37-5 · 章 37 · 2 分で読めます

すべてのデプロイ承認に監査可能な証跡を残すべき理由

承認は単なるチェックボックスではありません。誰が、何を根拠に、どの変更を承認したのか。CI/CDパイプラインで自動的に証跡を残す方法を解説します。

すべてのデプロイ承認に監査可能な証跡を残すべき理由

6ヶ月前、ある変更が本番環境にリリースされました。数時間後、トランザクションデータが消失し始めました。チームは迅速に修正し、問題にパッチを当てて、次の作業に移りました。今、経営陣は実際に何が起こったのかを知りたがっています。その変更を承認したのは誰か？彼らはどのような情報に基づいて判断を下したのか？承認された変更の正確な内容は何か？

適切な記録がなければ、チームは曖昧な記憶と責任のなすり合いに終始します。このシナリオは、日々あらゆる組織で発生しています。解決策は、単に承認プロセスを改善することだけではありません。すべての承認が、数ヶ月後、あるいは数年後でも検証可能な証拠を残すようにすることです。

承認はチェックボックスではない

多くのチームは承認を形式的なものとして扱っています。誰かがJiraでボタンをクリックし、Slackでサムズアップを送り、メールスレッドで承認します。それは承認ではありません。単なるジェスチャーです。

本当の承認とは、誰かが特定の変更をレビューし、それが安全に進められると判断したという、文書化された決定です。その文書は、全員が詳細を忘れてしまった後も長く残らなければなりません。それは次の3つの質問に答えなければなりません。

誰がこれを承認したのか？
彼らは判断にどのような情報を使用したのか？
彼らが承認した正確な変更は何か？

この3つが監査証跡を構成します。これらがなければ、問題が発生したときに何が起こったのかを再構築する方法がありません。そして、問題は必ず発生します。

監査可能な証拠の3つの柱

誰が承認したか

これは、特定可能な個人を意味します。チーム名ではありません。「オンコールエンジニア」でもありません。名前、役割、責任が明確な特定の人物です。

システムがポリシーに基づいた自動承認を使用している場合、システムはどのポリシーがトリガーされ、誰がそのポリシーを作成したかを記録しなければなりません。自動化は説明責任を排除しません。それをポリシー作成者に移すだけです。

彼らが何に基づいて承認したか

承認は、判断を裏付けた証拠を参照しなければなりません。これには以下が含まれます。

データベースにパフォーマンスの低下がないことを示すテスト結果
重大な問題がないセキュリティスキャンレポート
現在の本番状態が正常であることを証明するモニタリングデータ
緊急変更の場合、通常のプロセスを待てなかった理由を説明するインシデントレポート

このコンテキストがなければ、承認は単なるハンコ押しに過ぎません。承認者が情報に基づいた決定を下したのか、それとも物事を進めるために単にチケットをクリアしただけなのかを区別できません。

どの変更が承認されたか

これには、特定の変更への直接的な参照が必要です。プルリクエスト番号、コミットハッシュ、詳細を含む変更レコードへのリンクです。

この参照がなければ、曖昧さが生じます。承認は実際にデプロイされたバージョンをカバーしていたのか、それとも後で修正されたバージョンだったのか？承認者は最終的な差分を見たのか、それとも以前のドラフトを見たのか？これらの質問は、インシデントを調査する際に重要になります。

最も見落とされがちなこと

チームは通常、通過した変更の承認を記録することを覚えています。しかし、却下された変更についてはどうでしょうか？

レビューアがデプロイをブロックした場合、その決定も記録される必要があります。もしかすると、却下は正しかったかもしれません。あるいは、間違いだったかもしれません。いずれにせよ、記録がなければ、チームは過去の決定から学ぶことができません。同じエラーを繰り返すかもしれません。あるいは、なぜ却下されたのか誰も覚えていないため、有効な却下を覆してしまうかもしれません。

却下された変更は、承認された変更と同じくらい重要です。それらは、最終的に本番環境に到達したものを形作った決定を表しています。同じ文書化の厳格さで扱ってください。

パイプラインが証拠をどのように取得すべきか

CI/CDパイプラインは、この証拠を取得するための自然な場所です。メールの添付ファイルではありません。共有フォルダのPDFでもありません。Wikiページに貼り付けられたスクリーンショットでもありません。パイプライン自体がすべてを自動的に記録する必要があります。

実際の動作は次のとおりです。

例えば、GitLab CIパイプラインは、監査証跡を構造化ファイルに記録する手動承認ジョブを定義できます。

approve-production:
  stage: deploy
  when: manual
  only:
    - main
  script:
    - |
      echo "{\"approver\":\"$GITLAB_USER_LOGIN\",\
            \"timestamp\":\"$(date -u +%Y-%m-%dT%H:%M:%SZ)\",\
            \"commit\":\"$CI_COMMIT_SHA\",\
            \"pipeline_id\":\"$CI_PIPELINE_ID\"}" > audit-log.json
    - cat audit-log.json
  artifacts:
    paths:
      - audit-log.json
    expire_in: never

変更が手動承認ゲートに到達すると、パイプラインは一時停止し、承認者に通知します。承認者は、変更と、パイプライン実行に添付されたテスト結果、スキャン、モニタリングデータをレビューします。承認または却下すると、パイプラインは以下を記録します。

承認者のID（認証システムから）
タイムスタンプ
デプロイされるアーティファクトまたはコミットハッシュ
レビューした証拠へのリンク
追加したコメント

この情報はデプロイメントレコードと一緒に保存されます。すべてのデプロイメントには、誰が、いつ、何に基づいて承認し、どのバージョンがリリースされたかという完全な変更記録が含まれるようになります。

これが監査にとって重要な理由

証拠が整理されていれば、監査は苦痛である必要はありません。監査人は、デプロイメント履歴を開き、過去1年間の任意の変更で実際に何が起こったかを正確に確認できます。メールアーカイブを探し回る必要はありません。チームメンバーに何を覚えているか尋ねる必要もありません。矛盾する話もありません。

同じ記録は、インシデント後のレビューでもチームに役立ちます。何かが壊れたとき、承認チェーンをさかのぼって追跡できます。承認者が正しい情報を持っていたかどうかを確認できます。レビュープロセスのギャップを特定できます。推測することなくガバナンスを改善できます。

監査可能な承認のための実践的なチェックリスト

承認プロセスが完了したと見なす前に、以下の点を確認してください。

すべての承認は、グループや役割ではなく、承認した特定の個人を記録している
すべての承認は、判断を裏付けた証拠にリンクしている
すべての承認は、正確な変更（コミットハッシュ、PR番号、または変更レコード）を参照している
却下された変更は、承認されたものと同じ詳細で記録されている
パイプラインは、手動のドキュメント作成ではなく、このデータを自動的に取得する
記録は、別のシステムではなく、デプロイメントアーティファクトと一緒に保存されている

まとめ

監査可能な証拠は、承認を官僚的なハードルからセーフティネットに変えます。すべてがうまく機能しているときは、それらの記録を見ることは決してありません。何かが壊れたとき、それらは何が起こったのかを理解することと推測することの違いを生みます。誰が承認したか、彼らが何を知っていたか、そして彼らが何を承認したかを取得するようにパイプラインを構築してください。自動的に保存し、永久に保持してください。次のインシデントレビューがやってきたとき、過去の自分に感謝されるでしょう。