫する一般的な課題です。この課題に対して、多くの企業でLinuxの標準ツールLogrotate を使ったログ管理が行われています。

しかし、Logrotateの運用においては、設定項目の理解不足による意図しない挙動やログの欠損などが起こることがあり、その取り扱いには細心の注意が必要です。 そこで今回は、Logrotateを安全に使いこなすための実践的な方法と注意点をまとめました。特に、運用環境での事故を防ぐための検証方法に焦点を当てて解説します。

Logrotateは、LinuxやUnix系OSで広く使われているログ管理ツールです。 増え続けるログファイルを自動的にローテートし（例：現在のログファイルを別名で保存し、新しい空のログファイルを生成すること）、圧縮、削除することで、ディスク容量の肥大化を防ぎます。

これにより、システムの安定稼働を維持し、ログの管理を効率化することができます。

Logrotate の導入手順と安全な検証

ではさっそく手を動かしてみましょう！

ここではLinuxユーザー向けに、実際に手を動かしながらLogrotateの仕組みを理解していきます。例として、Apache HTTP Server（Apache）のログをLogrotateでローテートしてみましょう。

まずはLinux環境を準備してください。Linuxの主要なディストリビューション（CentOS,RHEL, Ubuntu, AlmaLinuxなど）には、Logrotateが標準でインストールされているため、ほとんどの場合、追加の導入作業は不要です。

次に検証のためApacheの環境を利用します。Apacheの導入がまだの方はdnfコマンドまたはaptコマンド等でインストールをお願いします。

※本記事ではAlmaLinux9を利用してます。

AlmaLinuxの場合
# dnf install httpd -y

Logrotateの設定ファイルは/etc/logrotate.confという親設定ファイルと、/etc/logrotate.d/というディレクトリ内の個別設定ファイルに分かれています。この形式を模倣し、Apacheのログローテートを想定したカスタム設定をしていきます。

Step1: Logrotateの親設定ファイルの理解

まず、あらかじめ用意されているLogrotateの設定ファイルであるlogrotate.confの内容を確認してみましょう。

$ cat /etc/logrotate.conf

私の環境では出力された内容は下記のとおりでした

# see "man logrotate" for details

# global options do not affect preceding include directives

# rotate log files weekly
weekly

# keep 4 weeks worth of backlogs
rotate 4

# create new (empty) log files after rotating old ones
create

# use date as a suffix of the rotated file
dateext

# uncomment this if you want your log files compressed
#compress

# packages drop log rotation information into this directory
include /etc/logrotate.d

# system-specific logs may also be configured here.

ディレクティブの説明

この親設定ファイルは、Logrotate全体の基本的な設定を定義しており、個別の設定ファイルに共通のデフォルト設定を適用します。

• weekly: ログファイルを毎週ローテート
• rotate 4: 4世代分のログファイルを保持し、古いものから自動的に削除
• create:ローテート後に新しい空のログファイルを作成
• dateext:ローテートされたログに、日付（例: access_log-20250917）を付けてリネーム。
• compress:ローテートしたログを gzip で圧縮。
• include /etc/logrotate.d: この行がポイント。このディレクティブは、指定されたディレクトリ（この場合はlogrotate.d）内のすべての設定ファイルを読み込み、処理するようLogrotateに指示。これにより、複数のアプリケーションのログ設定を個別のファイルで管理が可能。

※注意

これからApache用の個別設定ファイルを設定していきます。 親設定ファイルlogrotate.confで定義しているディレクティブの設定とApache用の個別設定に記載したディレクティブが共通する場合、Apache用の個別設定のディレクティブ設定が優先されます。また、個別設定にないディレクティブが親設定ファイルに定義されている場合は、全体の設定として反映されます。

• 個別設定が優先: 親設定ファイル (/etc/logrotate.conf) と個別設定ファイル (/etc/logrotate.d/httpdなど) で同じディレクティブが重複して定義されている場合、個別設定ファイルの設定が優先
• 親設定から引き継ぎ: 個別設定ファイルで定義されていないディレクティブは、親設定ファイルの基本的な設定が引き継がれる

個別設定が親設定の影響を受けないようにする方法

個別設定が親設定の影響を完全に受けないようにするには、必要な設定項目をすべて個別設定ファイル内に記述する必要があります。これにより、親設定ファイルのグローバルな設定を個別設定で上書きできます。

たとえば、親設定ファイルに createディレクティブがあり、これを個別設定で適用したくない場合は、個別設定ファイルに明示的に nocreateディレクティブと記述します。

Step2: 検証用ログファイルの準備

今回は、アクセスログ（access_log）とエラーログ（error_log）を以下の条件でローテートします。

• ローテートされたファイルは日付でリネームする
• 5世代分のログファイルを保持する
• 当日分を除きローテートされたログをgzipで圧縮する

まず、Apacheのログを模倣したファイルを用意します。通常、Apacheのログは/var/log/httpd/（CentOS/RHEL系/AlmaLinux）や/var/log/apache2/（Debian/Ubuntu系）にあります。今回はCentOS/RHEL/AlmaLinux系を想定し、/var/log/httpd/ディレクトリにログファイルを作成します。

# Apacheのログディレクトリに過去1週間分のログファイルを擬似的に作成 
$ sudo tee -a /var/log/httpd/access_log <<< "Initial access log entry" > /dev/null && sudo tee -a /var/log/httpd/error_log <<< "Initial error log entry" > /dev/null && for i in {1..7}; do date=$(date --date="${i} days ago" +%Y%m%d); echo "Dummy access log entry from ${date}" | sudo tee -a "/var/log/httpd/access_log-${date}" > /dev/null; echo "Dummy error log entry from ${date}" | sudo tee -a "/var/log/httpd/error_log-${date}" > /dev/null; done

# ファイルが正しく作成されたか確認 
$ sudo ls -l /var/log/httpd/
total 64
-rw-r--r--. 1 root root  50 Nov 13 11:39 access_log
-rw-r--r--. 1 root root  74 Nov 13 11:39 access_log-20251106
-rw-r--r--. 1 root root  74 Nov 13 11:39 access_log-20251107
-rw-r--r--. 1 root root  74 Nov 13 11:39 access_log-20251108
-rw-r--r--. 1 root root  74 Nov 13 11:39 access_log-20251109
-rw-r--r--. 1 root root  74 Nov 13 11:39 access_log-20251110
-rw-r--r--. 1 root root  74 Nov 13 11:39 access_log-20251111
-rw-r--r--. 1 root root  74 Nov 13 11:39 access_log-20251112
-rw-r--r--. 1 root root 732 Nov 13 11:39 error_log
-rw-r--r--. 1 root root  72 Nov 13 11:39 error_log-20251106
-rw-r--r--. 1 root root  72 Nov 13 11:39 error_log-20251107
-rw-r--r--. 1 root root  72 Nov 13 11:39 error_log-20251108
-rw-r--r--. 1 root root  72 Nov 13 11:39 error_log-20251109
-rw-r--r--. 1 root root  72 Nov 13 11:39 error_log-20251110
-rw-r--r--. 1 root root  72 Nov 13 11:39 error_log-20251111
-rw-r--r--. 1 root root  72 Nov 13 11:39 error_log-20251112

lsコマンドを実行すると、アクセスログ（access_log）とエラーログ（error_log）に加え、過去7日分のファイルが作成されているのが確認できます。

Step3: Apacheログファイル操作用のローテート個別設定ファイル編集

次に、親設定ファイルとApacheのローテート個別設定ファイルを編集します。通常、/etc/logrotate.d/ディレクトリ内に個別の設定ファイルを編集します。

Logrotateの設定を1つの設定ファイルに全て記載することもできますが（例えば親設定ファイルに全て記載するとか）、複数の設定内容を/etc/logrotate.d/ディレクトリ内に複数の設定ファイルを作成し、目的別に分割して管理することもできます。 設定ファイルを分割して管理することで、設定内容の整理がしやすくなり、特定のログ設定だけを変更・管理する際も容易になります。

Apacheのローテート個別設定ファイルを編集（/etc/logrotate.d/httpd）

※Apacheインストール時に自動で作成されているはずです。

$ sudo vim /etc/logrotate.d/httpd

以下の内容を開いたvimエディターの中に記述します。

/var/log/httpd/access_log /var/log/httpd/error_log {
    # 親設定で有効化されている create を明示的に無効化
    nocreate
    # 親設定のweeklyをdailyに上書き
    daily
    rotate 5
    # 親設定を上書き
    compress
    # その他の必須オプション
    delaycompress
    missingok
    notifempty
    dateext
    postrotate
        # HUPシグナルでApacheに新しいログファイルを開かせ、同時に新規ファイル作成も任せる
        /bin/kill -HUP $(cat /var/run/httpd/httpd.pid)
    endscript
}

ディレクティブの説明

この設定は、access_log と error_log の両方をまとめて管理するためのものです。 これにより、同じローテートルールを2つのファイルに簡単に適用できます。

補足： 本記事で紹介しているのは主要なディレクティブのみです。Logrotateの設定ファイルには他にも多数のディレクティブが存在します。他の設定項目や詳細な仕様を確認したい場合は、Linuxのターミナルで man logrotate コマンドを実行して、マニュアル（manページ）を参照してください。

• /var/log/httpd/access_log, /var/log/httpd/error_log: ローテートの対象となるファイルへのパス。
• nocreate: ローテート後に新しい空のログファイルを作成しないようにする。
  • 今回はpostrotateディレクティブで定義したスクリプト処理より、Apache設定ファイルの再読み込みが発生し、httpd.confの設定に基づきログファイルを作成するためcreateディレクティブは不要
• daily: ログファイルを毎日ローテートする。
• rotate 5:5世代分のログファイルを保持し、古いものから自動的に削除する。
• compress: ローテートしたログを gzip で圧縮する。
• delaycompress: compressの処理を次回のローテート時まで遅らせる。これにより、直近にリネームされたログがすぐに圧縮されるのを防ぎ、アプリケーションの書き込みを妨げないようにする。
• missingok: 対象のログファイルが存在しなくてもエラーにしない。
• notifempty: ログファイルが空の場合はローテートしない。
• dateext: ローテートされたログに、日付（例: access_log-20250917）を付けてリネームする。
• postrotate: ログローテートが完了した後に実行されるスクリプトを定義する。
  • Apacheでは/bin/kill -HUP $(cat pidファイル)のスクリプトを定義しApacheがログファイルを再読み込みできるように設定する例が多い。
  • HUPシグナルとはLinuxやUNIX系OSで使用されるソフトウェアシグナルの一つで、「SIGHUP (Signal Hang Up)」とも表記される。
  • /bin/kill -HUP $(cat pidファイル)が必要になる理由はApacheはHUPシグナルを受け取ると、Apacheのプロセスを再起動せずに設定ファイルを再読み込みし、同時に現在開いているログファイルへのハンドル（ファイル記述子）を閉じ、新しいファイルを開き直す動作をする。これにより新しく作成された空の access_log には何も書き込まれないという状態を回避する。
  • endscript: postrotateなどのスクリプトを定義するブロックの終了を示すディレクティブ。
  • 補足：上記定義しているkillコマンドについて
    • AlmaLinux9 のApacheのローテート個別設定ファイルのデフォルト設定では、killコマンドの代わりにsystemctl httpd reloadを利用。停止を挟まない条件は同じなので、どちらを利用しても問題なし。
    • 実装例：/bin/systemctl reload httpd > /dev/null 2>/dev/null || true
  • postrotateディレクティブをなぜ利用するかについては後半の方で詳しく解説。

Step4: debugモードで安全に設定を検証

設定ファイルを更新したら、--debugオプションでdebugモードと呼ばれる機能（実行した時の一連の挙動を確認する機能）を実施し、シミュレーションします。

これから利用するdebugモードでは、Logrotateコマンドを実際に実行した際に出力されるメッセージを確認できます。実際のファイル操作は行われないため、設定内容の適切さを安全に検証することが可能です。

Logrotateは通常、親設定ファイル（/etc/logrotate.conf）を起点として、そこから全ての個別設定ファイル（/etc/logrotate.d/*）を読み込んで実行されます。 今回は実際の運用環境と同じような条件で正確に検証するためにも、シミュレーションは親設定ファイルを指定して実行します。

（※親設定ファイルを指定して実行する理由についてはStep4の最後にまとめています）

以下のコマンドを実行して、作成した設定が意図通りに動くか確認してみましょう。

# 親設定ファイルを指定してdebugモードを実行
$ sudo logrotate --debug /etc/logrotate.conf

出力の読み解き方:

コマンドを実行すると、以下のようなメッセージが表示されます。 出力を略していますが、下記「does not exist -- skipping」を見ると検証の結果が上手く行ってなさそうです。

親設定ファイル経由で全ての設定が読み込まれますが、httpd の検証結果に注目します。

（全出力のうち、一部を省略しています）

(略)
reading config file /etc/logrotate.conf
including /etc/logrotate.d
reading config file btmp
reading config file chrony
reading config file dnf
reading config file httpd
reading config file psacct
reading config file sssd
reading config file wtmp
Reading state from file: /var/lib/logrotate/logrotate.status
Allocating hash table for state file, size 64 entries
(略)
Handling 7 logs
(httpの出力のみ抜粋)
rotating pattern: /var/log/httpd/hoge_log /var/log/httpd/error_log after 1 days (5 rotations) empty log files are not rotated, old logs are removed 
considering log /var/log/httpd/hoge_log 
    log /var/log/httpd/hoge_log does not exist -- skipping Creating new state
considering log /var/log/httpd/error_log
    Now: 2025-11-13 11:42
    Last rotated at 2025-11-13 11:00
    log does not need rotating (log has already been rotated)
(略)

実行結果の読み解き方

• reading config file httpd:
  • 親設定ファイル（/etc/logrotate.conf）が、作成したApacheの設定ファイルを正しく読み込んでいることを示す。
• rotating pattern: /var/log/httpd/hoge_log /var/log/httpd/error_log after 1 days (5 rotations):
  • 設定ファイルで指定したローテート対象のローテーション頻度（daily→after 1 days）および保存世代数（rotate 5）が正しく認識されたことを示す。
• empty log files are not rotated, old logs are removed:
  • notifempty ディレクティブが有効になっているため、ファイルが空の場合はローテートしないこと、および古いログファイルは削除されること（rotateディレクティブの働き）が確認された。
• log /var/log/httpd/hoge_log does not exist -- skipping:
  • 赤字で記載した上記出力が今回の問題となった部分について
  • access_logではなくhoge_logというファイルが存在しないため、このファイルのローテートをスキップしたことを意味する。今回は意図的にパス名をミスしてみた。
• log does not need rotating (log has already been rotated):
  • ローテートの条件を満たしていないため、ローテートが必要ではないと判断。
  • 理由は、無の状態からログファイルを手動で作成したため、最後にローテートを実行してから日付が経過したというローテートステータスが存在しない。よって、ローテートを実行する条件を満たしていないことを意味する。
  • 参照しているローテートステータスファイルはlogrotate.status。 今回の出力では意図した内容なので問題はなし。
  • ローテートの条件を満たしてた場合はlog needs rotatingと出力される。

「does not exist -- skipping」の出力を確認致しました。 この出力は、設定したパスにファイルが存在しないためスキップしたことを示しています。 今回の場合、設定したローテート対象のパスが間違っていたため、発生したエラーであることがdebugモードのシミュレーション結果から判明しました。

パスを修正し、再度検証コマンドを実行してみます。

$ sudo vim /etc/logrotate.d/httpd
$ sudo logrotate --debug /etc/logrotate.conf

実行結果の読み解き方

コマンドを実行すると、以下のようなメッセージが表示されました。 成功していそうですね。

warning: logrotate in debug mode does nothing except printing debug messages! Consider using verbose mode (-v) instead if this is not what you want.
(略)
rotating pattern: /var/log/httpd/access_log /var/log/httpd/error_log after 1 days (5 rotations) 
empty log files are not rotated, old logs are removed considering log　/var/log/httpd/access_log 
    Now: 2025-11-13 11:57
    Last rotated at 2025-11-13 11:00
    log does not need rotating (log has already been rotated)
considering log /var/log/httpd/error_log
    Now: 2025-11-13 11:57
    Last rotated at 2025-11-13 11:00
    log does not need rotating (log has already been rotated)
not running postrotate script, since no logs were rotated
(略)

先程のdebugの実行では出力結果を省略しましたが、実行するとwarning（警告）メッセージが表示されます。一見するとwarning（警告）が出ているため不安に感じるかもしれませんが、最初のwarningメッセージは、「--debugモードは、デバッグメッセージの表示以外には何も実行しない」という、このオプションの仕様を説明しているものです。

成功した出力内容について確認してみます。

• considering log /var/log/httpd/access_log:
  • 今回は does not exist のようなエラーは表示されていない。
  • ローテート対象のファイル名を正しく認識。
• log does not need rotating (log has already been rotated):
  • ローテートの条件を満たしていないため、ローテートが必要ではないと判断。
  • 理由は、無の状態からログファイルを手動で作成したため、最後にローテートを実行してから日付が経過したというローテートステータスが存在しない。よってローテートを実行する条件を満たさないことを意味する。
  • 参照しているローテートステータスファイルはlogrotate.status。
  • 今回の出力では意図した内容なので問題はなし。
  • 満たしていた場合はlog needs rotatingと出力される。
• not running postrotate script, since no logs were rotated:
  • ローテート条件を満たしていないため実行されなかった。
  • 成功していた場合running postrotate scriptと出力。

--debugモードは、このように実行前に問題を特定できるため、本番環境で「思ったように動かない！」といったトラブルを未然に防ぐことができる非常に重要なStepでした。 このStepで問題がなければ、次の段階に進みましょう。

注意

「does not exist -- skipping」はよく見かけるエラーです。 簡単な例の場合は以下の状況が考えられます。

• ファイル名のスペルミス
  • 設定ファイルに記載したファイル名が間違っていると、 Logrotateはファイルを見つけられずにエラーを返す。
  • 原因: access_logをhoge_logのように誤ってタイプした、など。
  • 対策: 設定ファイル内のファイルパスをもう一度確認し、正しいパスに修正する。
• ファイルの削除
  • なんらかの理由で、サービスがログを出力する前にログファイルが削除されてしまうと、Logrotateがファイルを見つけられなくなる。
  • 原因: 手動でログファイルを削除してしまった、など。
  • 対策: Logrotateのdebugモード前に処理前にファイルが存在しているか確認する。
• ログの出力先が異なる
  • サービスの設定（例：Apacheの設定ファイルhttpd）で指定されているログファイルの出力先が、Logrotateの設定と異なっている場合もこのエラーが発生する。
  • 原因: サービスは/var/log/httpd/access_logにログを出力しているのに、Logrotateの設定は/etc/httpd/logs/access_logになっている、など。
  • 対策: サービスの設定とLogrotateの設定の両方を確認し、ログの出力先を一致させる。

※親設定ファイルを指定して実行する理由について

実際の運用環境では、ローテート設定を編集した後、cronなどによってローテートが自動的に実行されるのを待ち、結果が反映されるのを待つことが多いです。

すぐに実行する場合でも、logrotate.dディレクトリ内の個別ファイルで実行するのではなく、logrotate.confという親設定ファイルを起点に実行するのが一般的です。個別ファイルでローテートを実行すると、親ファイルで定義された共通の設定が適用されず、実際の運用時の挙動と異なる可能性があります。そのため、本番環境で試す場合は親設定ファイルを指定して実行するか、もしくはローテートのcronの自動実行を待つのが最も安全です。

良くない例を簡単に紹介します。

良くない設定例： ローテートの親設定にApacheのローテート個別設定の代わりにdailyディレクティブが設定されているとします。

# rotate log files daily
daily
# packages drop log rotation information into this directory
include /etc/logrotate.d

また、下記Apacheのローテート個別設定ファイルにてdailyディレクティブが設定されていないとします。

/var/log/httpd/access_log /var/log/httpd/error_log {
    nocreate
    rotate 5
    compress
    delaycompress
    missingok
    notifempty
    dateext
    postrotate
        /bin/kill -HUP $(cat /var/run/httpd/httpd.pid)
    endscript
}

※上記設定状態でApacheの個別設定ファイルのみを指定してlogrotateを実行。

# Apacheの個別設定ファイルのみを指定してコマンドを実行
$ logrotate --debug /etc/logrotate.d/httpd

本来であれば上記親設定のローテートが実行されることによりdailyディレクティブの設定がApacheのローテート個別設定ファイルにも読み込まれるはずです。

しかし、Apacheのローテート個別設定ファイルを単体で実行してしまった場合、dailyディレクティブが適応されずに、意図しないローテート結果となってしまいます。この挙動は、以下の--debugモードの実行結果からも確認できます。

※赤字に注目に注目

[root@ip-172-31-46-155 ~]# logrotate --debug /etc/logrotate.d/httpd
...(略)
Handling 1 logs
rotating pattern: /var/log/httpd/access_log /var/log/httpd/error_log  1048576 bytes (5 rotations)
...(略)
considering log /var/log/httpd/error_log
...(略)
log does not need rotating (log size is below the 'size' threshold)

dailyディレクティブがない状態で個別ファイルを実行すると、上記rotating pattern:に（1048576 bytes）ファイルサイズ1MBの判定が適用され、サイズ指定でローテートの判定が行われてしまいました。

以上のことから、このような予期しない挙動を防ぎ、安全かつ予測可能な結果を得るためにも、ローテートは必ず親設定ファイル（/etc/logrotate.conf）を起点に実行するか、ローテートが自動実行されるまで待つ必要があります。

Step5: 実際にローテートを実行してみる

--debugモードでのシミュレーション結果に問題がないことを確認したら、いよいよ実際にローテートを実行します。通常、Logrotateはcronやsystemd のタイマー機能によって自動的に実行されますが、今すぐローテートの挙動を確認したい場合は、手動でコマンドを実行する必要があります。

--forceオプションについて補足

--forceオプションは、dailyやweeklyといった設定ファイルに記述されたローテートのタイミングを無視して、強制的にローテートを実行するためのものです。

メリット:

• 即時検証: 設定変更が正しく機能するかを、日次や週次の自動実行を待たずにすぐに確認できる。
• 緊急対応: ディスク容量がひっ迫しているなど、緊急でログファイルをローテートする必要がある場合に役立つ。

デメリット:

• 運用から乖離: 実際の運用環境では--forceオプションはあまり使わない。本来のローテートタイミングを無視するため、本番環境でのテストは基本的に使わないようにする。
• 意図しない挙動: 複数のログファイルがローテート対象になっている場合、--forceによって全てのログファイルが一度にローテートされてしまい、意図しないタイミングで別のログファイルのローテートが行われる可能性がある。

前置きが長くなりましたが、ローテートの実行結果を確認しましょう。

# 親設定ファイルを指定して実行
$ sudo logrotate --force /etc/logrotate.conf
# 実行後のファイルを確認
$ sudo ls -l /var/log/httpd/
total 44
-rw-r--r--. 1 root root    0 Nov 13 12:01 access_log
-rw-r--r--. 1 root root   60 Nov 13 11:39 access_log-20251109.gz
-rw-r--r--. 1 root root   60 Nov 13 11:39 access_log-20251110.gz
-rw-r--r--. 1 root root   59 Nov 13 11:39 access_log-20251111.gz
-rw-r--r--. 1 root root   60 Nov 13 11:39 access_log-20251112.gz
-rw-r--r--. 1 root root   50 Nov 13 11:39 access_log-20251113
-rw-r--r--. 1 root root 1206 Nov 13 12:01 error_log
-rw-r--r--. 1 root root   59 Nov 13 11:39 error_log-20251109.gz
-rw-r--r--. 1 root root   59 Nov 13 11:39 error_log-20251110.gz
-rw-r--r--. 1 root root   58 Nov 13 11:39 error_log-20251111.gz
-rw-r--r--. 1 root root   59 Nov 13 11:39 error_log-20251112.gz
-rw-r--r--. 1 root root  856 Nov 13 12:01 error_log-20251113

実行後、access_logとerror_logがそれぞれaccess_log-20251113、error_log-20251113にリネームされ、 過去のファイルが圧縮されたり削除されたりしているのが確認できます。

一連の手順を通じて、複数のログファイルを一元管理する方法があるということが理解できたのではないでしょうか？

現場で「ハマらない」ための重要ポイント

ログローテートはどのタイミングで実行される？

Logrotate は、cron や systemd のタイマー機能を使って定期的に実行されるように設定されています。

多くの Linux ディストリビューションでは、/etc/cron.daily/logrotate のようなスクリプトが用意されており、これが定期的に Logrotate コマンドを実行します。この仕組みがあるため、手動でコマンドを実行しなくても、設定ファイルに記述されたルール（例：dailyディレクティブやweeklyディレクティブ）に基づいて自動的にログローテートが行われるのです。

「設定ファイルを作成したのに動かない」という場合は、まずこの自動実行の仕組みが正しく動作しているか確認することも念頭に入れると良いです。

ログが追記されない！？postrotate ディレクティブの重要性

postrotateディレクティブ は、ログが途切れることなく記録されるようにするための、Logrotate で重要な設定の一つです。

なぜ postrotateディレクティブが必要か？

Apacheやphp-fpmのような多くのミドルウェアは、一度ログファイルを開くと、そのファイルハンドルを保持し続けます。Logrotateがファイルをリネームしたり削除したりしても、ミドルウェアは古いファイルハンドルを参照し続けるため、ログが新しいファイルに追記されなくなる問題が発生します。

この問題を解決するのが、postrotate ディレクティブです。

postrotateディレクティブが問題を解決する！

postrotateディレクティブは、ログローテート完了後に実行されるスクリプトやコマンドを定義するディレクティブです。

postrotateディレクティブに、ミドルウェアが新しいログファイルに正しくログを追記できるよう、ログファイルを再読み込みさせるためのスクリプト、コマンドなどを記述します。今回の検証に利用したApacheであればHUPシグナルを利用できるため、ローテート実行後に、Apacheのプロセスを再起動せずに設定ファイルを再読み込みし、同時に現在開いているログファイルへのハンドル（ファイル記述子）を閉じ、新しいファイルを開き直す動作を実現できます。これにより、クライアントとのサービスを維持したまま、ログが途切れることなく新しいファイルに正しく記録されます。

prerotate ディレクティブの設定について

prerotateディレクティブは、postrotateディレクティブとは逆で、ログファイルがローテートされる直前に実行されるスクリプトを定義するディレクティブです。主な利用方法としては、ローテート処理中のログ欠損やファイル破損を防ぐ際に利用します。

主な役割

ログファイルに書き込みを行っているサービス、プロセスが存在する場合、そのサービス、プロセスを停止させずにローテート処理を実行すると、一部ログデータの欠損やファイル破損を招く可能性があるため、prerotateディレクティブが使用されるケースがあります。

• 利用方法: ログを出力しているサービスを一時的に停止し、postrotateディレクティブと併用しサービスを再開する運用が行われるケースがある。
• 注意点: リアルタイム性が求められるWebサービスにおいて、サービスの一時停止はユーザーへの影響が大きいため利用は推奨されない。この運用は、バッチ処理やメンテナンス期間がある環境に推奨。
• 推奨される環境：
  • 定期的に実行停止されるバッチ処理やcronジョブ
  • 開発・ステージング環境
  • 重要度の低いバックグラウンドサービス
  • HUPシグナルを利用できるApacheやNginxとは違い、HUPシグナルを利用できないサービス

記述形式方法はpostrotateディレクティブと似ています。 endscriptディレクティブまでの間に実行したいスクリプトを下記のとおり記述します。

prerotate
    # ここに実行したいスクリプトやコマンドを記述
    /usr/bin/systemctl stop some-service.service
endscript

Logrotate対象にならないログとは？

Logrotateは、ログファイルへの追記のみを行うプレーンテキスト形式のログに最適です。以下のログはLogrotateの適用対象外、または利用が推奨されません。

1. ログの「形式」：バイナリである（プレーンテキストではない）

これは技術的にLogrotateが処理できないケースです。

• 対象: ログファイルの内容がテキストエディタで開いても読めない、または構造化されたバイナリデータ
• 理由: Logrotateはファイルの読み書きを直接行わず、ファイル名のリネームやシグナル送信に依存します。しかし、バイナリ形式のログは、その構造上、システムやアプリケーション独自のツールでなければ安全に管理（パース、分割）ができないため
• 例: systemd-journaldのようなジャーナル形式のログ（バイナリログ）

2. ログの「管理主体」：アプリケーション自身がファイル操作を行う

これはLogrotateの操作と競合するため、適用が推奨されないケースです。

• 対象: アプリケーション（ミドルウェア）自身が、容量や時間に応じてログファイルをリネーム、圧縮、削除する機能（つまり、独自のローテート機能）を持っている場合。
• 理由: Logrotateがログファイル名をリネームした直後に、アプリケーションもログファイルをリネームしようとするなど、操作が競合し、ログの欠損やファイルハンドルのエラーを引き起こすリスクがあるため
• 例: Javaロギングフレームワーク (Logback/Log4j)など、フレームワーク自身がローテート機能を担う物

おわりに：Logrotateを使いこなすための3つのポイント

Logrotate を安全かつ効果的に運用するには、以下の3つのポイントを押さえることが重要です。

• 検証の徹底: 本番環境に適用する前に、必ず--debug（debugモード）で設定をシミュレーションし、問題がないことを確認する。
• 仕組みの理解: Logrotateの自動実行の仕組みと、postrotateの役割を把握することが不可欠。これにより、ログの欠損を防いだり、ログのアプリケーションが正常に動作し続けることを確認する。
• ログの特性把握: すべてのログがLogrotateで管理できるわけではない。対象のログが、Logrotateが処理できないバイナリ形式であったり、アプリケーションが独自のログ管理機能を持っていないかを確認する。

本記事が、日々のログ管理の一助となれば幸いです。最後までお読みいただき、ありがとうございました！

参照情報源

logrotateのmanページ(公式ドキュメント)※manコマンドより確認

Apache HTTP Server（Apache）公式ドキュメント

本記事では、AWS Lambdaを利用してWebアプリケーションを開発するために導入した AWS Lambda Web Adapter について、その導入経緯や簡単な利用方法を紹介します。

AWS Lambda Web Adapterを利用した経緯

私が所属するチームではコンテナによる開発・運用を積極的に取り入れています。本番環境においては、クラウドのマネージド・サービスを利用して運用負荷を軽減したいという要望もあり、社内システムをAmazon ECS上で稼働させているケースが多くあります。Amazon ECSはAWSが提供しているコンテナオーケストレーションサービスの1つです。

今回開発した社内システムについても、当初はAmazon ECSによる稼働を想定していました。しかしながら、今回開発した社内システムは実験的な位置づけということもあり、スモールスタートでコストを抑えて運用をしたいという要望がありました。そのため、将来的にはAmazon ECSによる運用を想定しつつも、運用開始時はAWS Lambdaを利用してコストを抑える方針をとりました。

AWS Lambdaを利用してWebアプリケーションを開発する場合、特定の形式に従ったハンドラ関数を定義する必要があります。そのため、通常のWebアプリケーションのコードをそのままAWS Lambda上で動作させることはできず、ハンドラ関数のシグネチャを満たすようにコードを修正する必要があります。また、私が所属するチームではAWS LambdaをWebアプリケーションの基盤として本格的に利用するのが初めてだったため、ローカル開発環境の整備も必要な状況でした。

こうした課題を解決する手段を調査する中で、AWS Lambda Web Adapterの存在を知りました。以降はAWS Lambda Web Adapterで解決できる課題と簡単な利用方法について紹介します。

AWS Lambda Web Adapterとは

AWS Lambda Web AdapterはAWS社が中心となって開発しているOSSライブラリです。 　 AWS Lambda特有のハンドラ関数を定義せずに通常のWebアプリケーションをAWS Lambda上で実行できる点がAWS Lambda Web Adapterを利用する大きなメリットです。また、ローカルの開発環境についても通常のWebアプリケーション開発と同様の環境を利用できる点もメリットの1つです。

AWS Lambda Web AdapterはAWS LambdaランタイムとWebアプリケーションの間で動作するアダプターです。具体的な動作としては、AWS LambdaランタイムとWebアプリケーションの間で通信を仲介し、リクエスト・レスポンスを変換します。そのため、AWS Lambda特有のハンドラ関数を定義する必要がなく、通常と同じWebアプリケーションとしてコードを作成するだけでAWS Lambda上でアプリケーションを実行できます。

AWS Lambda Web Adapterの使い方

AWS Lambda Web Adapterの説明のため、コンテナ化されたWebアプリケーションについて考えます。例えば、PythonとFastAPIフレームワークを利用してWebアプリケーションを開発する場合、Dockerfileは下記のようなイメージとなります。

FROM python:3.13

WORKDIR /code

# ライブラリをインストールする
COPY ./requirements.txt /code/requirements.txt
RUN pip install --no-cache-dir --upgrade -r /code/requirements.txt

# アプリケーションコードをコピーする
COPY ./app /code/app

# アプリケーションを起動する
CMD ["uvicorn", "app.main:app", "--host", "0.0.0.0", "--port", "8080"]

AWS Lambda Web Adapterはコンテナ化されたWebアプリケーションと合わせて利用します。具体的にはAWS Lambda Web Adapterのコードをコピーする設定をDockerfileに1行追加します。

FROM python:3.13

WORKDIR /code

# -- この行を追加する --
COPY --from=public.ecr.aws/awsguru/aws-lambda-adapter:0.9.1 /lambda-adapter /opt/extensions/lambda-adapter

# ライブラリをインストールする
COPY ./requirements.txt /code/requirements.txt
RUN pip install --no-cache-dir --upgrade -r /code/requirements.txt

# アプリケーションコードをコピーする
COPY ./app /code/app

# アプリケーションを起動する
CMD ["uvicorn", "app.main:app", "--host", "0.0.0.0", "--port", "8080"]

上記のように、Dockerfileのその他の内容は通常のWebアプリケーション開発と同じものを利用できます。そのため、AWS Lambda特有のハンドラ関数のシグネチャを満たすように修正する場合と比較して、修正を大幅に簡略化できます。また、AWS Lambda Web Adapterの利用をやめる際にもDockerfileから設定を1行削除するのみで対応が完了します。Amazon ECSなどへ運用基盤を移行する際にも修正が容易です。

AWS Lambda Web Adapterはいくつかの項目を環境変数で設定できます。環境変数の設定は、ローカルで開発する場合はターミナルで設定し、Lambdaで実行する場合はAWSマネジメントコンソールでLambda環境変数として設定します。例えば、Webアプリケーションのポート番号（AWS_LWA_PORT）やヘルスチェックのパス（AWS_LWA_READINESS_CHECK_PATH）といった項目です。今回開発したWebアプリケーションでは、AWS Lambda Web Adapterがデフォルトで利用するポート番号（8080）を変更する必要があったため、AWS_LWA_PORTを利用してポート番号を設定しました。設定項目の一覧はGitHubリポジトリのドキュメントを参照してください。

以上のように、Dockerfileへ設定を1行追加するだけでAWS Lambda上で動作するWebアプリケーションを開発できます。今回開発した社内システムについても通常のWebアプリケーション開発と同じ感覚で開発を進めることができ、開発者体験としてもよいものだったと感じています。

おわりに

本記事では、AWS Lambdaを利用してWebアプリケーションを開発するために導入した AWS Lambda Web Adapter について、その導入経緯や簡単な利用方法を紹介しました。AWS LambdaでWebアプリケーションを開発する際に便利なのでぜひ試してみてください。

このブログ内で2012年に公開した全6回のnginx連載は、今なお多くの方に見ていただけています。 そこで今回は、連載当時から現在までで内容のアップデートがあった箇所をピックアップして紹介します。

結果としては、基本的な設定方法などはほとんど変わっておらず、連載で紹介した設定が今でも利用可能であることがわかりました。 その一方で、新しいプロトコルへの対応やnginx自体を取り巻く状況などが変わっていましたので紹介します。

連載時（2012年）のnginxの安定版バージョンは1.0.12でした。2025年6⽉現在の最新安定バージョンは1.28.0になっています。

nginx連載当時はまだnginxが日本で流行り始めたころであり、webサーバーのシェアとしては訪問者数トップ100万サイトのサーバーで10%程度と紹介しています。 連載時にも参照したNetCraft社による調査の2024年版である「september-2024-web-server-survey」によると、2024年9月時点ではnginxはトップサーバーで20.29％のシェアになっています。 nginxは一時期26％のシェアを持っていましたが、近年はシェアが減少傾向となっています。 これは簡単にウェブページを公開できる様々なwebホスティングサービスが増え、新たにwebサーバーを自前で管理し公開するケースが全体的に減少し、nginxやApache HTTP Serverなどのシェア減少につながっていると考えられます。

また、nginxはNginx.Incによる管理でしたが、Nginx.IncがF5 Networks.Incに買収されたことにより、F5 Networks.Incの管理となっています。 2024年にコア開発者がF5社との方向性の違いなどによりnginxの開発から離れ、freenginxというnginxフォークが開発されていたりします。

nginx連載時から設定の変更があった点

nginx連載で紹介した設定のうち、変更があった点を紹介します。 ただ冒頭でも書いたように、以前の連載から大きな変更はなく、連載6回目で紹介しているSSL/TLS周りの設定で少し変更があったのみでした。

sslディレクティブの削除

sslディレクティブがver1.25.1で削除されました。 ver1.25.1以降はlistenディレクティブ内でだけsslが指定できるようになっています。

ver1.15.0からすでにsslディレクティブはdeprecatedになっており、sslディレクティブを利用すると警告が出る状態になっていました。 しかし、ver1.25.1からsslディレクティブが削除され利用できなくなりました。

listen 443;
ssl on;

ver1.25.1以降は下記のようにlistenディレクティブでのみ指定するようになりました。

listen 443 ssl;

TLS1.3の追加とデフォルトでの有効化

ssl_protocolsでは、ver1.13.0から指定できるプロトコルにTLS1.3が追加され、ver1.23.1からデフォルトでTLS1.3が有効になりました。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

新しくできるようになったこと

以前の連載からここ数年まででの大きな変更点は、HTTP2、HTTP3、QUICプロトコルに対応したことです。 また、ver1.25.1まではHTTP2を有効にする際、listenディレクティブでhttp2と指定していましたが、ver1.25.1以降は別途http2ディレクティブでon|offを指定するようになりました。

;; ver1.25.0以前
listen 443 ssl http2;

;; ver1.25.1以降
listen 443 ssl;
http2 on;

QUICとHTTP3はver1.25以降であればビルドせずに利用できます。 ただし、2025年6月現在ではどちらも実験的サポートである点には注意が必要です。 HTTP3はHTTP2と同様にhttp3ディレクティブでonを指定することで有効化できます。 また、QUICはlistenディレクティブで指定することによって有効化できます。

http3    on;
listen 443 quic;

HTTP3とQUICの設定については、下記公式ドキュメントを参考にしてください。

• Module ngxhttpv3_module
• Support for QUIC and HTTP/3

ngx_stream_pass_moduleの追加

nginx連載では触れていない部分ですが、streamディレクティブ内でpassディレクティブが使える様になったので紹介します。 以前からstreamディレクティブでサーバーを設定した場合に、proxy_passディレクティブを利用することで通信をプロキシさせることは可能でした。 しかし、ver1.25.5よりngx_stream_pass_moduleが追加され、passディレクティブを利用することでプロキシではなくクライアントからの通信を直接上流に渡せることができるようになりました。

実際にpassディレクティブを使用したときの動作を下記の環境で確認してみました。

• nginxサーバー（クラウド上の仮想サーバー）
  • OS: AlmaLinux OS 8.10
  • nginx: nginx 1.26.0
• アクセス元（ローカルPC）
  • curl 8.7.1

今回の検証では、streamディレクティブ以外のnginx設定については、nginxインストール時のデフォルトのものを利用します。 そのため、80番ポートにHTTPアクセスすることでnginxのウェルカムページが表示されるようになっています。

nginx.confの末尾に下記設定を追記してstreamでリクエストを受け付け、80番ポートで受け付けている仮想サーバーに通信を受け渡すように設定します。 また、proxy_passとpassの挙動の違いを確認するため、両方の設定を追加して確認していきます。

# /etc/nginx/nginx.confに追記

http {
    ## コンテンツ用(一部抜粋)
    server {
        listen       80;
        listen       [::]:80;
        server_name  _;
        root         /usr/share/nginx/html;

        ...
    }
}

stream {
    ## 検証用(passディレクティブ)
    server {
        listen 8443 ssl;
        error_log /var/log/nginx/stream.log info;

        # 自己証明書を作成・指定
        ssl_certificate     /etc/nginx/ssl/crt.pem;
        ssl_password_file   /etc/nginx/ssl/password;
        ssl_certificate_key /etc/nginx/ssl/private.key;

        # ngx_stream_pass_moduleで追加されたpassディレクティブを利用する
        pass 127.0.0.1:80;
    }

    ## 検証用(proxy_passディレクティブ)
    server {
        listen 8843 ssl;
        error_log /var/log/nginx/stream_proxy.log info;

        # 自己証明書を作成・指定
        ssl_certificate     /etc/nginx/ssl/crt.pem;
        ssl_password_file   /etc/nginx/ssl/password;
        ssl_certificate_key /etc/nginx/ssl/private.key;

        # proxy_passディレクティブを利用する
        proxy_pass 127.0.0.1:80;
    }
}

設定ができたので、まずは従来どおりプロキシを行う場合でのアクセスをしてみます。 アクセスはcurlで行いますが、テスト用に自己証明書でサーバーを設定しているため、-kオプションをつけて証明書の検証をスキップさせています。

curl https://<nginxサーバーのIPアドレス>:8843 -k

ウェルカムページのアクセスログとstreamサーバーのログを確認すると、正常に通信がプロキシされていることがわかります。 また、通信がプロキシされているため、アクセスログのアクセス元IPアドレスがローカルループバックアドレスになっていることも確認できます。

### ウェルカムページのアクセスログ
127.0.0.1 - - [24/Nov/2024:14:38:16 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/8.7.1" "-"

### streamログ
2024/11/24 14:38:16 [info] 11467#11467: *2 client <ローカルPCのIPアドレス>:64922 connected to 0.0.0.0:8843
2024/11/24 14:38:16 [info] 11467#11467: *2 proxy 127.0.0.1:38972 connected to 127.0.0.1:80

今度は、passディレクティブを利用しているポートへアクセスしてみます。

curl https://<nginxサーバーのIPアドレス>:8443 -k

ウェルカムページのアクセスログではアクセス元のIPアドレスがローカルループバックアドレスではなくなり、ローカルPCのIPアドレスが表示されていることが確認できました。 また、streamのログを確認するとproxy_passを利用した場合と異なり通信をプロキシしたログがなく、通信がプロキシ処理されずに直接上流のサーバーへと渡されていることがわかります。

### ウェルカムページのアクセスログ
<ローカルPCのIPアドレス> - - [24/Nov/2024:14:41:27 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/8.7.1" "-"

### streamログ
2024/11/24 14:41:27 [info] 11467#11467: *5 client :65029 connected to 0.0.0.0:8443

passディレクティブを使うことでプロキシ処理をせずに通信が受け渡されるようになるため、streamで受け付けるサーバーでの分散や単純な後続サーバーへの通信の受け渡しだけを行っている場合は、通信のオーバーヘッドが減り処理性能向上などが見込めそうです。

おわりに

今回はnginx連載のうち主に変更があった点を紹介しました。基本的な設定は変わっておらず、引き続き運用や管理ができるのは嬉しいところです。ただ、新しいプロトコルの対応や機能の追加などもありますので、引き続き情報の収集を怠らず利用していきたいです。

参考として過去のnginx連載の記事URL一覧を記載します。 よろしければ、あわせてご覧ください。

• 連載1回目: nginxの紹介
• 連載2回目: nginxのインストール
• 連載3回目: nginxの設定、その1
• 連載4回目: nginxの設定、その2 - バーチャルサーバの設定
• 連載5回目: nginxの設定、その3 - locationディレクティブ
• 連載6回目: nginxの設定、その4 - TLS/SSLの設定

今回は、ISMSを取得している企業で避けがちな2項目に対処した話を紹介します。前回投稿した「情報セキュリティマネジメントシステム（ISMS）認証取得までの取り組み」に続き、認証取得後の情報セキュリティ強化に関する活動をまとめました。

ISMSは認証取得がゴールではなく、PDCAサイクルに沿って継続的に運用・改善することが求められます。情報セキュリティを取り巻く環境や脅威は常に変化するため、認証取得当初の運用が将来的にも有効であるとは限りません。そこで、弊社では認証取得後もさらなる情報セキュリティの強化を目指し、以下の取り組みを実施しました。

1. BCP訓練の強化
2. クラウドサービスアカウント管理の仕組み化

1. BCP訓練の強化

BCPとは、事業継続計画（Business Continuity Planning）の略称であり、自然災害やクラウドサービスの障害、個人情報漏えいなどのインシデントが発生した場合に、被害を最小限に抑え、事業を継続するための計画です。

「そのようなインシデントは自分の周りでは起こらないだろう」と考えがちですが、実際にはいつ発生しても不思議ではありません。いざという時に適切な連携を取り、対応できるよう、日頃からの訓練が重要です。防災訓練で火災が起きた場合を想定し、消火活動の訓練や避難経路の確認をするように、情報漏えいを想定し、報告先や報告手順を事前に訓練しておくことで、いざというとき冷静に行動できます。

具体的な実施内容

部署別に関連性の高いインシデントの例（以下に記載）を用意し、少人数制のワーキンググループ形式で訓練を実施しました。訓練を円滑に進められるよう、事前に参加者へBCPの重要性や目的をまとめた資料を共有しました。また、訓練当日はISMS事務局が進行を担当することで、参加者間の活発な議論が行えるよう工夫しました。

訓練は、インシデントが発生した際の初動対応から応急対応までの流れを中心に確認を行います。具体的には社内ドキュメントや報告手順の確認と被害拡大を防止する対応策について議論をしました。応急対応までの流れを確認した後に、当日の振り返りを行い、インシデントが発生した場合は速やかに報告することの重要性を再確認し終了となります。

【インシデントの例】

• PCがランサムウェアに感染した場合
• イベント参加中にPCを紛失した場合
• 提供しているサービスの顧客から、意図しないファイルの受信報告を受けた場合
• お客様から情報漏えいの疑いがあるとの報告を受けた場合

実施した気づき

自由な意見交換を通じて、対応手順や留意点を参加者全体で共有することができました。部署ごとに具体的なインシデントの例を用いたことで、実際の状況を想定した手順確認が可能となり、効果的な訓練となりました。 一方で、今回の訓練では初動対応や応急対応の実践的な行動は含まれておらず、対応力の強化には実践を伴う訓練も必要であることに気づきました。実践型の要素を加えることで、さらに実効性のある訓練になるよう、今後の訓練に反映していきます。

また、訓練中に実際の対応手順と照らし合わせながら進めたことで、手順の不備や曖昧な点に気づき、手順の継続的な見直しと更新の重要性を再認識する機会となりました。 インシデント発生時には迅速かつ的確な判断が求められるため、平時から実践に近い形で訓練を行うことが、組織全体の対応力向上につながるという重要な気づきを得ました。

2. クラウドサービスアカウント管理の仕組み化

弊社では業務上多くのクラウドサービスを利用しています。クラウドサービスの選定基準については前回の記事で触れていますので、今回はクラウドサービスのアカウントを適切に管理するための取り組みを紹介します。

弊社では独自のID管理システムでアカウントの管理をしています。APIやSCIMに対応したクラウドサービスはID管理システムに連携させ、アカウントの新規発行や削除を自動で行っています。しかし、APIやSCIMに対応していない多くのクラウドサービスではID管理システムが使えず、手作業でアカウントの管理を行うしかありませんでした。手作業の場合は作業の抜け漏れが発生しやすく、結果として不要な権限やアカウントが棚卸のタイミングまで残存し続け、情報漏えいのリスクが高まることが課題でした。

まずはアカウント管理を強化するため、ID管理用のSaaSサービスの検討を始めました。しかし、APIやSCIMの利用が前提になっているものばかりで、弊社のID管理システムの代替になり得ませんでした。

そこで、削除漏れを通知することを目的として、Google Apps Script（以下「GAS」）を活用し、アカウントを管理する仕組みを自前で構築することにしました。

具体的なアカウントの管理方法

まず、クラウドサービス別にアカウント情報を一元管理するスプレッドシートを作成します。次に、このシートを社内システムと連携させ、アカウントの新規発行と削除依頼をSlackに自動で通知する仕組みをGASで構築しました。

シート上の「ハートビーツ 次郎」さんの退職を例に、具体的な流れを解説します。

1. 次郎さんが退職日を迎える
2. 社内従業員の人事システム等の社員マスターデータから次郎さんのアカウントを削除する
3. 次郎さんの退職をGASで検知し、 関連するアカウントをシートから収集し、サービスA,C,Dの担当者宛に削除依頼をSlackに通知する
4. 通知を受けたクラウドサービスの担当者は、クラウドサービス上でアカウントを削除した後、シートから退職者のレコードを自身で削除する
5. シート上のアカウント発行数が自動的に1つ減る
6. シートの管理者は次郎さんのアカウント発行数が「0」になったことを確認できたら、シートから次郎さんの行を管理者が削除することで完了となる

このような仕組みを取り入れてアカウント管理の仕組みを半自動化したことで、アカウントの削除漏れがなくなり、セキュリティリスクを低減することができました。

おわりに

情報セキュリティはサイバー攻撃の進化など情勢に応じて、絶えず変化します。ISMS取得や維持が目的ではなく、企業の情報資産を適切に保護し利用することが本来の目的なので、目的を見失わずに情報セキュリティレベルを向上し続けるよう活動していきます。ISMS認証を取得されている方や、同じように情報セキュリティを担当されている方の参考になれば幸いです。

普段サーバの監視業務をする中で、HTTPS通信中にクライアントがWebサーバに対してどのホスト名で接続したいかを伝える、TLSプロトコルの拡張機能である「Server Name Indication（以降SNIとする）」を知りました。そこで、今回は運用エンジニア1年生である私の学習も兼ねてSNIの仕組みについて、検証しながら記します。

この記事ではSNIについて実験するために、著者が手馴れているNagiosのHTTP監視プラグインであるcheck_httpコマンドを利用していますが、多くの方に試してもらえるようにopensslコマンドでの確認方法もところどころで併記します。

CDNを利用したWebページの場合、なぜSNIを使う必要があるのか、そしてそもそもSNIとは何か理解したかったため調査・検証しました。

SNIについてよりイメージしやすいよう、本稿はコマンドのデバッグやパケットキャプチャ等でSNIの具体的な姿を確認できる内容になっています。本稿がSNIをより深く理解する助けになれば幸いです。

SNIは一つのWebサーバで複数のドメインをホストする際に利用するための仕組みです。 SNIではHTTPS通信のTLSハンドシェイク時にクライアントがサーバに対し接続したいホスト名を伝えることができます。そうすることでWebサーバがどのSSL/TLS証明書を使うのか切り替えるようにできます。SNIはTLSプロトコルの拡張機能の一つで、RFC6066で標準化されています。

複数のドメイン名をホストする具体例としてWebサーバのソフトウェアであるnginxやApacheのバーチャルホストの機能が挙げられます。SNIを利用することによりSSL/TLS層でドメイン名を判別できるため、ドメイン名ごとにSSL/TLS証明書の使い分けが可能になります。

SNIを利用することのできるコマンド

以下ではSNIを利用する方法を説明します。

check_httpコマンドでSNIを利用する

check_httpの使い方についてはNagios Pluginsのcheck_httpを使いこなそうを参考にしてみてください。

ここではSNIを利用するための--sniオプションに注目します。--sniオプションについて、check_httpコマンドの--helpオプションでは以下のように説明されています。

$ check_http --help
〜省略〜
 --sni
    Enable SSL/TLS hostname extension support (SNI)
〜省略〜

SNIはTLSの拡張機能なので次のように--sslオプションと併用します。

$ check_http -H example.com -f follow --ssl --sni
HTTP OK: HTTP/1.1 200 OK - 17291 bytes in 0.582 second response time |time=0.582172s;;;0.000000 size=17291B;;;0

Amazon CloudFrontやCloudflare CDNといったContents Delivery Network（以降CDNとする）を利用したWebページに対してcheck_httpコマンドを実行する場合、--sniオプションを付けずに実行すると以下のようにCannot make SSL connectionが応答します。

$ check_http -H example.com -f follow --ssl
CRITICAL - Cannot make SSL connection.
139844870334400:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:769:

opensslコマンドでSNIを利用する

openssl s_clientのヘルプには-servernameオプションが次のように説明されています。

$ openssl s_client -help
～省略～
 -servername val            Set TLS extension servername (SNI) in ClientHello (default)
～省略～

opensslでSNIを利用する場合は、次のようにコマンドを実行します。

$ openssl s_client -connect example.com:443 -servername example.com -quiet
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G3
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert Global G3 TLS ECC SHA384 2020 CA1
verify return:1
depth=0 C = US, ST = California, L = Los Angeles, O = Internet Corporation for Assigned Names and Numbers, CN = *.example.com
verify return:1
^C  (CTRL+Cで止める)

以下からは実際にWebサーバを構築し、RFCの文書を参考にしつつ、コマンドのデバッグ、パケットキャプチャを通して--sniオプションおよびSNIの理解を深めていきます。

検証環境の構築

今回はAmazon EC2のAmazon Linux2のインスタンスを2台起動して次の名前で構築します。

• web-sandbox（Webサーバをインストールするインスタンス）
• nagios-sandbox（check_httpコマンドをインストールするインスタンス）

以下に今回利用するソフトウェアのバージョン情報を示します。

次にそれぞれのサーバでのインストール作業や設定を示します。なお、EC2インスタンスやセキュリティグループ等の設定の説明は省略します。

web-sandboxインスタンス

web-sandboxインスタンスにはnginx、SSL/TLS証明書作成に必要なopenssl、そしてパケットキャプチャをするためのwireshark-cliをインストールします。

### nginxのインストールと起動
$ sudo amazon-linux-extras enable nginx1
$ sudo yum -y install nginx
$ sudo systemctl enable --now nginx

### opensslのインストール
$ sudo yum -y install openssl-devel

### wireshark-cliのインストール
$ sudo yum install -y wireshark-cli

nginxで複数のドメイン名をホストするよう、以下のように設定を追加します。 /usr/share/nginx/html/index.htmlや/usr/share/nginx/html2/index.htmlもそれぞれ別のコンテンツが表示されるように作成しておきます。設定の追加後はnginxの再起動をして設定を反映させましょう。

server {
    listen       80;
    listen       [::]:80;
    server_name  example.com;
    root         /usr/share/nginx/html;
    listen 443 ssl;
    ssl_certificate     /home/ec2-user/server.crt;
    ssl_certificate_key /home/ec2-user/server.key;
}
server {
    listen       80;
    listen       [::]:80;
    server_name  cert1.example.com;
    root         /usr/share/nginx/html2;
    listen 443 ssl;
    ssl_certificate     /home/ec2-user/server1.crt;
    ssl_certificate_key /home/ec2-user/server1.key;
}

今回はSSL/TLS接続を行いたいのでopensslコマンドでSSL/TLS証明書を作成します。ドメイン名が二つあるので二つ作成しておきます。CSRを作成する際に色々と情報の入力を求められますが、今回の検証においてはCommon Name（CN）のみ設定します。

$ openssl genrsa 2048 > server.key
$ openssl req -new -key server.key > server.csr
$ openssl x509 -in server.csr -days 365000 -req -signkey server.key > server.crt

$ openssl genrsa 2048 > server1.key
$ openssl req -new -key server1.key > server1.csr
$ openssl x509 -in server1.csr -days 365000 -req -signkey server1.key > server1.crt

nagios-sandboxインスタンス

nagios-sandboxインスタンスにはNagios Pluginsのcheck_http、SSL/TLS証明書確認のためのopensslと、 コマンドをデバッグするためのgdbをインストールします。なお、デバッグ情報無しでgdbでデバッグしようとすると「Missing separate debuginfos, use: debuginfo-install nagios-plugins-http-2.4.9-1.el7.x86_64」のようなメッセージが表示されるのでそれに従いデバッグ情報をインストールしておきます。

### check_httpのインストール
$ sudo amazon-linux-extras install epel -y
$ sudo yum -y install nagios-plugins-http
$ export PATH=$PATH:/usr/lib64/nagios/plugins

### opensslのインストール
$ sudo yum -y install openssl-devel

### gdbのインストール
$ sudo yum -y install gdb
$ sudo debuginfo-install nagios-plugins-http-2.4.9-1.el7.x86_64 -y

web-sandboxインスタンスに対してドメイン名で接続等できるように/etc/hostsに以下のように追記しておきます。

<web-sandboxのIPアドレス> example.com       # Nginxでの検証に使用
<web-sandboxのIPアドレス> cert1.example.com # Nginxでの検証に使用
<web-sandboxのIPアドレス> cert2.example.com # --verify-hostオプション検証に使用

--sniオプションを付けると何が起きるか理解する

まずはcheck_httpコマンドをデバッグして、--sniオプションを付けた場合に何が起きるか確認してみます。

nagios-sandboxにて以下のようにcheck_http関数をブレークポイントに設定し処理をたどります。setでcheck_httpコマンドのオプションを指定しており、-tでタイムアウト時間を5000秒とすることでデバッグ中にコマンドがタイムアウトすることを防ぎます。

$ gdb /usr/lib64/nagios/plugins/check_http
(gdb) set args -H example.com -f follow --sni --ssl -t 5000
(gdb) b check_http
(gdb) r

そのようにして処理を追うとssl3_ctrlという関数に辿り着きます。ssl3_ctrl関数はcase文で分岐しており、--sniオプションを付けた際の処理はcase SSL_CTRL_SET_TLSEXT_HOSTNAMEの部分にあります。例外処理等を除くと下記3327行目の処理にてSSL構造体のtlsext_hostnameにホスト名（今回の場合はexample.com）を設定していることがわかります。また3312行目から、これらの処理はlargがTLSEXT_NAMETYPE_host_nameの場合に実行されることがわかります。

3311        case SSL_CTRL_SET_TLSEXT_HOSTNAME:
3312            if (larg == TLSEXT_NAMETYPE_host_name) {
〜省略〜
3327                if ((s->tlsext_hostname = BUF_strdup((char *)parg)) == NULL) {
(gdb) n
3243            break;
(gdb) p s
$11 = (SSL *) 0x55555564efc0
(gdb) p s.tlsext_hostname
$10 = 0x555555650480 "example.com"

まとめると、「--sniオプションを付けるとTLSEXT_NAMETYPE_host_nameの場合の処理が実行され、SSL構造体のtlsext_hostnameにホスト名が設定される」ということになります。

次に、WiresharkでSSL構造体から作成された実際のパケットをキャプチャして確認してみます。

パケットキャプチャでSNIを確認する

wireshark-cliをインストールするとCLIでパケットキャプチャできるtsharkコマンドが利用できるようになります。web-sandboxにて以下のように実行してパケットキャプチャを起動します。<IPアドレス>にはnagios-sandboxのIPアドレスを設定します。また、-wオプションを指定しpcap-formatのキャプチャファイルを作成します。

$ sudo tshark -i eth0 -f "host <IPアドレス>" -w /tmp/sni.cap
Capturing on 'eth0'

キャプチャを開始したらnagios-sandbox側でcheck_httpコマンドを実行します。

$ check_http -H example.com -f follow --ssl --sni

実行が完了したらweb-sandboxでCtrl+C等でキャプチャを終了し、作成されたキャプチャファイルを確認してみます。キャプチャファイルを手元のPC等にダウンロードしてからGUIのWiresharkで開くと見やすいです。SNIはClient Helloパケットに設定されるので、Client Helloパケットの内容を確認します。すると以下画像のように、SNIは長さの情報を除くと「Server Name Type」と「Server Name」で構成されていることがわかります。

先ほどデバッグで確認した「--sniオプションを付けるとTLSEXT_NAMETYPE_host_nameの場合の処理が実行され、SSL構造体のtlsext_hostnameにホスト名が設定される」がパケットにも反映されていることが確認できました。この時点でまだわかっていないのは「Server Name Typeが何か」です。次にRFCでSNIについて確認してみます。

RFCを読んでServer Name Typeを理解する

まずSNIの構造を確認します。RFC6066の「3. Server Name Indication」で示されているServerName構造体を見ると、先ほどパケットキャプチャで確認した「Server Name Type」と「Server Name」に対応する「NameType」と「HostName」が含まれています。「NameType」はcase文で表現されているものの、「host_name」一種類のみであることがわかります。

     struct {
          NameType name_type;
          select (name_type) {
              case host_name: HostName;
          } name;
      } ServerName;

RFC6066の「3. Server Name Indication」にてNameTypeについて以下の記述があります。

Currently, the only server names supported are DNS hostnames; however, this does not imply any dependency of TLS on DNS, and other name types may be added in the future (by an RFC that updates this document). The data structure associated with the host_name NameType is a variable-length vector that begins with a 16-bit length. For backward compatibility, all future data structures associated with new NameTypes MUST begin with a 16-bit length field. TLS MAY treat provided server names as opaque data and pass the names and types to the application.

要約すると、「現在Server Nameとして利用できるのはDNSのホスト名のみだが、DNSに依存せず将来的に他の形式のServer Nameも利用できるようにNameTypeがある」といった内容です。そのため現在（2025年5月時点）NameTypeに設定されるタイプはDNSのホスト名であることを示す「host_name」のみです。

以上、check_httpコマンドのデバッグ、パケットキャプチャ、RFC読みを通してSNIの具体的な姿を確認できました。ここからはSNIによってWebサーバがどのように動作するかを確認していきます。

SNIによるWebサーバの動作を理解する

SNIが設定されている場合のnginxの動作

opensslコマンドを使って確認します。nagios-sandboxインスタンスで以下のようにコマンドを実行します。

$ openssl s_client -quiet -connect example.com:443 -servername example.com
depth=0 C = XX, L = Default City, O = Default Company Ltd, CN = example.com
〜省略〜
$ openssl s_client -quiet -connect cert1.example.com:443 -servername cert1.example.com
depth=0 C = XX, L = Default City, O = Default Company Ltd, CN = cert1.example.com
〜省略〜

-servernameオプションでSNIを指定しています。それぞれホスト名に対応したSSL/TLS証明書が使用されていることがわかります。

SNIが設定されていない場合のnginxの動作

では、SNIが設定されていない場合はどのような動作になるのでしょうか。opensslコマンドにて以下のように-servernameオプションを指定せずに実行して確認します。

$ openssl s_client -quiet -connect example.com:443
depth=0 C = XX, L = Default City, O = Default Company Ltd, CN = example.com
〜省略〜
$ openssl s_client -quiet -connect cert1.example.com:443
depth=0 C = XX, L = Default City, O = Default Company Ltd, CN = example.com
〜省略〜

cert1.example.comで接続しているにもかかわらず、example.comのSSL/TLS証明書が使用されていることがわかります。なお、check_httpコマンドで--sniオプションを付けずにコンテンツを確認してみると、コンテンツはホスト名に対応したバーチャルホストのものが応答していることがわかります。

$ check_http -H example.com -f follow --ssl --string "Contents of example.com"
HTTP OK: HTTP/1.1 200 OK - 255 bytes in 0.009 second response time |time=0.009181s;;;0.000000 size=255B;;;0
$ check_http -H cert1.example.com -f follow --ssl --string "Contents of cert1.example.com"
HTTP OK: HTTP/1.1 200 OK - 261 bytes in 0.010 second response time |time=0.009922s;;;0.000000 size=261B;;;0

nginxはSNIが設定されていない場合はデフォルトサーバのSSL/TLS証明書が使われるようです。筆者はApacheでも同様の検証を行いましたが、同様にDefault Virtual HostのSSL/TLS証明書が使用されました。

以上の検証から、WebサーバがSSL/TLS接続でホスト名に対応したSSL/TLS証明書を利用するためにSNIのHostNameを用いることがわかりました。また、そのHostNameを設定するためにcheck_httpの--sniオプションが必要であることがわかりました。

補足情報

以下は今回検証する中で知ったSNIやcheck_httpコマンドに関する補足的な情報です。

SNIが設定されていない場合に接続を拒否する

CDNを利用したWebページに対し--sniオプションなしでcheck_httpコマンドを実行した際はCannot make SSL connectionが応答します。しかし、nginxでは--sniオプションを付けない場合、デフォルトサーバのSSL/TLS証明書が使用されるもののSSL接続は成功します。

nginxでSNIが設定されていない場合にCannot make SSL connectionを応答するには以下の設定を追加する必要があります。

server {
    listen 443 ssl;
    ssl_reject_handshake on;
}

Apacheの場合は以下の設定を追加します。nginxと違いSNIがない場合にHTTP 403 Forbiddenが応答します。

SSLStrictSNIVHostCheck on

check_http --verify-hostオプションでSSL/TLS証明書を検証する

check_httpコマンドのオプションに--verify-hostがあります。--ssl、--sniオプションと併用し、-Hで指定したホスト名に対してSSL/TLS証明書が正しいものかチェックできます。ホスト名とSSL/TLS証明書のCommon Nameが一致しない場合、CRITICAL - Hostname mismatchが応答します。

$ check_http -H cert2.example.com -f follow --ssl --sni --verify-host
CRITICAL - Hostname mismatch.

SNIを暗号化するEncrypted Client Hello

SNIは平文でドメイン名が保持されるため、パケットキャプチャ等でSNIを確認することで通信している先を誰でも判別できてしまいます。完全に秘匿された通信を実現するためにはSNIを暗号化して隠す必要があります。それを実現するのがEncrypted Client Hello（以降ECHとする）です。ECHは現在（2025年5月時点）draft-ietf-tls-esni-24にてRFC策定が進められています。

ECHについて個人的に追いかけてみたいと思いましたので、次回はECHまわりの検証についてブログを書こうかと思っています。

参考文献

• RFC 6066 - Transport Layer Security (TLS) Extensions
• draft-ietf-tls-esni-24 - TLS Encrypted Client Hello
• Nagios Pluginsのcheck_httpを使いこなそう - インフラエンジニアway - Powered by HEARTBEATS
• SSLを利用するための自己証明書（オレオレ証明書）の設定メモ - Qiita
• mod_ssl - Apache HTTP Server Version 2.4
• #195 (Close connection if SSL not enabled for vhost) - nginx
• nginx連載6回目: nginxの設定、その4 - TLS/SSLの設定 - インフラエンジニアway - Powered by HEARTBEATS
• Wiresharkを使った通信監視（後編）――コマンドラインベースでのパケットキャプチャ | さくらのナレッジ

こんにちは。MSPグループエンジニアリングチームの川邉（かわべ）と申します。2024年7月に中途採用で入社いたしました。

このブログでは、私がハートビーツに入社して一番「すごい」と思っている「ナレッジためぞう」についてお伝えします。

入社の一週間ほど前のことです。オンラインで内定者座談会を開催していただきました。内定者座談会はハートビーツのオンボーディング施策の1つで、一緒に働くチームメンバーと顔合わせをしてコミュニケーションを取り、入社前の不安感を軽減するというものです。私からの質問にも答えていただきました。

そのとき書いたメモに、こう書いてあります。「情報共有ツールが、なんかすごい、便利そう！」

私が「長時間のデスクワークが苦手なのですが、みなさんはどのようなイスを使っていますか？」という質問をしたときのことです。チームメンバーの方々に答えていただいた後、「こういうページもありますよ！」と画面を共有して見せてもらったのが、「僕の机」というタイトルのページ。たくさんの社員の方々が自分の作業環境を紹介していました。モニタやイス、机、キーボードなど人それぞれのこだわりを垣間見ることができて興味深く、またそれにたくさんコメントがついているのがおもしろく感じられました。ページの中でこんなふうに交流しているなんて、仲が良くて楽しそうな会社だなという印象を受けました。

同時に、「このページを載せている情報共有ツールはなんだろう？」と興味を惹かれました。

その情報共有ツールが「ナレッジためぞう」でした。

「ナレッジためぞう」とは？

「ナレッジためぞう」は、株式会社Helpfeelが提供するScrapboxというナレッジ共有サービスを利用した、ハートビーツの社内Wikiです。 誰でも簡単に新しいページを作ることができて、書いた内容は即反映され、誰でも閲覧して編集できます。ほかのページへのリンクも簡単です。階層構造がなく、ページを探したいときは検索します。

「ナレッジためぞう」の利用ポリシーのページにはこのように書かれています。

• 整理しなくていい
• 書きかけでいい
• 誰でも書き換えていい
• 迷わずに書く
• ページは小分けに
• ページをどんどんつなげる

実際、膨大な数のコンテンツが「ナレッジためぞう」には、あります。執筆時点（2024年12月）で、19641ページもあります。 業務に必要な案件の情報、記録、議事録などが集約されているのはもちろん、技術的な情報もたくさんあります。そして、最初に紹介した「僕の机」のようなページもあり、会社周辺の飲食店、健康診断や人間ドックの体験記、料理のレシピ、本の紹介、など多岐にわたります。各ページの下の方には関連ページも表示されるので、どんどんリンクをたどって読んでいると楽しくて時間を忘れるほどです。

ちなみにこの社内Wikiを「ナレッジためぞう」と呼ぶ人は少なく、サービス名の「Scrapbox（スクラップボックス）」がよく使われています。Scrapboxは2024年5月に「Helpfeel Cosense」とサービス名が変わりましたが、ハートビーツ社内では使い慣れた「Scrapbox」の方で定着しているようです。

書くことを推奨するカルチャー

たくさんの情報が「ナレッジためぞう」に集まっているのは、なんでも記録し、検索して読めるようにしておくことが社員に習慣づけられているからです。 入社するとまず「ナレッジためぞう」に自分のプロフィールページを作ります。研修が始まると、毎日日誌を記録していきます。社内ミーティングの記録も、案件ごとの記録も、個人の業務日誌も蓄積されていきます。研修や業務で学んだ知識は「Scrapboxで書いておくとよいですよ」と先輩エンジニアに勧められます。

ハートビーツに入社して驚いたのが、作業の手順を前もって詳細に書いておき、作業時に表示された内容なども記録していることです。最初は「そんなに細かいところまで？」と思いましたが、丁寧に手順を書いてダブルチェックを経ることで確実に作業を遂行できます。また、出力の記録も、エラーメッセージやファイル名などで「ナレッジためぞう」を検索することがあるので、誰かの役に立ちます。

以前は、技術的なことを調べたいときはあたり前のようにGoogleで検索していました。しかし入社してしばらくしてからは「何か社内の情報があるかな」と、先に「ナレッジためぞう」で検索することが多くなりました。実際それで見つかることも多く、そのたびに「『ナレッジためぞう』は、やっぱりすごいな」と驚き、たくさんの先輩エンジニアの情報に日々助けられていると感じます。

資格取得の体験記をシェア

私も、書きたいことがふっと湧いてきて「これは『ナレッジためぞう』に書いておけばよいのでは？」と思うことがよくあります。 最近私は、資格試験の体験記を書きました。資格試験の受験体験記は、私が「ナレッジためぞう」でよく見るコンテンツの1つです。

ハートビーツでは資格取得支援制度があり、受験料はもちろん、勉強のためのテキストやオンライン教材の費用も会社が負担してくれます。たくさんの社員が資格取得にチャレンジし、その体験が「ナレッジためぞう」には蓄積されています。勉強方法、準備期間、抑えるべきポイントなど、先に同じ試験を受けた人の情報はとても役に立ちました。

特に多いのがAWS認定試験の受験体験記です。一人で複数の資格を取る方もいます。私もAWS認定資格はできるだけ多く取得したいので、参考にして今後もチャレンジしていきたいです。

おわりに

業務の遂行になくてはならない存在であり、また技術や知識をシェアできる場であり、さらに社員どうしのコミュニケーションも仲立ちしている「ナレッジためぞう」。入社前の「すごい」という印象は、入社して実務を知るにつれ、単なる「すごい」ではなく「なくてはならない」存在だとわかりました。

しかし、すごいのは「ナレッジためぞう」ではなく、その中身を書いているハートビーツ所属エンジニアの技術力と、それを活用してフルリモートでも円滑に業務を進めるしくみが確立されているところではないでしょうか。たくさんのナレッジが社内に蓄積されていて簡単に参照できると、圧倒的な安心感をもって働くことができます。これはハートビーツで働くうえでの魅力の1つであると思いました。

そんなハートビーツについてもっと知りたい、自分も働いてみたいと思った方はぜひ、カジュアル面談（https://recruit.heartbeats.jp/recruit/）から、お気軽にご応募ください！

2024年の活動をいくつかご紹介させてください。

・AWSの提供するセキュリティサービスの高い専門性を証明する「Level 1 MSSP コンピテンシー」を取得
　https://heartbeats.jp/info/pressrelease/20241126_01/

・重要ファイル転送プラットフォーム「Kozutumi」利用企業数が2,000社を突破
　https://heartbeats.jp/info/pressrelease/20241010_01/

・トレンドマイクロ CSPパートナーに認定されました
　https://heartbeats.jp/info/pressrelease/20241114_01/

・中学生の職場体験受け入れを行いました
　https://heartbeats.jp/info/topics/20241025_01/

・「LAPRAS HR TECH LAB」でハートビーツの採用活動を記事にしていただきました
　https://heartbeats.jp/info/topics/20240813_01//

昨年も 様々なところで皆様からチャンスを頂きましたこと、この場をお借りしてお礼申し上げます。
その他の活動についてはニュース一覧を御覧ください。

・ニュース 一覧
　https://heartbeats.jp/info/

2025年も更なる成長を目指し、皆様と共に進化してまいります。
私どもの得意分野でお困りのことがございましたらお仕事でご一緒できる機会があれば幸いです。

・クラウド・アクセラレーション事業 | 企画から開発、運用まで一貫したサービスを提供
　https://heartbeats.jp/service/

・Kozutumi | 脱PPAPに最適な重要ファイル転送プラットフォーム
　https://kozutumi.com

皆様と共に、2025年を良い年にすることができるよう邁進してまいります。
引き続き、ご指導ご鞭撻ご贔屓の程、宜しくお願い申し上げます。

人材育成の観点で、テレワークという環境下の中、みんなが最大限パフォーマンスを出すために何ができるのかは大きな課題の一つでした。そこで本屋でいろいろな本を物色していた中、「遊ばせる技術 チームの成果をワンランク上げる仕組み」という本で次の3つのフレーズ、「テレワークにおけるパフォーマンス低下の問題」、「社員の自律やモチベーションの低下に悩む管理職は多い」、および「仕事における面白さをどのように醸成するのか」が目に入り、私の感じている課題感にマッチしていたので読んでみました。

参考文献
- 遊ばせる技術 チームの成果をワンランク上げる仕組み
- 神谷 俊 著
- 発行年月：2020年04月
- 頁数：208
- https://bookplus.nikkei.com/atcl/catalog/2021/9784532324001/

著者の神谷さんは、リモート環境下の「職場」を研究するバーチャルワークプレイスラボを設立し、数多くの企業のテレワーク移行支援を手掛け、継続的にオンライン環境における組織マネジメントの知見を蓄積されています。

※注意。本ブログでは参考文献を要約としてまとめたものではなく、本を読んだ上で我々にとって必要と感じた部分を引用する形としています。参考文献について興味を持たれた方はぜひ直接原著を読んでみてください。

新型コロナウィルスの大流行を契機として、弊社では2020年にリモートワーク体制に完全移行しました。オフィス勤務前提の業務体系を一気にリモートワーク体制に変えることになったわけですから、他社同様に弊社としても挑戦的な取り組みとなりました(私が⼊社する少し前に完全移⾏となりました)。

それまでの一緒に対面しながら同僚達と仕事をする業務スタイルから、インターネットを介し協調して業務を進める業務スタイルへ突然変更になったので、最初はとまどった人が多かったようです。しかし現在はリモートワークが完全に定着して、リモートワークならではの特性を生かした取り組みも進んでおります。特に、これまで東京にしか拠点がなくて難しかった地方採用を積極的に行うようになり、現在は北海道、東北、関西、九州、沖縄等、全国的な採用が進み、地域の多様化につながったことは完全リモートワーク化の副産物として結果的に大成功でした。

リモートワーク体制では、一般的にメンバー間の交流が希薄化されがちです。この問題については例えば次のようなことが社内で広く実施されています。

・対面で実施するワークショップや会議(地方勤務者は東京に出張して実施する)
・オンラインで実施する月例朝会、ランチ会、もしくは打ち上げ等
・各地域毎に行われるリアル会食(大阪飲み会、福岡飲み会等)

このように、今ではリモートワーク体制が定着していますが、一方でリモートワーク環境を継続するにあたり、みんながもっとパフォーマンスを出せるようにしていくという観点では、リモートワークならではの効果的な働き方がもっとできるのではないか、もしくはリモートワーク下でのマネジメントをもっと体系化できるのではないか等、まだまだやれることがあるのではないかと考えています。

今回そういう視点を持ちながら参考文献を読んでみました。

テレワークと「型」

参考文献には、テレワークのようにメンバーが分散した状況で協働を進めるためには、個々の社員が達成すべき成果目標や役割などの業務構造やルール、チーム内での会議や面談の頻度などの活動をパターン化することが不可欠と書かれています。本書ではこのパターンのことを「型」と定義しています。

「型」は社員がテレワーク環境で自律的に働きやすいように構築されます。しかし、自律を促すための「型」が反対に社員の自律的な思考や活動を縛り、強制的に方向づけるようなコントロールを生み出した結果、「テレワークになり仕事はしやすくなったけど、自由度は下がった」などと感じるようになります。

そして部下が「型」によってコントロールされているにもかかわらず、上司が「自律を促している」「チームは自律が進んでいる」と解釈して、誤ったマネジメントが継続されるケースが見られるようです。

このように、単に「型」を作り、それを適用することだけでは不十分なようです。

「型」の緩和をしても成果が出ないことがある

テレワークが長期化するなかで「型」が過剰に生まれていることに気づき、徐々に「型」を緩和した事例が紹介されていました。しかしこの事例では「型」を緩和したにも関わらず自律や生産性が思うように高まっていませんでした。

成果目標をすり合わせた上で仕事の進め方は部下に任せていく方法で「型」の緩和をした結果、自律的に動くどころか、個々の社員の気が緩んでしまい、むしろ最低限の成果にとどまる結果となったようです。

そこで、社員の成果が最低限に留まるなら最低限の基準を高めればよいのではないかと目標水準を引き上げる方向に設定すると、今度は「プレッシャーを感じた」「労働時間の顕著な増加が見られた」「部下からの問い合わせや相談が増えてかなり負担が増えた」という結果となり、結果的に自律は促されなかったようです。

このように、「型」を減らす代わりに「成果目標」をすり合わせて「目標水準」を引き上げる形も、みんなが最大限パフォーマンスを出す結果にはならないようです。

「真面目」について

ところで、オフィス環境を前提とした職場環境では、上司や同僚が見えている環境の中で「真面目」に働くことが有効に機能していたとのことです。オフィス環境においては、相手の状況に合わせてタイミングよくアドバイスや補完をしあうという関係性が構築できていたことや、「真面目」に頑張っていれば上司から気遣い・励まし、褒め・承認を得られることでやる気にもつながっていました。

しかしテレワーク下では、周囲の状況が見えないため、結果注視のマネジメントに切り替えるスタイルが増えています。その結果、プロセスや努力よりも結果を注視されるようになりました。

このように、テレワーク環境下では「真面目」な努力を求めて部下を動機づけたり「型」を精致に運用するだけでは成果を高めることは難しいかもしれず、より高次の自律レベルを目指しながらチームを整えていくことが求められるとのことです。

楽しさに刺激を受けた自律

別の事例では、成果目標をすり合わせた上で仕事の進め方は部下に任せていく方法であってもメンバーが生き生きと自律的に動いている様子が紹介されていました。

この事例では、成果目標も詳細に擦り合わせをし、上司との進捗を共有するための面談も週次で行われていました。しかしこの事例ではヒアリング対象から「コントロールされている」といったニュアンスの言葉は⼀切出てこず、むしろ高いレベルで自律的に仕事をしている様子が伝わってきていました。

ヒアリング対象は、成果目標で定められている内容以外に、独自に営業チームと連携を強めたりメール文面の改良を試みるなど、とくに規定されていない仕事を自ら見つけて進めていて、さらには関連する領域の勉強を自分なりに行っているという状況です。ヒアリング対象からは、「楽しい」「自分のため」「自分の進む道」というキーワードが発言されていました。自分を起点に仕事を組み立て、「楽しさ」に刺激を受けながら仕事を自律的に行っていることが読み取れます。

このように、各メンバーへの動機付け次第では、楽しくかつ高次の自律レベルで行動していく状況を作り出していくことが可能とのことです。

セルフマネジメントとセルフリーダーシップの違い

「社員が自律的に働くとはどういうことか」に対して、上記2つの事例の違いが「セルフマネジメント」と「セルフリーダーシップ」の違いにあるとのことでした。

・セルフマネジメント
　「それぞれの部下が自分の仕事をプライドを持ってちゃんと進められるようになってほしい」という意図から、会社が提示した目標をひとりで達成できるようになることを促している。「やるべき」「しなければならない」という義務感や責任感を醸成するようなアプロ―チとなる。

・セルフリーダーシップ
　「自分がその仕事にどんな意味を見出すのか、それが見えなければ自律なんてできない」という意図から、自分が「したい」「やろう」と思いながら取り組むことを「自律」としている。部下がどのような志向を持っていて、仕事をどのように位置付けているのか、何に興味や関心を抱いているのかなどを細かく把握することが求められるため、部下との対話が基本になる。

セルフマネジメントは、「タスクが来たら真面目にこなす」というような受け身にもなりがちな状況になり、一方、セルフリーダーシップは、本質的な目的や方向性について自ら考えながら動くので、高次の自律レベルが期待できかつ高いパフォーマンスを発揮できるとのことです。

5段階の自律レベル

自律について、下記のように5段階に整理して説明されていました。レベルが高ければ高くなるほど自律レベルも高くなります。詳細説明は省きますので詳しく知りたい方は参考文献を実際に読んでみてください。

LEVEL1: ルール・規則に従う
LEVEL2: 責任感・プライドを感じる
LEVEL3: 仕事の価値を理解する
LEVEL4: 気持ちが動かされる
LEVEL5: 楽しさ・面白さを感じる

※LEVEL1～3: セルフマネジメント
※LEVEL4～5: セルフリーダーシップ

LEVEL4～5がセルフリーダーシップのレベル感とのことなので、このレベルのメンバーを多く増せることが理想的です。

どうしたらセルフリーダーシップの自律レベルに到達できるか

参考文献の後半では、どうしたらセルフリーダーシップの自律レベルに到達できるかを、個人の視点と、管理者(上司)からの視点で記されています。

個人の視点は第3章にまとめられています。ここでは具体的なアクションを示しながら、仕事に「遊び」を呼び込むためのポイントが記載されています。

第3章: 自分に合わせて仕事をクラフトする
[1]自分の仕事を整える
[2]オーナーシープを高めるアクション
[3]ジョブ・クラフティングの実践
[4]能力を発揮するためのチューンナップ
[5]ネットワークの活用と構築
[6]仕事を面白くするための六つの実践ポイント

管理者(上司)からの視点は第4章にまとめられています。ここでは管理者の視点で自律を促すために、どのような支援をしていけばよいかについて提示されています。

第4章: 管理者は仕事を面白くできる
[1] 「自律させる」ではなく「勝手に自律する」
[2] 部下を知ることから始める
[3] 部下のタイプに合わせたマネジメントの検討
[4] 仕事に対する注力姿勢が低い部下への対応（線引き型・停滞型）
[5] 現実的「制約」を持った部下へ対応するための三つの視点
[6] 頑張っているが、仕事を楽しめていない部下への対応（真面目型）
[7] 自律レベルの高い部下への対応（自律型）
[8] マネジメントは矛盾してよい

セルフリーダーシップでは、先ほど「部下がどのような志向を持っていて、仕事をどのように位置付けているのか、何に興味や関心を抱いているのかなどを細かく把握することが求められるため、部下との対話が基本になる」と記しました。第4章では様々な観点からどのように部下を知り、対話していけばよいかのヒントが山のように示されていました。

なお本項の「どうしたらセルフリーダーシップの自律レベルに到達できるか」について、本文からではなく目次からの引用に留めているのは、内容の密度が高くて該当箇所を引用しようとすると、ほぼほぼ全て引用となりそうだったためです。これは部下とのコミュニケーションから高次の自律レベルを導くためには、こまめにやらないといけないポイントが多数あるとも言えそうです。

気付きとまとめ

「テレワークという環境下の中、みんなが最大限パフォーマンスを出すために何ができるのか」という大きな課題の一つに対して、仕事をする上での意義を自分で見出し楽しさを感じる、セルフリーダーシップの自律レベルに到達することで部下(社員)が自律的に動けるようになるという考え方が大変参考になりました。

現時点ですでにこのレベルまで到達している社員もいれば、そうでない社員もいます。全社的な底上げを考えるうえで、参考文献にて管理者(上司)と部下との対話が重要であると書かれていることから、すでにセルフリーダーシップの自律レベルに到達している社員を中心に管理者(上司)の役割を担うことで全社的な自律レベルを上げていく必要があります。

そのような流れを人材育成プログラム作成などの手段で仕組み化できると、結果的に全社的に自律レベルが上がり、最大限のパフォーマンスが出せるようになると考えられます。もちろん我々人材育成部門メンバーも同様に「楽しさ」に刺激を受けながら仕事を自律的に行えてなければならないのは言うまでもありません。

opdevは社内のさまざまなプロダクトの開発・保守運用を行っており、日々業務効率改善、ハートビーツの価値向上に繋がる技術開発・情報発信を行っています。

先日、opdevで開発した社内向けのプロダクトに対して、Visual Studio Code（以下VS Code）とPlaywrightを使ってE2Eテストを実施しました。 セットアップが簡単で、使い勝手も良かったので、今回はVS CodeとPlaywrightを使ったE2Eテストの実施方法を紹介します。

PlaywrightはE2Eテストやブラウザ自動操作用のフレームワークで、Microsoftがオープンソースで開発をしています。 他によく使われるE2Eテストフレームワークには、Selenium、Puppeteer、Cypressがあります。npmパッケージのダウンロード数の推移を確認できるnpm trendを見ると、Playwrightは2024年5月中頃に首位だったCypressを追い越し、パッケージのダウンロード数がトップになっています。

Playwrightの特徴は以下の通りです。

• Any browser • Any platform • One API
  クロスブラウザ、クロスプラットフォーム、複数言語で利用可能
• Resilient • No flaky tests
  自動ウェイトによりタイミングの調整が不要
• No trade-offs • No limits（※1）
  複数ブラウザ、タブにも対応
• Full isolation • Fast exec
  高速な実行、認証状態保持による繰り返しログインの排除
• Powerful Tooling
  テストコード生成のための操作記録、テスト失敗時のさまざまな解析ツール群

Playwrightは後発のフレームワークであり、他のテストフレームワークの課題を改善している点が大きな特徴です。

※1. おそらくtrade-offsの単語はCypressのTrade-offsを意識しているのでしょう。

Playwrightの導入

実際にVS CodeにPlaywrightを導入してみましょう。 MicrosoftはPlaywrightだけでなく、VS Code向けのPlaywright拡張機能も提供してくれています。周辺環境まで整備してくれているのは嬉しいですね。 なお、VS Codeの操作方法については本筋から外れるため割愛します。

• 拡張機能をインストールする
  VS CodeでPlaywright Test for VSCodeを検索し、 installボタンをクリックして拡張機能をインストールします。
• プロジェクトを開く
  テスト用プロジェクトを作成するディレクトリを開いておきます。今回はディレクトリ名をplaywright_sampleという名前で作成しました。
• Playwrightのインストール
  コマンドパレットからtest: Install Playwrightを選択してPlaywrightをインストールします。
  
  選択肢はそのままで問題ありません。Firefox不要、WebKit不要などがあれば適宜変更してください。

これだけで環境構築が完了です。とても簡単ですね！

動作確認

実際にPlaywrightを動かしてみましょう。実行対象のテストコードはtestsディレクトリ以下（※2）のファイルになります。 VS Codeのアクティブバーからテストエクスプローラーを開き、実行したいテスト名の横にある再生マークをクリックしてください。テスト結果がTest Resultターミナルに表示されたらOKです。

また、デバッガーを起動したい場合は、実行したいテスト名の横にある虫付き再生マークをクリックしてください。

これだけでデバッガーが使えます！launch.jsonの作成・パスの調整など、いろいろな設定をすることなくデバッグ環境まで構築できるのはとても嬉しいですね。

※2. playwright.config.tsのtestDirにデフォルトで./testsが指定されているためです。

テストへの適用

実際にフロントエンドとバックエンドを分離した構成のアプリケーションをテストしてみましょう。 テスト対象のサンプルシステムは以前のブログにて作成したものがあるため、それを利用します。

サンプルシステムの構成は以下のようになっています。

サンプルシステムの起動方法は以下の各リポジトリのREADMEを参照してください。

• フロントエンド:アプリケーションの起動
• バックエンド:アプリケーションの起動

レコード機能を使ってテストコードを作成する

ゼロからテストコードを手で書くことも可能ですが、非常に手間がかかってしまうためオススメできません。Playwrightのレコード機能を利用しましょう。 レコード機能は、ブラウザでの操作を記録してくれる機能です。実施したいテストを画面上で操作するだけで、Playwrightが自動的に操作に対応するテストコードを作成してくれます。 以下で表示の確認、表示文字列の確認、設定値の確認を行うテストの例を作成します。

• 記録の開始
  VS Codeのアクティブバーからテストエクスプローラーを開き、PlaywrightのアコーディオンからRecord newを選択してブラウザを起動します。
  

• テスト対象のページにアクセス
  表示されたブラウザのURLに127.0.0.1:8080を入力してフロントエンドにアクセスします。
  

• ブラウザにopenapi_front_sampleが表示されていることを確認するテストの作成

  ブラウザ上部中央のパレットからAssert visibilityを選択し、表示確認対象の要素を選択します。
  

  選択し終えるとテストコードが追加されます。
  

• ブラウザに想定した文字列が正しく表示されているかを確認するテストの作成

  ブラウザ上部中央のパレットからAssert textを選択し、比較対象の要素を選択します。

  比較対象に表示される想定の文字列を設定します。
  

  設定し終えるとテストコードが追加されます。
  

• ブラウザに想定したInputの値が正しく設定されているかを確認するテストの作成

  ブラウザ上部中央のパレットからAssert valueを選択し、比較対象の要素を選択します。
  

  選択し終えるとテストコードが追加されます。必要な場合は適宜値を設定してください。
  

• 記録の終了
  ブラウザ上部中央のパレットからRecordの赤丸をクリックします。

上記操作後、tests/test-1.spec.tsには以下のようなテストコードが生成されます。

import { test, expect } from '@playwright/test';

test('test', async ({ page }) => {
  await page.goto('http://127.0.0.1:8080/');
  await expect(page.getByRole('heading', { name: 'openapi_front_sample' })).toBeVisible();
  await expect(page.getByRole('main')).toContainText('{"name":"test","description":"description","price":10,"tax":1}');
  await expect(page.getByRole('textbox')).toHaveValue('10');
});

もちろん、このテストコードを手で修正することも可能です。 とりあえずレコード機能を使ってざっくりテストを作り、細かな修正は後ほど手で直す、とすれば毎回DOMを調べなくても良いので、効率よくテストコードが作成できます。

レスポンスをモックしてみる

E2Eテストでは他システムも含め、できる限り本番と同じ環境でテストを行うことが理想です。しかし、実際にデータが書き込まれてしまうと困る、意図的にエラーを発生させることが難しい場合など、どうしてもモックを利用せざるを得ないケースもあります。そのようなときに便利なのがfulfillです。fulfillは、指定したURLのレスポンスをモックする関数です。Playwrightにデフォルトで含まれている関数なので、追加のパッケージをインストールする必要はありません。

試しに、APIサーバーのレスポンスをmock-dataに変更して実行してみましょう。

import { test, expect } from '@playwright/test';

test('test', async ({ page }) => {
  await page.route('http://127.0.0.1:8081/item', async (route) =>{await route.fulfill({json:'mock-data'})}); // この1行を追加

  await page.goto('http://127.0.0.1:8080/');
  await expect(page.getByRole('heading', { name: 'openapi_front_sample' })).toBeVisible();
  await expect(page.getByRole('main')).toContainText('{"name":"test","description":"description","price":10,"tax":1}');
  await expect(page.getByRole('textbox')).toHaveValue('10');
});

APIサーバーのitemエンドポイントのレスポンスをmock-dataに書き換えました。URLを指定し、そのレスポンスを定義するだけです。 この状態で、先ほどのテストを実行してみましょう。

Error: expect(locator).toContainText(expected)


Locator: getByRole('main')
Expected string: "{\"name\":\"test\",\"description\":\"description\",\"price\":10,\"tax\":1}"
Received string: "\"mock-data\""

以前はパスしていたテストがエラーになります。 Expectedが変更前のAPIのJSONになっていますが、Receivedはmock-dataになっています。APIサーバーのレスポンスを上書きできていますね。

Playwrightには他にもさまざまな便利な機能があります。興味がある方は公式ドキュメントをご覧ください。

おわりに

本記事では、VS CodeとPlaywrightを使ったE2Eテストの実施方法を紹介しました。他にもさまざまなテスト用関数や、アクション機能などがありますが、今回はグラフィカルに操作可能な部分に焦点を当てて紹介してみました。 簡単な例でしたが、少しでも参考になれば幸いです。

今回は弊社が2023年に取得した「情報セキュリティマネジメントシステム(以下ISMSと略)認証取得までの取り組み」の中で、特に大変だった情報資産とクラウドサービスの管理について紹介します。

弊社は会社設立の間もない時期から個人情報保護の規格であるプライバシーマークを取得していましたが、リモートワークの導入と今後の事業拡大も見据え、自社の情報セキュリティ強化のためにISMS認証を取得することになりました。

弊社が認証を取得した背景や、認証の詳細は以下をご参照ください。 https://heartbeats.jp/info/pressrelease/20230621_01/

ISMSとは、組織が保有する情報資産を安全に利用し、リスクを管理するためのしくみを指します。 ISMSはISOが制定した国際的な規格である「ISO/IEC 27001」の要求事項に基づき運用されます。ISMSの認証を維持するためには、ISMS取得後、1年後と2年後はサーベイランス審査（維持審査）、3年後には更新審査、という周期で3年毎に審査が繰り返されます（規格が更新された場合は、加えて更新審査も受ける必要があります）。

「ISO/IEC 27001」では、責任者の明確化、情報の分離、アカウント管理...など、最新の規格で93項目の要求事項が定められています。 これらの要求事項に沿いPDCAサイクルに基づき運用し、第三機関の審査を受け、基準を満たす組織にISMS認証が与えられます。

※PDCAとは、Plan（計画）、Do（実行）、Check（評価）、Act（改善）の頭文字を取った略称です。

• Plan（計画）...ルールを明文化し、リスクに応じた対策を計画する
• Do（実行）...ルールや計画に従い運用し、記録をする
• Check（評価）...実施状況を監査し評価する
• Act（改善）...評価結果を改善する

認証取得に向けた文書作成

弊社ではすでに個人情報保護の認証であるプライバシーマークを取得していたため、プライバシーマークの基準に沿った、情報を適切に保護し管理するしくみは運用されていました。

ただし、プライバシーマークとISMSはどちらも情報セキュリティに関する認証ですが、規格で定めた保護する情報の対象が異なります。 プライバシーマークは個人情報を保護対象としているのに対し、ISMSは個人情報を含む機密情報全般を対象としています。 そのため、個人情報に当たらない財務情報や技術情報などの機密情報全般を対象とした運用プロセスを作り、文書を追加で作成する必要がありました。

ISMSの外部コンサルタントに文書のベースを作成してもらい、弊社の運用に合わせて細かに修正を重ね次の文書を作成しました。

• 情報セキュリティポリシー
• 情報を適切に取り扱い管理するための方針、体制、およびルールをまとめた文書
• 災害、障害、もしくは情報漏洩などのインシデントが起きた時に事業を継続する手順
• 社内システム部門や事務所を管理する部門など各部門の役割や定義を定めた文書
• 従業員むけにISMSのルールを定めたマニュアル
• 情報資産と情報資産別にリスク分析をした台帳
• 内部監査、マネジメントレビュー、もしくは年度計画などの運用記録

情報資産の再度棚卸し

ISMS、プライバシーマークのいずれにおいても、社内で扱う情報資産を洗い出した管理台帳を作成します。管理台帳はプライバシーマーク運用のために既に作成していましたが、ISMS審査に向け、下記の手順で再度洗い直しました。

1.資産ごとのCIAと資産レベルの算出

まずは、顧客情報や会社概要などの粒度で特徴や目的が同じ資産別に分類し、情報セキュリティの三要素であるCIAを数値化し、その合計値から資産レベルを算出します。

※CIAとは、情報セキュリティの三要素と呼ばれる機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の略称です。

• 機密性(Confidentiality)...アクセスを許可されたものだけが、必要な情報資産を利用できる
• 完全性(Integrity)...情報が正確で完全な状態で利用できる
• 可用性(Availability)...アクセスを許可されたものだけが、必要なときに利用できる

例えば社外秘である顧客情報は、従業員の中でも顧客対応に関連する担当者のみに利用は限定され、データは改ざんされない正確な状態である必要があり、必要な時に利用できないと事業に影響を及ぼす可能性があります。この場合は資産レベルも高くなります。

一方、会社概要などの対外向けの情報は公開されている情報のため機密性は下がり、顧客情報に比べると必要なときにすぐアクセスできずとも影響は軽微です。この場合は資産レベルの値も低くなります。

2.脆弱性の評価

洗い出した情報資産が災害やサイバー攻撃などのインシデントに対して、どれほどの弱点があるかを脆弱性の値として数値化します。 想定されるインシデントに対して正しく対応できていれば脆弱性の数値は下がり、一方で対応策を取っていないものは脆弱性の数値は上がります。

3.リスク値の算出

ここまで算出した資産レベルと脆弱性の評価値をもとに、リスク値を算出します。 資産レベルが高くても対策が取られていれば脆弱性の数値は下がり、リスク値も抑えられます。 一方資産レベルが高いにも関わらず、対応策を講じていなければ脆弱性の値は上がり、リスク値も上がります。

4.リスクの値の評価

受容できるリスクのレベルを定め、基準を上回った資産に対してリスクを認識し、組織の状況を加味してリスクを受け入れるかを判断します。

社内で利用している外部クラウドサービス（SaaSサービスとパブリッククラウド）の管理上の課題

資産を洗い出す中で、大きな課題となったのがクラウドサービスの管理です。 弊社は業務の特性上、クラウドサービスの利用が欠かせません。全社的に利用頻度が高いものや重要な機密情報を扱うクラウドサービスは厳格な管理をしていましたが、それ以外のクラウドサービスは情報が各所に散らばっていました。

そのため、誰がどのような目的で、どのようなクラウドサービスを利用しているかを一覧にした、クラウドサービスの台帳を作成することにしました。

1.利用許可基準や利用方法をまとめた社内ルールの作成

まずは台帳を作成するにあたり、クラウドサービスの利用許可基準や利用方法を社内ルールとしてまとめるところから始めました。 利用許可基準には、情報セキュリティに関する認証を取得しているか、解約後にデータ削除がされるか...など安全なクラウドサービスだと判定できる項目を定めました。

2.申請フローの整備

整備前はチャットツールで確認を取り利用を開始していたため、申請フォームを整え、情報セキュリティ担当の承認を得てから利用する運用に変更しました。 申請フォームを整えることで、「いつ」「だれが」許可したか証跡を残すことができ、内部統制の強化にもつながりました。

3.台帳への洗い出し

社内ルールとフローを整備した後は、部署ごとに利用しているクラウドサービスを洗い出してもらいました。 洗い出し後にサービス名やサービスの管理責任者、担当者などの情報を台帳化し、全従業員が閲覧できる場所に保管し情報を集約しました。

一覧で洗い出した結果、弊社では100社近いクラウドサービスを利用していることが判明しました。 こういった情報が整備されていないと、どこを見ればよいかわからないだとか、誰に聞けばよいの分からないといった状況が発生します。ISMS取得に向けた取り組みが、情報を整備する良いきっかけになりました。

最後に

こうして社内ルールの整備や文書作成に始まり、PDCAに基づいた運用を行い、ISMS認証を取得することができました。 しかし、ISMS認証は取得したら終了ではなく毎年定期的な審査を繰り返し、継続して確認し改善する必要があります。 ISMSの要求事項に沿って正しく情報を取り扱うためには、情報セキュリティ担当だけでなく、全従業員が情報セキュリティに関するルールを理解し運用してもらうことが重要です。

今回整備した社内ルールや手順は、一度作成後に周知をしただけでは中々社内に根付きません。 定期的な教育に加え、啓蒙資料の作成や手順のこまめな整備を繰り返し、より従業員に伝わりやすく発信することを意識し運用してまいります。

とある社内ツールの開発において、HTTPリクエストのリトライ処理の実装にgo-retryablehttpを利用しました。go-retryablehttpはHashiCorp社が中心となって開発しているOSSライブラリです。本記事ではリトライ処理の概要やgo-retryablehttpを利用した経緯について紹介します。

はじめに、リトライ処理の必要性について簡単に触れます。クライアントとサーバがネットワークで接続されている環境において、クライアントがサーバへリクエストを送信する処理について考えてみます。このような環境ではリクエストが失敗する要因をいくつか想定できます。例えば、次のような要因があります。

• クライアントのリクエストが誤った内容であり、リクエストが実行エラーとなった
• ネットワークで一時的な接続障害が発生し、リクエストがサーバに届かなかった
• 利用者の一時的な急増に伴ってサーバが過負荷になり、リクエストがタイムアウトになった

リクエストの失敗につながるこれらの要因は恒久的に発生するエラーと一時的に発生するエラーに分類できます。

• 恒久的に発生するエラー：クライアントのリクエストの誤りによるエラーが恒久的に発生するエラーを指す。リクエストの内容を修正するなど根本的な対策を施さなければ回復が見込めない。
• 一時的に発生するエラー：ネットワークの一時的な接続障害によるエラーや、利用者の一時的な急増に伴うサーバ過負荷によるタイムアウトが一時的に発生するエラーを指す。一定の時間内に回復が見込める。

一時的に発生するエラーは時間を置いて処理を再実行すれば成功する場合も少なくありません。すなわち、処理を繰り返し実行していれば最終的には成功に至ります。このように成功するまで処理を繰り返し実行する操作をリトライ処理と呼びます。サーバがクラウドサービスや自社管理外APIなどの環境ではサーバを直接変更できないため、クライアントによるリトライ処理が一時的に発生するエラーへの有効な対策の1つとなります。

リトライ処理の実装における考慮点

リトライ処理を実装するうえで考慮すべき点がいくつかあります。

1つ目の考慮点として、リトライ条件の判定があります。前述のようにエラーには恒久的なものと一時的なものがあります。恒久的なエラーは処理を繰り返し実行しても回復が見込めないため、一時的なエラーに限ってリトライ処理を実行しなければいけません。HTTPリクエストにおいてはコネクションエラーやHTTPステータスコードの429 Too Many Request/5xx台のものが一時的なエラーに該当します。

2つ目の考慮点として、処理の再実行の間に挟む待ち時間があります。待ち時間を挟まずに処理を繰り返し実行し続けた場合、多数のリクエストがサーバに送信されます。その結果、サーバが過負荷になるなど悪影響を与える恐れがあります。サーバが過負荷になっているシナリオにおいてはまさに泣きっ面に蜂の状況です。

リトライ処理による影響を防ぐためには処理の再実行の間に待ち時間を挟むことが有効です。この待ち時間を計算するアルゴリズムの1つとしてExponential Backoffがあります。Exponential Bakckoffは「1秒, 2秒, 4秒, 8秒」のようにリトライ回数に応じて待ち時間を指数関数的に増加させます。そのうえで最大リトライ回数や最大待ち時間になるまで処理を繰り返し実行するアルゴリズムです。待ち時間を指数関数的に増加させることでリトライ処理による影響をより効果的に防げます。

go-retryablehttpによるHTTPリクエストのリトライ処理

前述のようにリトライ処理を実装するうえでは考慮すべき点があり、注意深く実装を進める必要があります。今回はリトライ処理の実装をOSSライブラリにまかせる方針をとり、社内ツールの開発言語としてGoを利用していたことからGoのOSSライブラリをいくつか調査しました。結果として、後述の理由のとおりgo-retryablehttpを選択しました。go-retryablehttpはHashiCorp社が中心となって開発しているOSSライブラリです。詳細はgo-retryablehttpのリポジトリやドキュメントを参照してください。

その他のOSSライブラリの候補としては、retry-goやbackoffがありました。これらのOSSライブラリはgo-retryablehttpと比べてよりシンプルな機能を提供しています。そのため、リトライ処理の内容がHTTPリクエストに限らない一般的な処理の場合やリトライ条件を明示的に指定したい場合に利用するとよいでしょう。

ここからはgo-retryablehttpを選択した理由と簡単な利用方法について触れます。go-retryablehttpを選択した1つ目の理由として、リトライ処理が実装されたHTTPクライアントをGo標準パッケージのHTTPクライアントへ変換できる点が挙げられます。下記のようにリトライ処理が実装されたHTTPクライアント（retryablehttp.Client）を設定し、その後でGo標準パッケージのHTTPクライアント（http.Client）へ変換できます。既存のコードでhttp.Clientを利用している部分を差し替えるだけでHTTPリクエストのリトライ処理を簡単に実装できます。go-retryablehttpを選択した最大のポイントです。

// retryablehttp.Clientの設定
retryClient := retryablehttp.NewClient()
retryClient.RetryMax = 3
retryClient.RetryWaitMin = 1_000 * time.Millisecond
retryClient.RetryWaitMax = 10_000 * time.Millisecond

// retryablehttp.Clientをhttp.Clientへ変換
standardClient := retryClient.StandardClient()

// http.ClientでHTTPリクエストの送信
req, _ := http.NewRequest(...)
res, err := standardClient.Do(req)

go-retryablehttpを選択した2つ目の理由として、リトライ条件の判定が実装されている点が挙げられます。go-retryablehttpのデフォルトのリトライ条件の判定はDefaultRetryPolicyとして実装されています。コネクションエラーやHTTPステータスコードが5xx台の場合（501 Not Implementedを除く）にリトライ処理が実行されます。

go-retryablehttpを利用した理由の3つ目の理由として、複数の待ち時間アルゴリズムが実装されている点が挙げられます。go-retryablehttpのデフォルトの待ち時間アルゴリズムはDefaultBackoffとして実装されています。DefaultBackoffはExponential Backoffを実装しており、最大リトライ回数や最小・最大の待ち時間を指定できます。その他の待ち時間アルゴリズムとしてはLinearJitterBackoffが実装されています。また、待ち時間アルゴリズムが満たすべき関数の型（Backoff）が公開されているので、独自の待ち時間アルゴリズムを実装して利用できます。

以上のような点を踏まえ、go-retryablehttpを利用してHTTPリクエストのリトライ処理を実装しました。go-retryablehttpを利用した感想として、HTTPリクエストのリトライ処理がクライアントの責務として抽象化されているのが良い点だと感じました。Go標準パッケージのHTTPクライアントを利用している箇所では既存のコードにほぼ修正を加えずにリトライ処理を実装できるため、他の社内ツールの開発でも積極的に利用していきたいです。

おわりに

本記事ではリトライ処理の概要やgo-retryablehttpを利用した経緯について紹介しました。お手軽に利用できるOSSライブラリなのでぜひ試してみてください。

今までに新入社員向けの研修を開発することが何回かあったのですが、感覚で行っていた部分が大きかったため、社内全体の研修をするうえであらためて研修開発の基本を学び直そうと思い、「研修開発入門」という本を読んでみました。

※今回の参考文献

• 研修開発入門 ー 会社で「教える」、競争優位を「つくる」
• 中原 淳 著
• 発行年月：2014年03月
• 頁数：352
• https://www.diamond.co.jp/book/9784478027257.html

※注意。本ブログでは参考文献を要約としてまとめたものではなく、本を読んだうえで我々にとって必要と感じた部分を引用する形としています。参考文献について興味を持たれた方はぜひ直接原著を読んでみてください。

本書では、研修開発とは「研修を考え、学習者に届け、効果を生み出すまでのプロセス」と書かれており、具体的には下記のようなプロセスとなっています。

1. 研修企画
2. 研修デザイン
3. 研修講師選定
4. 研修広報
5. 研修準備
6. 研修実施
7. 研修フォローとレポーティング

今回は、私自身の経験が浅い「研修企画」「研修デザイン」に焦点を当てて、印象に残った部分について触れていきます。

研修企画

経営や現場のニーズに合致した研修企画を行うためには、下記の4つのポイントを実行していく必要があるとのことです。

1. ニーズの探索
2. 人材マネジメント施策の検討
3. 学習者の分析
4. 経営陣と現場トップのステークホルダー化

「ニーズの探索」では、経営陣や現場とコミュニケーションを取りどういったニーズがあるのかを探索します。ここで注意することは、ヒアリングしたニーズが個人の思い込みである可能性もあるということです。そのため、経営陣や現場のマネージャーの声に真摯にかつ、積極的に耳を傾けつつも何が真の問題であるかを検証することが大切であると書かれていました。また、新しいニーズを追加するだけでなく、ニーズが失われたものをやめることも必要とのことです。弊社の研修も定期的に見直しを行っていますがそれでも遅いと感じることはあるので、より短いスパンで最新のニーズを探索することが大切だと感じました。

「人材マネジメント施策の検討」では、抽出された問題を「採用」「人材育成」「配置」「処遇」などのさまざまな人事マネジメント施策の、どの手段で解決するのが最適かを考えていきます。研修開発のプロフェッショナルとは「研修でこそ解決できるもの」を選択的に選び取り研修に落とし込むこと、あるいは研修と他の人材マネジメント施策とを組み合わせて解決できる人のことを指すと書かれていました。

「学習者の分析」では、研修対象となる学習者を決定し、プロファイリングしていきます。コスト面や研修後の成果などを考慮して、現場の社員を対象とするのか、その上司であるマネージャーを対象とするのか、といったように研修対象を決めていきます。ただ研修対象となる学習者を決めるだけでなく、その学習者についてよく知ることが重要とのことです。今までの経験や保有している知識やスキル、学習者本人がもっとも知りたいことなどを把握しておくことで、学習者に合わせた研修を行うことができます。

「経営陣と現場トップのステークホルダー化」では、研修の利害関係者に事前の情報提供、提案活動などを行い、後で協力が得られるようにしておきます。

研修のデザイン

研修の目的と行動目標化

研修をデザインする際最初に行うべきことは目的を決めることです。研修の目的とは、「現場で成果につながる行動を取ることができるようにすること」と書かれていました。そのため、「研修で何を獲得しその結果どういった行動ができるようになるのか」という観点で目的を決めることが大切です。さらに、その目的を細分化し、現場でどのような行動を取ることができれば良いかを具体的にリスト化（行動目標化）していきます。

評価方法の検討

次に、行動目標それぞれが達成できたかを評価するための方法を検討していきます。この段階で評価方法を検討することで、行動目標の妥当性をチェックできるとのことです。

評価については、下記ブログが参考になりますので併せて読んでいただければと思います。

より効果的な研修を作成するために 〜研修開発における研修評価について勉強してみた〜

学びの原理・原則

研修の目的を決めて行動目標化し評価方法を決めることができたら、実際の研修の内容をデザインしていきます。その際に、今までの長い学習研究によってつくられた「学びの原理・原則」を意識すると良いと書かれています。

目的の原理

大人は「なぜ、研修で学ばなければならないのか（目的）」「この研修を受けるメリットとは何か（メリット）」「この研修は、どんなふうに自分の仕事と関連するのか（業務への関連）」といった「目的」が十分に意識できていないと、安心して学ぶことができないとのことです。

確かに、通常業務がある中で時間を割いて研修に参加するには、目的に納得感がないと研修に参加するモチベーションが上がらないですよね。研修する前に研修の目的やメリットを理解してもらうことが大切だと感じました。

学習者中心の原理

学習内容は、学習者の既存の知識や経験に応じて教えられなければならないとのことです。教える側は「教授者中心」にものを考えがちらしいのですが、もっとも大切なのは「学習者の立場に立ち、学習者の現在の状況に合った学習内容を選択すること」とのことです。そのためにも、研修の企画段階で学習者の分析をしっかり行っておく必要がありそうです。

多様性と螺旋の原理　

大人は子ども以上に飽きやすいらしいです。大人に学びを提供するときには学習目標を見据えたうえで、多種多様な活動を組み合わせ、徐々に低次の活動から高次の活動にステップアップさせ、飽きない工夫をする必要があるようです。例えば、最初は座学で学び、次にグループワークを行い、最後に実践する、のようにステップアップさせていきます。

知識と体験の原理

「概念的な知識を学ぶこと」と「体験や実習すること」のバランスを取りながら、学習を組み立てなければならないという原理のようです。知識だけ積み重ねても実際の行動には結びつかず、体験だけさせても反知識主義に陥ってしまう可能性があるため、「知識」と「体験」のバランスを取ることが大切です。

学習者共同体の原理

人は学ぶときに他者を必要とするとのことです。学習を促す際には、学習者共同体を組織し他者と共に学べるようにする工夫が必要です。学習研究では、基本的に学習というのは他者の中にあると考えられているそうです。そのため、共同体の中で共に学んでいけることや、みんなで価値あるものを探求していくこと、その中で試行錯誤していきながら学ぶ、ということも大切です。

フィードバックと内省の原理

学習した内容は、学習者自ら実践しそれに対して他者からフィードバックを与えられ、内省する機会を設ける必要があるとのことです。そのためには、学習目標を明確に定義し、実践の機会を設け、じっくり内省するための時間をカリキュラム内に確保しておく必要があります。

エンパワーメントの原理

大人の学習には、過去の自分のやり方を否定し新たなものを生み出していくこともあり、混乱や葛藤が生じることもあります。そしてネガティブな感情になることもあります。そういったネガティブな感情をそのままにするのではなく、研修の最後には学習者が立ち上がり、何かを実践していけるように心理的状態をゆるやかにコントロールする必要があるとのことです。最後は学習者を元気付けて（エンパワーメント）現場に帰すということが大切なようです。

最後に

本書を読んで、無意識で行っていたことを実感でき、基本的なことを疎かにしていたことに気づくことができました。また、当たり前に思えるようなことでも、今までの行動を振り返ってみると実践できていないことが多いと感じました。成果につながる行動ができるようになるための研修を行えるように、学んだことを実践していきたいと思います。