ACL(Access Control List)とは、システムやファイル、ネットワーク上のリソースなどへのアクセス可否の設定をリストとして列挙したものです。
役割：
特定のIPアドレスやポート番号、プロトコルなどに基づいて通信を許可したり、拒否したりすることができる。これにより、不要なアクセスなどを防ぐことができて、セキュリティの強化ができたり、パフォーマンスの向上することができる。

ACLとファイアウォールとの違いは？

そもそもファイアウォールとは？
ネットワーク全体やホストを保護するためのセキュリティデバイスまたはソフトウェア。
トラフィックを監視・制御し、不正なアクセスや攻撃からシステムを防御する。

主な違い：

• 機能の範囲と深さ：
  • ACLは主にIPアドレスやポート番号などのヘッダー情報に基づく基本的なフィルタリングを提供。
  • ファイアウォールは通信の状態やパケットの内容まで解析し、高度なセキュリティ機能を提供。
• 適用場所：
  • ACLはルーターやスイッチのインターフェースに適用
  • ファイアウォールはネットワークの入り口やサーバーの全面などの境界に適用

IDS (Intrusion Detection System：侵入検知システム)
ネットワークトラフィックやシステムのログを監視し、既知の攻撃パターンや異常な挙動を検知する。
攻撃や不正アクセスを発見すると、アラートを発行し、管理者に通知する。

IPS (Intrusion Prevention System：侵入防止システム）
IDSと同様にネットワークトラフィックを監視し、攻撃や不正行為を検出する。
検出した脅威に対して、自動的に防御策を実行する。

• 不正なパケットの破棄
• 該当セッションの切断
• 攻撃元IPアドレスのブロック

つまり、IDSの場合はネットワークの監視ポイントに配置して、不正アクセスなどを検知するのに用いられる。アラームが発生したら管理者が手動で対応する。それに対し、IPSの場合はネットワークの経路上に置き、不正アクセスなどに対し、自動的に防御策を実行する。

サブネットマスクとはIPアドレスをホスト部とネットワーク部に分けるために使用される。

• ネットワーク部：
  • ネットワーク自体を識別する部分。ネットワーク内の全デバイスが同じ番号を持つ。
• ホスト部：
  • ネットワーク内の個々のデバイス（ホスト）を識別する部分

サブネットマスクの主な役割：

• ネットワークを小さなサブネットに分割することで、トラフィックの効率化やセキュリティの強化が行える。また、IPアドレスを効率的に使用することも可能になる。
• デバイスが通信を行う際に、相手が同一ネットワークないかどうかを判別するのに使用する。

設定方法：

1. 自動設定：
   ほとんどのデバイスではネットワークに接続するとDHCPにより、自動でサブネットマスクをマスクを含むIPアドレスが割り当てられる。
2. 手動設定：
   固定のIPアドレスを割り当てる場合、サブネットマスクも手動で設定する必要がある。その際にはネットワークの規模や設計に基づいて設定する。誤ったサブネットマスクの設定は通信障害の原因などになるので注意して設定する必要がある。

1. IaaS（Infrastructure as a Service）
   IaaSは「サービスとしてのインフラストラクチャー」を意味し、サーバーやストレージ、ネットワークなどの基盤となるリソースをクラウド上で提供するサービスモデル。ユーザーは物理的なハードウェアを所有・管理する必要がなく、必要なときに必要なリソースをオンデマンドで利用できる。

   • 仮想マシンやストレージなどのリソースを提供
   • ユーザーがOSやミドルウェア、アプリケーションをインストール・管理
   • スケーラビリティが高く、コスト効率的
   • 例: Amazon EC2、Microsoft Azure Virtual Machines、Google Compute Engine

2. PaaS（Platform as a Service）
   PaaSは「サービスとしてのプラットフォーム」を意味し、アプリケーションの開発・実行環境をクラウド上で提供するサービスモデル。開発者はインフラの管理から解放され、アプリケーションの開発に専念できる。

   • アプリケーションの実行環境やデータベースなどを提供
   • インフラやミドルウェアの管理はプロバイダーが担当
   • 開発・デプロイが容易で、開発効率が向上
   • 例: Heroku、Google App Engine、Microsoft Azure App Service

3. SaaS（Software as a Service）
   SaaSは「サービスとしてのソフトウェア」を意味し、ソフトウェア自体をクラウド上で提供するサービスモデル。ユーザーはインターネット経由でアプリケーションを利用し、インストールやアップデートの手間が省ける。

   • ソフトウェアをウェブブラウザや専用アプリから利用
   • アプリケーションの運用・保守はプロバイダーが担当
   • 初期導入コストを抑え、常に最新の機能を利用可能
   • 例: Microsoft Office 365、Google Workspace、Salesforce

以下は例として5つほど挙げる

• ネットワーク構成の見直し
  • VLANやサブネットなどを活用して、ブロードキャストドメインを減少させる
  • 複数の経路やデバイスを用意し、負荷分散や障害時の迅速な切り替えを可能にする
• プロトコルの最適化
  • IPv6や最新のルーティングプロトコルを導入し、効率的なデータ転送を実現する
  • 不要なサービスやプロトコルを廃止し、無駄なトラフィックを削減する
• セキュリティの強化
  • ファイアウォールやACLを適切に設定し、不要なトラフィックを遮断する
• データ圧縮とキャッシュ
  • よく使用されるデータをキャッシュし、アクセス時間を短縮する
  • データ圧縮などを利用して、トラフィックのデータサイズを削減しすることで、同じデータ量をより少ない帯域幅で送信し、他のデータ通信に使用できる帯域幅を増やす
• ネットワークインフラの強化
  • 高速なルーター、スイッチ、ネットワークインターフェースカード（NIC）に交換し、データ転送速度を向上させる
  • 帯域幅を広げて、トラフィックの増加に対応する

TCP/IPは以下の4層構造となっている

1. ネットワークインターフェース層
   • 物理層とデータリンク層の機能を含み、物理的なデータ転送を実現し、隣接するネットワークノード間でフレームの送受信を行う。実際の通信媒体（ケーブル、無線など）とデバイスドライバが関与する。
2. インターネット層
   • データをパケットとして扱い、異なるネットワーク間での通信を可能にする。ルーティングテーブルにより最適な経路を選択し、パケットをルーティングする。
3. トランスポート層
   • アプリケーション間でのデータの通信を担当する。データ転送を制御し、信頼性やデータの整列を提供する。TCPはコネクション型プロトコルで再送制御や順序制御などを提供し、信頼性の高いデータ転送を実現する。それに対しUDPはコネクションレス型プロトコルで軽量かつ高速なデータ転送を行うが、信頼性の保証はしない。
4. アプリケーション層
   • ユーザーが直接利用するアプリケーションサービスを提供し、データの処理や表示を行う。HTTPSやFTP, DNSなどのプロトコルが使用される。

冗長化とは、システムやネットワークにおいて同じ機能や役割を持つ機器や経路を複数用意することで、1つの要素に障害が発生しても全体の機能を維持する仕組みである。これにより、故障や障害時にもサービスの継続性と信頼性を高めることができる。
メリット

• 冗長化により、サーバーやネットワーク機器の障害時でも代替のリソースが即座に稼働し、サービスのダウンタイムを最小限に抑えることができる
• データを複数の場所やデバイスに保存することで、データ損失のリスクを軽減し、災害復旧を迅速に行える
• 冗長化された複数のサーバーでトラフィックを分散処理することで、システムのパフォーマンス向上と過負荷防止に役立つ

仮想マシン：

• 仮想化技術の一種で、物理ハードウェア上にハイパーバイザを用いて複数の仮想環境を構築する。各仮想マシンは独立したOSをもち、物理マシンと同様に動作する。仮想マシンの種類としては以下の2種類がある
  • ホスト型仮想化
    • 物理的なハードウェアにインストールされたOS（ホストOS）を土台とし、ホストOS上で仮想化ソフトウェアを利用して、仮想マシンを展開する方式。
    • 導入が容易で個人のPCなどで手軽に利用できる。
  • ハイパーバイザ型仮想化
    • ハイパーバイザ型はホストOSがなく、その代わりのOSとなる専用の仮想化ソフトウェア（ハイパーバイザ）をサーバーに直接インストールして仮想マシンを運用する方式。ベアメタル型とも呼ばれる。
    • ハイパーバイザ上で複数のOSを立ち上げることが可能。
    • パフォーマンスが良く、サーバーなどで使用されるが、仮想環境を構築するために、専用の物理サーバーを準備しなければならないので、既存のWindowsやLinuxサーバーを用いれずに入れ替えなければならない。（既存の物理サーバーにハイパーバイザをインストールすることは可能ではあるが、ハイパーバイザは物理サーバーに直接インストールされるため、既存のOSは上書きされる。既存サーバーの運用状況やサーバーの用途によっては既存のものに上書きすることも可能ではある）

コンテナ：

• OSレベルの仮想化技術で、ホストOSのカーネルを共有しながら、アプリケーションとその依存関係をまとめてパッケージ化する。各コンテナは独立したユーザー空間を持ち、他のコンテナとプロセスやネットワークを分離する。が、カーネル自体は共有されているため、セキュリティなどの隔離性は限定的。
  • コンテナ型仮想化：
    • 軽量で高速な起動が可能であり、リソースの有効活用や拡張性を高めることができる。例えば、アクセスの多い時間にはコンテナ数を増やし、アクセスが減ればコンテナ数を減らすなどの運用も容易に可能になる
    • 可搬性が高い。一つのOSから作られているので、OSが限定されてしまうというデメリットはあるが、作成したコンテナを渡すだけで全く同じ環境を構築することができるので便利。→現在ではWindowsコンテナや仮想化技術を用いて異なるOSのコンテナを実行する方法も存在する

IPv4アドレス(32bit)はネットワークの規模に応じてA~Eの5種類に分類されている。クラスDはIPマルチキャスト用（1対多の通信。ブロードキャストは1対多(全員)。ユニキャストが1対1通信）で、クラスEは研究用であり、AからCが主に使用されている。

• クラスA
  • 範囲: 1.0.0.0 ～ 126.255.255.255 (※0.0.0.0は予約済み、127.0.0.0はループバックアドレス)
  • ネットワーク部とホスト部
    • ネットワーク部：8ビット
    • ホスト部：24ビット
  • ネットワーク部が少なく、ホスト数が多いので、大規模ネットワーク向け
• クラスB
  • 範囲: 128.0.0.0 ～ 191.255.255.255
  • ネットワーク部とホスト部
    • ネットワーク部：16ビット
    • ホスト部：16ビット
  • 中規模ネットワーク向け。ネットワーク数とホスト数のバランスが取れている。
• クラスC
  • 範囲: 192.0.0.0 ～ 223.255.255.255
  • ネットワーク部とホスト部
    • ネットワーク部：24ビット
    • ホスト部：8ビット
  • ネットワーク部が多く、ホスト数が少ないので、小規模ネットワーク向け。各ネットワークで少数のホストを持つ。

クラスの弱点として接続可能なコンピューター数ピッタリを使用するわけではなく、余分に確保してしまうのでアドレスが無駄になってしまうという点がある。
それに対応するために、現在ではCIDR（Classless Inter-Domain Routing）方式が主流になり、クラスに囚われないアドレス設計が可能になっている。

ロードバランサーは、ネットワークやアプリケーションへのトラフィックを複数のサーバーやリソースに分散するための装置やソフトウェア。これにより、システム全体のパフォーマンスを向上させ、可用性と信頼性を高めることができる。
主な機能としては

• 複数のサーバー間にトラフィックを分散し、特定のサーバーに負荷が集中するのを防ぐ
• サーバー資源を有効活用し、応答時間の短縮や処理能力の向上を行う
• 冗長性を確保することで、一部のネットワークなどに障害が発生しても正常なものに直ぐに切り替える
  などがある。

分散のアルゴリズムは

• ラウンドロビン方式
• 加重ラウンドロビン法式
• 最小接続法式
• IPハッシュ法式
  などがある。

• スター型
  • 中央にハブやスイッチなどの集線装置を配置し、すべてのノード（コンピューターやデバイス）がこの装置に直接接続される構成。
    • ネットワークの管理、拡張が容易で、障害の切り分けがしやすい
    • ここのノードの障害はネットワーク全体には影響を及ぼさない
    • 中央の集線装置が故障すると、ネットワーク全体が動かなくなる可能性がある
• バス型
  • すべてのノードが一本の共通の通信回路（バス）に接続されている構成。
    • 構成がシンプルで容易
    • バス上のどのノードも同じ伝送路を共有するため、同時送信によるコリジョン（衝突）が発生する可能性がある
    • バスが断線するとネットワーク全体に影響が及ぶ
• リング型
  • 各ノードが隣接するノードと接続され、ネットワークが環状（リング状）の構造を作る
    • データは一方向または双方向にリング上を回り、各ノードを経由して目的地に着く
    • コリジョンが起きにくく通信が効率的
    • 一箇所で障害が発生するとネットワーク全体が影響を受ける可能性がある

キャッシュ（Cache）とは、データへのアクセスを高速化するために、頻繁に使用されるデータを一時的に高速な記憶装置に保存する仕組み。CPUのキャッシュメモリ、ディスクキャッシュ、ブラウザのキャッシュなど、様々なレベルで活用されている。
パフォーマンスへの影響

• アクセス速度の向上：
  • キャッシュはより高速なメモリ（SRAM (Static Random Access Mermory): 電気を流していれば時間が経過しても記憶している内容が薄れないから、定期的に同じ内容を書き直してあげる必要がない揮発性メモリ,DRAM (Domestic Random Access Memroy): 電気を流していても時間の経過と共に記憶している内容が薄れてしまうから、定期的に同じ内容を書き直してあげる必要がある揮発性メモリ）などを使用するため、データの読み書きの速度が向上する
  • 主記憶装置やディスクへのアクセス回数を減らし、全体的な処理時間を向上させる
• スループットの向上
  • I/O待ち時間の削減により、システム資源の利用効率が高まる

コンテナオーケストレーションとは、複数のコンテナを自動的にデプロイ、管理、スケーリングするための手法やツールを指す。
メリット：

• 需要の増減に応じて自動でコンテナを追加したり、削除したりなどのオートスケールを行う
• コンテナの障害や停止時に自動で再起動や置き換えなどを行う
• 自動デプロイをしてくれる
• トラフィックを複数のコンテナに分散している

代表的なツール：

• Kubernetes
  • Googleが開発し、現在はCloud Native Computing Foundation（CNCF）が管理するオープンソースのコンテナオーケストレーションプラットフォーム
  • 大規模なコンテナ環境を効率的に管理可能
  • マルチクラウドやオンプレミス環境で利用可能
• Amazon ECS（Elastic Container Service）
  • AWSが提供するフルマネージドのコンテナオーケストレーションサービス
  • AWSとの深い統合により、他のサービスと連携しやすい

スケールアップ (Scale Up)：

• サーバーのハードウェアの性能を向上させる。CPUやメモリ、ストレージなどのリソースを追加、強化し、1台のサーバーでより高い性能を出す。垂直スケーリングとも呼ばれる
• 特徴：
  • システム構成を大幅に変更せずに性能を向上できる
  • ハードウェアの限界があり、拡張性に制約がある

スケールアウト (Scale Out)：

• サーバーの台数を増やして、システム全体の性能を向上させる。複数のサーバーで負荷を分散し、全体のパフォーマンスを高める。水平スケーリングとも呼ばれる
• 特徴：
  • 拡張性が高く、必要に応じてサーバーを追加できる
  • ロードバランサーやデータの分散処理など、システムの複雑性が増す可能性がある

DDoS攻撃（Distributed Denial of Service attack、分散型サービス拒否攻撃）とは、多数のコンピューター（ボットネット）から一斉に標的となるサーバーやネットワークに大量のトラフィックやリクエストを送りつける攻撃手法。この結果、標的のサーバーは過負荷状態となり、正常なサービス提供が困難になったり、完全に停止したりする。

対策：

• ファイアウォールやIDS,IPSを導入し、不正なトラフィックを検知、遮断する
• 同一IPアドレスからの過度なリクエストを制限し、攻撃の影響を緩和する
• 世界各地のサーバーにコンテンツをキャッシュし、トラフィックを分散させる

API（Application Programming Interface）とは、ソフトウェア間で機能やデータをやり取りするためのインターフェース。これにより、異なるアプリケーションやサービスが相互に連携し、機能を拡張・共有できる。

主な役割：

• 既存の機能を他のアプリケーションなどからも利用することができ、開発効率が向上する
• 統一されたインターフェースを提供することで、開発者はAPI仕様に沿って実装できる

インフラにおけるAPIの活用方法

• AWS、Azure、GCPなどのクラウドプロバイダーはAPIを提供しており、サーバーの作成や設定変更をプログラム的に行える
• ログデータをAPI経由で収集し、解析ツールに連携して問題の早期発見・対応を行う
• KubernetesなどのAPIを使用して、コンテナの管理・スケーリングを効率化する

• 直ちに感染したデバイスをネットワークを切り離し、他のシステムへの感染を防ぐ
• クリーンなバックアップからデータを復元する
• ファイアウォールやウイルス対策ソフトの設定を見直す
• さらなる被害や再攻撃の可能性があるので、攻撃者への支払いは推奨されない

メリット：

• インターネット接続さえあればどこからでもデータにアクセス可能
• 複数間のデバイスでデータが自動的に同期される
• 必要に応じてストレージを増減でき、スケーラビリティに優れている
• 冗長化システムにより、データの紛失、破損のリスクを減らす
• メンテナンスなどの負担が軽減

デメリット：

• データ漏洩のリスクが高まる
• ネットワークの問題などにより、データにアクセスできなくなる場合がある
• 継続的なコストがかかる

オンプレミス環境：
自社内のサーバーやデータセンターにハードウェアやソフトウェアを設置し、運用、管理する形態

• メリット：
  • 自社内で管理しているため、カスタマイズしやすく自社サービスに合わせてインフラの構築などができる
  • 専用のITインフラを社内だけに構築することができ、セキュリティを高くできる
• デメリット：
  • サーバーやネットワークをすべて自社で調達する必要があるため、費用が高い
  • システムの構築や運用までに時間がかかる

クラウド環境：
インターネットを通じてクラウドサービスプロバイダーが提供するリソースやサービスを利用する形態

• メリット：
  • 必要な時に必要な分だけリソースを使用することができ、費用が安い
  • 導入や運用がしやすく、変更などもすぐに反映することができる
• デメリット：
  • 自由度が低い
  • 情報漏洩が特に許されないような企業では、高度で複雑な独自システムを開発している場合も多く、一般のクラウドサービスとは連携できない可能性などがある

クラスタリング技術は、複数のサーバーやコンピューターを連携させ、一つのシステムとして動作させることで、以下の目的を達成すること

• 一部のサーバーに障害が発生しても、他のサーバーが代替してサービスを継続し、システムのダウンタイムを最小限に抑える
• トラフィックや処理負荷を複数のサーバー間で分散し、全体のパフォーマンスと応答性を向上させる
• 必要に応じてサーバーを追加・削除でき、システムの拡張性を柔軟に確保する
• データの冗長化やバックアップを行い、データ損失のリスクを低減する

利用シーン：

• 複数のwebサーバーをクラスタリングし、ユーザーからのリクエスを分散させることで、一台にかかる負荷を減らす
• データベースサーバーをクラスタリングして、フェイルオーバー機能（稼働中のシステムやサーバーがに障害が発生した際に、自動的に待機システムに切り替えること）を実装する
• Kubernetesなどを用いてコンテナをクラスタリングし、デプロイやスケーリングを自動化する

RAID 0 (ストライピング)

• 複数のHDD(ハードディスクドライブ)やSSDを組み合わせて、一つの大きなストレージ領域として扱う構成
• データをブロック単位で複数のディスクに対して書き込み、高速なデータアクセスを実現する
• データを並列に処理するため、単体ディスクよりも高速な読み書きが可能
• データ保護機能がなく、ディスク故障時のリスクが高い

RAID 1 (ミラーリング)

• 同一のデータを複数のディスクに書き込む構成（基本的には2台構成)
• データが常に複製されているため片方のディスク故障時にもデータを復元することができる
• 書き込みは複数のディスクに同時に行うため、単体ディスクと同等の速度

ついでにRAID10について説明する
これはRAID0とRAID1を合わせた技術で、RAID0が複数のディスクにデータを分けて保存するというもので、RAID1がデータをミラーリング（複製）して保存するというもので、それらを合わせることで、よりパフォーマンスと信頼性が向上したデータの保存方法である
まずRAID1によって、データをミラーリングする。その後RAID0によって、元のデータとミラーリングしたデータを別のディスクにそれぞれ保存していく。なので、RAID1により、ディスクが2つ必要で、RAID0により、元のデータとミラーリングしたデータを最低2つ以上のディスクに保存するので、合計で4つ以上のディスクを必要とする

キャパシティプランニングは、現在および将来のビジネス要件を満たすために、システムやインフラのハードウェア・ソフトウェア資源を適切に計画・管理するプロセス。
需要を予測し、必要なキャパシティを判断する。それに対して、適切なリソースを判断し、必要なタイミングで使えるようにするというもの

重要性：

• 適切なリソース配分により、過負荷や性能低下を防ぎ、サービスを安定して提供する
• ボトルネックを事前に特定し、適切な対策を講じることで最適な性能を維持する
• 必要以上のリソースを購入・維持する無駄を削減する

目的：

• 大量のユーザーやトラフィックに対して、サーバーが適切な応答時間とスループットを維持できるか確認する
• ボトルネックを特定し、改善点を見つける
• 負荷増加時にシステムがどの程度まで対応可能かを評価し、将来的な拡張計画に役立てる

テスト手法：

• ロードテスト：
  • 実運用で想定される通常からピーク時の負荷をシミュレートし、システムの応答性や安定性を評価する
  • 日常的な使用状況で問題が発生しないかを確認する
• ストレステスト：
  • システムの性能限界を超える負荷を与え、耐久性やエラー処理能力を評価する
  • 過負荷時のシステムの挙動を確認し、障害発生時のリスクや復旧能力を検証する

バックアップ：

• 重要なデータを保護するために元のデータのコピーを作成し、保存すること
  種類：
• フルバックアップ：すべてのデータを丸ごとバックアップ
• 差分バックアップ：最後のフルバックアップ以降に変更されたデータをバックアップ
• 増分バックアップ: 直近のバックアップ以降に変更されたデータをバックアップ

リカバリ：

• バックアップされたデータを使用して、失われたデータやシステムを元の状態に復元すること
  目的：
• データリストア: 個々のファイルやデータベースを復元
• システムリストア: オペレーティングシステムやアプリケーション全体を復元
• ディザスタリカバリ: 災害時にシステム全体を別の環境で復旧

• 組織内の情報資産（データ、システム、ネットワークなど）を洗い出し、それぞれの重要度や脆弱性を評価する。これにより、保護すべき対象を明確にし、適切なセキュリティ対策を定めることができる
• 個人情報保護法やサイバーセキュリティ基本法など、業種や国によって適用される法令や規制を把握し、それらをポリシーに反映する。法的要件を満たすことで、違法行為を防ぎ、信頼性を確保する
• 必要最小限の権限のみを与える。強固なパスワードを設定し、不正アクセスを防止する