「保守を任せている」と言っても、実際に何が行われているのかは見えにくいものです。本記事では、私たちが毎月のセキュリティ運用で実際に何をしているかを公開します。
なぜ月次なのか
脆弱性は不定期に公表されます。緊急性の高いものは即時に対応しますが、それ以外の更新をまとめて行う定例の枠を月次で設けています。これにより、変更がいつ入ったかを記録として残しやすくなり、万一の切り戻しもしやすくなります。
実際のフロー
毎月、以下の手順を一定の順序で実施しています。
- 依存関係の棚卸し — 更新可能なパッケージと、その変更内容を確認する
- 更新の適用 — 影響範囲の小さいものから順に取り込む
- ビルドと差分確認 — ステージング環境でビルドし、表示崩れがないか確認する
- 本番反映 — 問題がなければ本番へ反映し、作業内容を記録する
変更を必ず記録する
私たちが最も重視しているのは、すべての変更を記録に残すことです。「いつ・何を・なぜ更新したか」が追えなければ、障害発生時に原因を切り分けられません。
Git のコミット履歴がそのまま作業ログになるため、後から第三者がたどっても経緯が明確です。
事業者に見える形で
技術代行とはいえ、ブラックボックスにしてはいけないと考えています。毎月の作業内容を簡潔な形で報告し、事業者が「何が守られているか」を把握できる状態を保つこと。それが信頼につながる運用だと考えています。