IT用語帳

Infrastructure as Code(IaC)

Infrastructure as Code

いんふらすとらくちゃあずこーど

サーバやネットワークなどのインフラ構成をコード(定義ファイル)で管理する手法。バージョン管理、自動テスト、再現性のある環境構築が可能になる。セキュリティの観点では、設定ミスの防止、セキュリティポリシーのコードレビュー、構成のドリフト検知に有効。
開発環境自動化インフラセキュリティ
情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること > 開発環境のセキュリティ確保

関連キーワードの用語

SCJ-CSIP(サイバー情報共有イニシアティブ)

IPAが運用する、重工・重電等の重要インフラ事業者間でサイバー攻撃情報を共有する取組み。参加組織間で標的型攻撃等の情報を秘密保持契約のもとで共有し、被害の拡大防止と早期対応を図る。

SCファジング

プログラムの入力に大量の予期しないデータ(ファズ)を自動的に生成・投入し、異常動作やクラッシュを引き起こすことで未知の脆弱性を発見するテスト手法。バッファオーバーフローやフォーマットストリング脆弱性などの検出に有効。

SCSOAR(Security Orchestration, Automation and Response)

セキュリティ運用の自動化・効率化を実現するプラットフォーム。脅威インテリジェンスの活用、インシデント対応ワークフローの自動化、複数のセキュリティツールの統合管理を行い、SIEMと連携して運用負荷を軽減する。

SCDevSecOps

DevOps(開発と運用の連携)にセキュリティを統合した開発手法。開発ライフサイクルの全段階でセキュリティを自動化・組み込み、CI/CDパイプラインにSAST、DAST、SCAなどのセキュリティテストを統合して、迅速かつ安全なリリースを実現する。

SCCI/CD(継続的インテグレーション/継続的デリバリー)

CI(継続的インテグレーション)はコード変更を頻繁にリポジトリに統合し自動テストを実行する手法、CD(継続的デリバリー)はビルド・テスト・デプロイを自動化し迅速にリリースする手法。セキュリティテストをパイプラインに組み込むことで、脆弱性の早期発見と修正を可能にする。

SCソースコード管理(SCM)

ソフトウェアのソースコードの変更履歴を記録・管理するシステム。Gitなどの分散型バージョン管理システムが広く使われる。セキュリティの観点では、アクセス制御、コードレビュー、ブランチ保護、機密情報(APIキー等)の混入防止が重要となる。