英語でインフラ構成書を作るよう求められたとき、何を書けばいいか迷った経験はないだろうか。
インフラ構成書はシステムのサーバー・ネットワーク・クラウドリソースの構成を一元管理するドキュメントだ。グローバルチームでは英語が基本になるが、7つのセクション構成さえ押さえれば英語でも問題なく書ける。
この記事では、インフラ構成書に必要な7つの構成要素と、そのまま使える日英テンプレートを紹介する。コピペして使えばすぐに実務で活用できる。
インフラ構成書に必要な7つの構成要素
インフラ構成書はシステムの物理・論理構成を定義し、運用・障害対応・変更管理の基盤となるドキュメントだ。以下の7つが標準的な構成要素になる。
- 基本情報(Document Info)
- システム概要(System Overview)
- ネットワーク構成(Network Architecture)
- サーバー・リソース一覧(Server / Resource Inventory)
- ミドルウェア・ソフトウェア構成(Middleware & Software Stack)
- セキュリティ設定(Security Configuration)
- 変更履歴(Change Log)
なぜ英語で書くのか
グローバルチームではインフラ構成書も英語が共通言語になる。英語で書くことで、海外ベンダーやクラウドプロバイダーとのやり取りがスムーズになる。
「誰が見ても同じ環境を再現できる」ことが、インフラ構成書の最大の目的だ。
インフラ構成書とアーキテクチャ設計書の使い分け
アーキテクチャ設計書は「なぜその構成を選んだか」の設計思想と判断根拠を記述するドキュメントだ。一方、インフラ構成書は「実際にどのリソースが・どの設定で・どこにあるか」の実態を記録する。両方を整備することで、設計と実装の一貫性が保たれる。
アーキテクチャ設計書のテンプレートは英語アーキテクチャ設計書の書き方でも紹介しているので合わせて確認してほしい。
テンプレートをダウンロード(Word)
以下のWordファイルをダウンロードして、プロジェクトに合わせてカスタマイズして使ってほしい。表の列・行はそのまま追加・削除できる。
📥 日本語テンプレートをダウンロード(Word)
📥 Download English Template (Word)
日本語版テンプレート(コピペOK)
基本情報
| 項目 | 内容 |
|---|
| システム名 | (例:〇〇管理システム) |
| バージョン | v1.0 |
| 作成日 | YYYY-MM-DD |
| 作成者 | (名前・役職) |
| 承認者 | (名前・役職) |
| 最終更新日 | YYYY-MM-DD |
| ステータス | Draft / In Review / Approved |
システム概要
| 項目 | 内容 |
|---|
| システム目的 | (例:受注・在庫・出荷を一元管理するWebアプリケーション) |
| 環境 | 本番(Production) / ステージング(Staging) / 開発(Development) |
| クラウドプロバイダー | AWS / GCP / Azure / オンプレミス |
| リージョン | (例:ap-northeast-1) |
| 可用性要件 | (例:99.9% SLA) |
| RTO / RPO | RTO: 4時間 / RPO: 1時間 |
ネットワーク構成
| 項目 | 設定値 | 備考 |
|---|
| VPC / VNET名 | vpc-prod-001 | 本番環境VPC |
| CIDRブロック | 10.0.0.0/16 | |
| パブリックサブネット | 10.0.1.0/24(AZ-a), 10.0.2.0/24(AZ-c) | ALB用 |
| プライベートサブネット | 10.0.11.0/24(AZ-a), 10.0.12.0/24(AZ-c) | アプリ・DB用 |
| インターネットゲートウェイ | igw-prod-001 | |
| NATゲートウェイ | nat-prod-001(AZ-a), nat-prod-002(AZ-c) | 冗長化構成 |
| セキュリティグループ | sg-alb / sg-app / sg-db | 役割別に分離 |
サーバー・リソース一覧
| リソースID | 種別 | インスタンスタイプ | OS / エンジン | 役割 | 配置 | IPアドレス |
|---|
| i-001 | EC2 | t3.medium | Amazon Linux 2 | Webサーバー(ALB配下) | プライベートサブネット AZ-a | 10.0.11.10 |
| i-002 | EC2 | t3.medium | Amazon Linux 2 | Webサーバー(ALB配下) | プライベートサブネット AZ-c | 10.0.12.10 |
| rds-001 | RDS | db.r6g.large | MySQL 8.0 | プライマリDB | プライベートサブネット AZ-a | 10.0.11.50 |
| rds-002 | RDS | db.r6g.large | MySQL 8.0 | スタンバイDB(Multi-AZ) | プライベートサブネット AZ-c | 10.0.12.50 |
| cache-001 | ElastiCache | cache.r6g.large | Redis 7.0 | セッション・キャッシュ | プライベートサブネット AZ-a | 10.0.11.60 |
| s3-001 | S3 | – | – | 静的ファイル・ログ保管 | リージョン | – |
ミドルウェア・ソフトウェア構成
| リソースID | ミドルウェア / ソフトウェア | バージョン | 役割 | 備考 |
|---|
| i-001, i-002 | Nginx | 1.24 | リバースプロキシ | SSL終端 |
| i-001, i-002 | Node.js | 20.x LTS | アプリケーションランタイム | |
| i-001, i-002 | PM2 | 5.x | プロセス管理 | |
| rds-001, rds-002 | MySQL | 8.0 | RDBMS | Multi-AZ構成 |
| cache-001 | Redis | 7.0 | セッション管理・キャッシュ | |
| – | CloudWatch | – | 監視・ログ集約 | |
| – | AWS WAF | – | Webアプリケーションファイアウォール | |
セキュリティ設定
| 項目 | 設定内容 |
|---|
| 通信暗号化 | HTTPS(TLS 1.2以上)。ALBでSSL終端。EC2間はHTTP(VPC内) |
| DBアクセス制御 | プライベートサブネット内のみ接続可。セキュリティグループで制限 |
| IAMロール | EC2にIAMロールを付与。アクセスキーをインスタンスに持たせない |
| シークレット管理 | DB接続情報はAWS Secrets Managerで管理 |
| ログ保管 | アクセスログ・アプリログはS3に90日保管。CloudWatch Logsに30日保管 |
| 脆弱性スキャン | Amazon Inspectorを有効化。月次レポートを確認 |
| バックアップ | RDS自動バックアップ(保持期間7日)。S3はバージョニング有効 |
変更履歴
| バージョン | 変更日 | 変更者 | 変更内容 |
|---|
| v1.0 | YYYY-MM-DD | (名前) | 初版作成 |
| v1.1 | YYYY-MM-DD | (名前) | NATゲートウェイを冗長化構成に変更 |
| v1.2 | YYYY-MM-DD | (名前) | ElastiCache(Redis)を追加 |
英語版テンプレート(コピペOK)
Document Info
| Field | Value |
|---|
| System Name | (e.g., [System Name] Management System) |
| Version | v1.0 |
| Created Date | YYYY-MM-DD |
| Author | (Name / Role) |
| Approved By | (Name / Role) |
| Last Updated | YYYY-MM-DD |
| Status | Draft / In Review / Approved |
System Overview
| Field | Value |
|---|
| System Purpose | (e.g., Web application for centralized management of orders, inventory, and shipping) |
| Environment | Production / Staging / Development |
| Cloud Provider | AWS / GCP / Azure / On-premises |
| Region | (e.g., ap-northeast-1) |
| Availability Requirement | (e.g., 99.9% SLA) |
| RTO / RPO | RTO: 4 hours / RPO: 1 hour |
Network Architecture
| Item | Value | Notes |
|---|
| VPC / VNet Name | vpc-prod-001 | Production VPC |
| CIDR Block | 10.0.0.0/16 | |
| Public Subnet | 10.0.1.0/24 (AZ-a), 10.0.2.0/24 (AZ-c) | For ALB |
| Private Subnet | 10.0.11.0/24 (AZ-a), 10.0.12.0/24 (AZ-c) | For app & DB |
| Internet Gateway | igw-prod-001 | |
| NAT Gateway | nat-prod-001 (AZ-a), nat-prod-002 (AZ-c) | Redundant configuration |
| Security Groups | sg-alb / sg-app / sg-db | Separated by role |
Server / Resource Inventory
| Resource ID | Type | Instance Type | OS / Engine | Role | Placement | IP Address |
|---|
| i-001 | EC2 | t3.medium | Amazon Linux 2 | Web server (behind ALB) | Private subnet AZ-a | 10.0.11.10 |
| i-002 | EC2 | t3.medium | Amazon Linux 2 | Web server (behind ALB) | Private subnet AZ-c | 10.0.12.10 |
| rds-001 | RDS | db.r6g.large | MySQL 8.0 | Primary DB | Private subnet AZ-a | 10.0.11.50 |
| rds-002 | RDS | db.r6g.large | MySQL 8.0 | Standby DB (Multi-AZ) | Private subnet AZ-c | 10.0.12.50 |
| cache-001 | ElastiCache | cache.r6g.large | Redis 7.0 | Session & cache | Private subnet AZ-a | 10.0.11.60 |
| s3-001 | S3 | – | – | Static files & log storage | Region | – |
Middleware & Software Stack
| Resource ID | Middleware / Software | Version | Role | Notes |
|---|
| i-001, i-002 | Nginx | 1.24 | Reverse proxy | SSL termination |
| i-001, i-002 | Node.js | 20.x LTS | Application runtime | |
| i-001, i-002 | PM2 | 5.x | Process management | |
| rds-001, rds-002 | MySQL | 8.0 | RDBMS | Multi-AZ configuration |
| cache-001 | Redis | 7.0 | Session management & caching | |
| – | CloudWatch | – | Monitoring & log aggregation | |
| – | AWS WAF | – | Web Application Firewall | |
Security Configuration
| Item | Configuration |
|---|
| Communication Encryption | HTTPS (TLS 1.2+). SSL termination at ALB. HTTP within VPC between EC2 instances. |
| DB Access Control | Accessible only within private subnet. Restricted via security groups. |
| IAM Role | IAM roles attached to EC2. No access keys stored on instances. |
| Secret Management | DB credentials managed via AWS Secrets Manager. |
| Log Retention | Access & application logs stored in S3 for 90 days. CloudWatch Logs for 30 days. |
| Vulnerability Scan | Amazon Inspector enabled. Monthly reports reviewed. |
| Backup | RDS automated backups (7-day retention). S3 versioning enabled. |
Change Log
| Version | Date | Author | Changes |
|---|
| v1.0 | YYYY-MM-DD | (Name) | Initial version created. |
| v1.1 | YYYY-MM-DD | (Name) | Updated NAT Gateway to redundant configuration. |
| v1.2 | YYYY-MM-DD | (Name) | Added ElastiCache (Redis). |
各セクションの書き方と例文
テンプレートを埋めるときに悩みやすいセクションを解説する。
ネットワーク構成の書き方
ネットワーク構成は「誰でも同じ環境を再現できる」粒度で書く。CIDRブロック・サブネット・セキュリティグループの3点セットが最低限必要だ。
| 日本語 | 英語 |
|---|
| パブリックサブネットはALB専用に割り当てる | Assign public subnets exclusively for the ALB. |
| プライベートサブネットにアプリとDBを配置する | Place the application servers and database in private subnets. |
| インターネットゲートウェイを通じて外部に接続する | Connect to the internet through the internet gateway. |
| NATゲートウェイで冗長化を確保する | Ensure redundancy with NAT Gateways in each availability zone. |
| セキュリティグループで役割ごとにアクセスを制限する | Restrict access per role using security groups. |
セキュリティ設定の書き方
セキュリティ設定は「どのレイヤーで・何をどう守るか」を具体的に書く。「セキュリティを強化する」だけでは不十分で、実装済みの設定を明記するのが鉄則だ。
| 日本語 | 英語 |
|---|
| 通信はTLS 1.2以上で暗号化する | All communications are encrypted using TLS 1.2 or higher. |
| アクセスキーをインスタンスに保持しない | No access keys are stored on instances; IAM roles are used instead. |
| シークレットはSecrets Managerで管理する | Secrets are managed via AWS Secrets Manager. |
| 最小権限の原則に基づいてIAMを設計する | IAM policies are designed following the principle of least privilege. |
| 脆弱性スキャンを定期的に実施する | Vulnerability scans are performed on a regular basis. |
クラウドインフラ議論の英語フレーズはエンジニアの英語クラウドインフラ議論術でも確認してほしい。
インフラ構成書でよく使う英語表現
実務でよく使う英語表現を場面別にまとめた。
インフラ構成の英語用語
| 日本語 | 英語 |
|---|
| 仮想プライベートクラウド | Virtual Private Cloud (VPC) |
| アベイラビリティゾーン | Availability Zone (AZ) |
| ロードバランサー | Load Balancer |
| オートスケーリング | Auto Scaling |
| リバースプロキシ | Reverse Proxy |
| DNS名前解決 | DNS Resolution |
| IPアドレス | IP Address |
| CIDRブロック | CIDR Block |
可用性・障害対応の英語表現
| 日本語 | 英語 |
|---|
| 冗長化構成 | Redundant / Highly available configuration |
| フェイルオーバー | Failover |
| マルチAZ構成 | Multi-AZ configuration |
| RTO(目標復旧時間) | Recovery Time Objective (RTO) |
| RPO(目標復旧時点) | Recovery Point Objective (RPO) |
| ディザスタリカバリ | Disaster Recovery (DR) |
| バックアップ・リストア | Backup and restore |
| ヘルスチェック | Health check |
セキュリティ・アクセス制御の英語表現
| 日本語 | 英語 |
|---|
| セキュリティグループ | Security group |
| インバウンドルール | Inbound rule |
| アウトバウンドルール | Outbound rule |
| 最小権限の原則 | Principle of least privilege |
| エンドツーエンド暗号化 | End-to-end encryption |
| ゼロトラスト | Zero trust |
| WAF(Webアプリケーションファイアウォール) | Web Application Firewall (WAF) |
| 多要素認証 | Multi-Factor Authentication (MFA) |
英語でのシステム設計議論のフレーズはエンジニアの英語システム設計議論術でまとめているので参考にしてほしい。
まとめ:英語インフラ構成書は7つのセクションで完成する
英語インフラ構成書に必要な構成要素を整理した。
- システム概要でRTO/RPOなどの非機能要件を明記する
- ネットワーク構成でCIDR・サブネット・セキュリティグループを具体的に記述する
- サーバー・リソース一覧で「何が・どこに・どの設定で動いているか」を一覧化する
- セキュリティ設定で「どのレイヤーで何を守っているか」を明記する
テンプレートをコピーして、実際のリソースIDやIPアドレスに置き換えてほしい。特にセキュリティ設定は実装済みの内容を正確に記録することで、監査対応や障害対応の際に役立つ。
コメント