実践ネット自動化スクリプト集 - 現場で役立つPythonネットワーク自動化：セキュリティポリシーの自動適用と検証

現場で役立つPythonネットワーク自動化：セキュリティポリシーの自動適用と検証

Tags: Python, ネットワーク自動化, セキュリティポリシー, Netmiko, 検証, CLI, API, IaC, CI/CD

はじめに

システムエンジニアやインフラエンジニアの皆様にとって、インフラ全体の自動化は喫緊の課題であり、その中でネットワーク機器の設定・管理自動化は避けて通れない領域です。特に、セキュリティポリシーの適用や変更は、設定ミスが重大なインシデントにつながる可能性が高いため、正確性と迅速性が求められます。

しかし、ネットワーク機器の操作経験が限定的な場合、CLI（コマンドラインインターフェース）を直接操作することにハードルを感じる方もいらっしゃるかもしれません。幸い、Pythonは豊富なライブラリと柔軟性により、ネットワーク機器との連携を容易にし、セキュリティポリシーの自動適用と検証を効率的に行うための強力なツールとなります。

本記事では、Pythonを使ってネットワーク機器のセキュリティポリシー、特にアクセスリスト（ACL）設定を自動化し、さらに設定が意図した通りに反映されているかを確認する検証手法について、具体的なコード例を交えながら解説します。手動での設定作業における課題を克服し、より信頼性の高い運用を実現するための実践的なアプローチをご紹介します。

手動設定の課題と自動化のメリット

ネットワークセキュリティポリシー、例えばアクセスリスト（ACL）やファイアウォールルールなどを手動で設定する際には、以下のような課題が伴います。

ヒューマンエラーのリスク: 複雑な設定や多数の機器に対する作業は、コマンド入力ミスや設定漏れを引き起こしやすく、意図しない通信許可・拒否、あるいはサービス停止につながる可能性があります。
作業時間の増大: 設定変更や追加は頻繁に発生することがあり、手動での作業は時間を要し、運用コストを増加させます。
設定の一貫性の欠如: 複数の機器に同様のポリシーを適用する場合でも、手動では機器ごとの微妙な設定差異が発生しやすく、全体としてのポリシー遵守が困難になります。
変更管理とコンプライアンス対応: 設定変更の履歴管理や、特定のセキュリティ基準（PCI DSS, ISO 27001など）への適合性を確認する作業が煩雑になります。

これらの課題に対して、Pythonを用いた自動化は大きなメリットをもたらします。

正確性の向上: 定義されたスクリプトに従って設定が行われるため、ヒューマンエラーのリスクを低減できます。
迅速な変更適用: 定型的な設定変更をスクリプト化することで、作業時間を大幅に短縮し、ビジネス要求への迅速な対応が可能になります。
設定の一貫性確保: 同じスクリプトを複数の機器に適用することで、設定の一貫性を保ちやすくなります。
変更管理の効率化: 設定スクリプト自体をバージョン管理システム（Gitなど）で管理することで、変更履歴の追跡が容易になり、コンプライアンス対応にも寄与します。
「検証」の自動化: 設定を投入するだけでなく、その後の機器の状態を自動的に確認する検証プロセスを組み込むことで、設定が正しく反映されていることを確実に把握できます。

Pythonによるセキュリティポリシー自動化のアプローチ：CLI vs API

Pythonを使ってネットワーク機器にセキュリティポリシーを設定する主なアプローチは、CLIを利用する方法と、機器が提供するAPI（Application Programming Interface）を利用する方法の2つに大別されます。

CLIベースのアプローチ:
- SSHやTelnet（非推奨）などのプロトコルを利用して機器にログインし、CLIコマンドを送信して設定を行います。
- 既存の機器の多くがCLIをサポートしており、導入しやすい方法です。
- Pythonライブラリとしては、paramiko（SSHクライアント）、netmiko（様々なベンダーのCLIに対応した抽象化ライブラリ）などが広く使われます。
- ただし、コマンドの実行結果をパースして必要な情報を抽出する処理が必要になる場合が多く、機器のOSバージョンやベンダーによってコマンド出力形式が異なるため、スクリプトの保守性が課題となることがあります。
APIベースのアプローチ:
- 機器が提供するRESTConf, NETConf, Vendor-specific REST APIなどを利用して、構造化されたデータ形式（JSON, XMLなど）で設定の取得や変更を行います。
- 設定はデータモデルとして扱われるため、CLIコマンドの差異に影響されにくく、冪等性（操作を何度実行しても同じ結果が得られる性質）の高い自動化を実現しやすいです。
- Pythonライブラリとしては、汎用的なHTTPクライアントであるrequests（REST API向け）、NETConfクライアントであるncclientなどがあります。
- 新しい機器やモダンなOSでサポートされる傾向があり、すべての機器で利用できるわけではありません。

本記事では、多くの現場で利用されているCLIベースのアプローチを中心に解説しつつ、APIベースのアプローチについても触れます。

CLIベースの自動化（Netmikoを用いたACL設定例）

Netmikoは、様々なネットワーク機器ベンダーのCLI操作を抽象化してくれる便利なライブラリです。SSH接続、コマンド送信、プロンプト待機、ページング処理などを自動で行ってくれます。ここでは、Netmikoを使ってCisco IOS機器にACLを設定し、設定が投入されたかを確認する簡易的なスクリプト例を示します。

事前準備

Netmikoライブラリをインストールしておきます。

pip install netmiko

接続対象の機器情報と設定コマンドを用意します。

スクリプト例：ACL設定投入と簡易検証

from netmiko import Netmiko
import time

# 接続情報
device_info = {
    'device_type': 'cisco_ios', # 機器タイプを指定 (cisco_ios, juniper_junos, etc.)
    'host': 'your_device_ip_or_hostname',
    'username': 'your_username',
    'password': 'your_password',
    'secret': 'your_enable_password', # enableモードに入る場合
    'port': 22, # SSHポート
    'verbose': False, # デバッグ出力
}

# 設定投入コマンドリスト
# 標準ACL 10 を設定する例
config_commands = [
    'enable',
    'configure terminal',
    'access-list 10 permit 192.168.1.0 0.0.0.255',
    'access-list 10 deny any',
    'end',
    'write memory', # 設定の保存
]

# 設定確認コマンドリスト
# 設定されたACL 10 の内容を表示する例
verify_commands = [
    'show running-config | section access-list 10',
]

def apply_and_verify_acl(device, config_cmds, verify_cmds):
    """
    指定された機器に設定コマンドを投入し、確認コマンドで検証する関数

    Args:
        device (dict): Netmiko接続情報を含む辞書
        config_cmds (list): 投入する設定コマンドのリスト
        verify_cmds (list): 設定後に実行する確認コマンドのリスト

    Returns:
        tuple: (設定投入結果の文字列, 検証結果の文字列) または エラー発生時は None
    """
    config_output = ""
    verify_output = ""

    try:
        # Netmikoで機器に接続
        print(f"Connecting to {device['host']}...")
        with Netmiko(**device) as net_connect:
            print("Connection successful.")

            # 設定モードに入る (enableモードが必要な場合)
            if 'secret' in device and device['secret']:
                 net_connect.enable()

            # 設定コマンドを投入
            print("Applying configuration...")
            config_output = net_connect.send_config_set(config_cmds)
            print("Configuration applied.")
            print("\n--- Configuration Output ---")
            print(config_output)
            print("--------------------------\n")

            # 設定反映を待つ（必要に応じて）
            time.sleep(5) # 例: 設定反映に時間がかかる場合

            # 検証コマンドを実行
            print("Running verification commands...")
            verify_output = net_connect.send_command(';'.join(verify_cmds)) # 複数コマンドをまとめて実行
            print("Verification complete.")
            print("\n--- Verification Output ---")
            print(verify_output)
            print("--------------------------\n")

            # 検証結果の確認 (簡易的な例)
            # 例えば、verify_outputの中に設定した特定のエントリが含まれているか確認
            expected_entry = 'access-list 10 permit 192.168.1.0 0.0.0.255'
            if expected_entry in verify_output:
                print(f"Verification successful: '{expected_entry}' found.")
                # ここでより詳細なパースや比較を行う
            else:
                print(f"Verification failed: '{expected_entry}' not found.")
                # エラーハンドリングやロールバック処理などを検討

    except Exception as e:
        print(f"An error occurred: {e}")
        # エラー発生時の処理 (例: ロールバック、通知)
        return None, None # エラー時はNoneを返すか、例外を再度発生させる

    return config_output, verify_output

# スクリプト実行
if __name__ == "__main__":
    # 接続情報に実際の値を設定してください
    # device_info['host'] = '192.168.100.1'
    # device_info['username'] = 'admin'
    # device_info['password'] = 'password'
    # device_info['secret'] = 'enable_password'

    config_result, verify_result = apply_and_verify_acl(device_info, config_commands, verify_commands)

    if config_result is not None:
        print("Automation script finished.")
    else:
        print("Automation script failed.")

コード解説と実践的な考慮点

device_info: 接続に必要な情報（IPアドレス、ユーザー名、パスワード、機器タイプなど）を辞書形式で保持します。device_typeはNetmikoが機器に合わせた適切なドライバを選択するために重要です。
config_commands: 機器に投入したい設定コマンドをリスト形式で記述します。リストの順番通りにコマンドが実行されます。configure terminalで設定モードに入り、endで特権EXECモードに戻り、write memoryやcopy running-config startup-configで設定を保存するコマンドを含めるのが一般的です。
verify_commands: 設定が正しく反映されたかを確認するためのshowコマンドなどをリスト形式で記述します。
send_config_set(): Netmikoのメソッドで、設定モードに自動で入り、指定したコマンドリストを順番に実行してくれます。
send_command(): Netmikoのメソッドで、特権EXECモードなどで任意のコマンドを実行し、その出力を文字列として取得します。複数のコマンドをまとめて実行したい場合は、セミコロン ; で区切った文字列として渡すことができます（機器やOSによる）。
エラーハンドリング: try...except ブロックを使用して、接続エラーやコマンド実行エラーが発生した場合の処理を記述することが重要です。実運用では、エラー発生時に自動でロールバック処理を実行したり、担当者に通知したりする仕組みを検討する必要があります。
検証の精度: 上記の検証例は非常に簡易的です。実運用では、取得したshowコマンドの出力（文字列）をパースして、必要な設定エントリが全て含まれているか、あるいは意図しないエントリが含まれていないかなどを詳細にチェックする必要があります。CLI出力のパースには、TextFSMやTTP、または正規表現などが利用できます。
冪等性: このCLIベースの例は、コマンドを「実行する」ことに主眼を置いており、冪等性は考慮されていません。例えば、同じACLを二度投入するとエラーになる場合や、意図しない設定の重複が発生する可能性があります。これを避けるためには、事前に設定が存在するか確認してから投入する、あるいはAPIなど冪等性を考慮したインターフェースを利用する必要があります。

APIベースのアプローチと検証（概念説明）

多くのモダンなネットワーク機器は、設定や状態取得のためのAPIを提供しています。NETConf/RESTConfは、YANGデータモデルに基づいてネットワーク機器の設定や状態をプログラムから操作するための標準的なプロトコルです。APIを利用するメリットは、設定をデータとして扱えるため、CLIの出力パースのような煩雑さがなくなり、設定の適用がより構造的で冪等になりやすい点です。

APIによる設定と検証のイメージ

設定データの準備: YANGモデルに基づき、適用したいACL設定などをJSONやXML形式のデータとして準備します。
API経由での設定投入: Pythonのrequestsライブラリ（RESTConfの場合）やncclientライブラリ（NETConfの場合）を使って、準備した設定データを機器のAPIエンドポイントへ送信します。APIコールにはHTTPのPUT/PATCHメソッドなどが使用され、これにより指定した設定が機器に反映されます。APIは多くの場合、冪等性をサポートしています。
API経由での状態取得: 設定反映後、同じくAPIを使って機器の現在の設定や状態（例: 適用されたACLリスト）をデータとして取得します。
検証: 取得した機器の状態データと、期待される設定データをPythonスクリプト内で比較し、設定が正しく反映されているか、あるいは他の設定に影響を与えていないかなどを確認します。

PythonでのAPI利用ライブラリ例

requests: REST APIを呼び出すための標準的なライブラリです。RESTConfやベンダー独自のREST APIを利用する際に使用します。
ncclient: NETConfプロトコルを扱うためのクライアントライブラリです。NETConfをサポートする機器に対して、XML形式でRPC（Remote Procedure Call）を送信し、設定や状態を取得します。
NAPALM: ネットワーク機器の状態取得や設定管理を行うためのベンダー非依存のライブラリです。内部でNETConf, RESTConf, CLIなどを抽象化しており、様々な機器に対して共通のPythonオブジェクトとして情報を扱えます。検証の自動化において非常に有用です。

APIベースのアプローチは、CLIに比べてより洗練されており、大規模な環境やモダンな機器の自動化に適しています。特に、状態駆動型（desired state configuration）のアプローチを取りたい場合に有効です。

自動化における「検証」の重要性

単に設定コマンドを投入するだけでは、意図した通りに設定が反映されたか、あるいは他の設定に影響を与えていないかを確認できません。設定自動化を現場で信頼して利用するためには、「検証」のステップが不可欠です。

検証の主な目的は以下の通りです。

設定反映の確認: 投入した設定が機器の実行コンフィグレーションに正しく含まれているかを確認します。
意図しない変更がないかの確認: 投入した設定以外の部分が勝手に変更されたり、削除されたりしていないかを確認します。
運用状態の確認: 設定変更後も、ネットワーク機器が正常に稼働しているか、関連するインターフェースやプロトコルの状態に異常がないかを確認します。
ポリシー準拠の確認: 組織のセキュリティポリシーやコンプライアンス要件を満たしているかを確認します。

検証手法としては、以下のようなものが考えられます。

CLI出力のパース: showコマンドの出力をPythonでパースし、必要な情報が含まれているか、期待する値と一致するかなどをチェックします（例: Netmiko + TextFSM/TTP）。
APIからの状態取得: APIを通じて機器の現在の設定や状態を構造化データとして取得し、期待される状態と比較します（例: requests, ncclient, NAPALM）。
コンフィグレーションのDiff比較: 設定投入前後のrunning-configを取得し、Diffツールやライブラリ（例: PythonのdifflibやNAPALMのcompare_config）で比較することで、意図した変更のみが行われたかを確認します。
疎通確認: 設定変更後、関係するサーバーやクライアントから対象ネットワークへのPingやTelnet/SSH接続などを試行し、ポリシーが正しく機能しているかを確認します。PythonのsubprocessモジュールでOSコマンドを実行したり、専用のテストライブラリを使用したりします。

上記のスクリプト例における検証は非常に基本的なものですが、実運用ではこれらの手法を組み合わせて、検証の網羅性と精度を高めることが重要です。

インフラ自動化全体への組み込み

ネットワークセキュリティポリシーの自動適用と検証は、インフラ自動化全体のワークフローに組み込むことで、その価値を最大限に発揮します。

IaCツールとの連携: Ansible, Chef, PuppetなどのIaCツールは、サーバーやアプリケーションの設定管理に広く利用されています。これらのツールからPythonスクリプトやNAPALMなどのライブラリを呼び出すことで、サーバーやアプリケーションの設定変更と同時にネットワーク機器の設定変更・検証を自動的に実行するワークフローを構築できます。特にAnsibleには、ネットワーク機器操作用のモジュール（ios_config, junos_config, netconf_configなど）やNAPALM連携モジュールが豊富に用意されており、Pythonスクリプトを直接書くことなく、YAML形式のプレイブックでネットワーク自動化を記述することも可能です。IaCツールとPythonスクリプトを組み合わせることで、インフラ全体をコードで管理するIaC（Infrastructure as Code）の実現に貢献できます。
CI/CDパイプラインへの統合: 開発ライフサイクルにおけるCI/CD（継続的インテグレーション/継続的デリバリー）パイプラインにネットワーク自動化を組み込むことで、アプリケーションのデプロイや設定変更に合わせて、必要なネットワーク設定（ファイアウォールルールの追加、ロードバランサー設定など）を自動的に適用し、その後の疎通確認やセキュリティ検証までを自動化できます。これにより、デプロイプロセスのボトルネックとなっていたネットワーク設定作業を解消し、より高速で信頼性の高いリリースサイクルを実現できます。

まとめ

本記事では、Pythonを用いたネットワーク機器のセキュリティポリシー自動適用と検証について、CLIベースのアプローチを中心に解説しました。PythonライブラリであるNetmikoを活用することで、ネットワーク機器への設定投入を自動化できることを示し、さらに設定後の「検証」ステップが自動化の信頼性を高めるために不可欠であることを強調しました。

また、よりモダンで構造的なアプローチとしてAPIベースの自動化にも触れ、NAPALMなどのライブラリが検証の自動化をサポートすることを紹介しました。これらの手法を、IaCツールやCI/CDパイプラインといったインフラ自動化全体の文脈に組み込むことで、システム全体のデリバリー速度と信頼性を向上させることが可能です。

Pythonは、その豊富なライブラリと柔軟性により、ネットワーク機器への直接的な操作経験が限定的でも、インフラ自動化の知識を活かしてネットワーク領域に踏み出すための強力なツールとなります。本記事で紹介した内容が、皆様の現場におけるネットワーク自動化の第一歩、あるいはさらなる推進の一助となれば幸いです。