はじめに
前回の記事「Cursorで実現する『設定ファイル比較業務』の完全自動化」では、AIを活用した基本的な設定ファイル比較の方法をご紹介しました。
多くの方から「実際に業務で使えた!」「時間が大幅に削減できた!」といった
「嬉しい反響をいただき、ありがとうございます。」となればいいなと思ってます。
「もっと高度な使い方はないの?」
「セキュリティ観点でも活用したい!」
そんな声に勝手にお応えして、今回は第2弾をお届けします。
📌 第1弾の振り返り
前回は、以下の基本テクニックをご紹介しました:
https://qiita.com/kazuhiro_kobayashi/items/50706709c365385b6198
- ✅ 基本の2ファイル比較
- ✅ 設定変更前後の差分レビュー
- ✅ 複数台(3台以上)の一括比較
- ✅ 設定差分の説明
より実践的で応用的な内容にフォーカスします:
-
セキュリティ観点での比較
→ 脆弱性のある設定を自動検出 -
ベストプラクティスとの比較
→ 標準設定からの自動指摘 -
比較結果のMarkdown形式エクスポート
→ レビュー報告書を自動生成
これらを使えば、単なる差分確認から、品質評価・セキュリティ監査までをAIで
自動化できます。
テクニック1️⃣:セキュリティ観点での比較
シーン:セキュリティ設定の統一性確認
AIへの質問方法:
あなた: 「この2つの設定ファイルを比較して、セキュリティ上問題のある差異を指摘してください」
AIの回答例:
【セキュリティリスク発見】
1. パスワード設定の違い
- 設定ファイル1: 設定なし ❌
- 設定ファイル2: "service password-encryption" ✅
【リスク】
設定ファイル1ではパスワードが平文で保存される可能性があります
【推奨対応】
設定ファイル1に以下を追加:
service password-encryption
2. SSH設定の違い
- 設置ファイル1: バージョン指定なし ⚠️
- 設定ファイル2: "ip ssh version 2" ✅
【リスク】
SSH v1(脆弱)が使用される可能性があります
【推奨対応】
設定ファイル1に以下を追加:
ip ssh version 2
3. VTY設定の違い
- 両機器とも「transport input ssh」は設定済 ✅
- 問題なし
💡 すごいところ:
- セキュリティの専門知識がなくても、AIが脅威を検出
- 具体的な修正コマンドまで提示してくれる
- 優先順位をつけて対応できる
テクニック2️⃣:ベストプラクティスとの比較
シーン:既存設定の品質評価
AIへの質問:
あなた: 「この設定ファイルを、Cisco推奨のベストプラクティスと比較して、
改善すべき点を指摘してください」
AIの回答例:
【📊 ベストプラクティス準拠度:65点】
【✅ 良好な設定】
1. SSH v2の使用 ✅
2. パスワード暗号化 ✅
3. VTY接続制限(SSHのみ) ✅
4. 未使用ポートのshutdown ✅
【⚠️ 改善推奨(重要度:高)】
1. タイムスタンプ無効化
現状: no service timestamps log datetime msec
推奨: service timestamps log datetime msec
【理由】
- トラブルシューティング時に時刻情報が不可欠
- セキュリティ監査で時系列追跡が必要
- 業界標準では有効化が推奨
【修正コマンド】
service timestamps log datetime msec
service timestamps debug datetime msec
---
2. STP無効化(VLAN 10, 20)
現状: no spanning-tree vlan 10,20
推奨: spanning-tree mode rapid-pvst
【理由】
- ループ発生時の防御機能なし
- 物理配線ミス時に全ネットワーク停止のリスク
- 可用性に重大な影響
【修正コマンド】
no spanning-tree vlan 10,20
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20 priority 4096
---
【⚠️ 改善推奨(重要度:中)】
3. SNMP設定なし
推奨: SNMPv3の設定
【理由】
- ネットワーク監視が困難
- 障害の早期検知ができない
- キャパシティ管理ができない
【修正コマンド例】
snmp-server group ADMIN v3 priv
snmp-server user admin ADMIN v3 auth sha AuthPass priv aes 128 PrivPass
💡 ベストプラクティス比較の価値:
- 自分では気づかない問題をAIが指摘
- 業界標準との差分が明確に
- 具体的な修正方法まで提示
テクニック3️⃣:比較結果をMarkdown形式でエクスポート
シーン:レビュー結果の文書化・共有
AIへの質問:
あなた: 「この2つの設定ファイルの比較結果を、
レビュー報告書として、Markdown形式で作成してください。
含める内容:
- 比較サマリー
- 重要な差異のリスト
- セキュリティ評価
- 改善推奨事項
AIが生成するMarkdownドキュメント:
# Ciscoスイッチ設定比較レビュー報告書
**作成日:** 2025年11月30日
**対象機器:** Switch#1 / Switch#2
**設定取得日:** 2024年11月9日
1. 比較サマリー
2. 重要な差異のリスト
2.1 サービス設定の差異
影響: Switch#1ではログにタイムスタンプが記録されないため、障害調査時に時系列の把握が困難になります。
2.2 スパニングツリー設定の差異
影響: VLAN 20のスパニングツリー動作が両スイッチで異なり、ループ検出に不整合が生じる可能性があります。
2.3 ポートVLAN割り当ての差異
詳細分析:
■ Switch#1 ポート割り当て
Fa0/1-10 : VLAN 10 (10ポート)
Fa0/11-20 : VLAN 20 (10ポート)
Fa0/21-23 : shutdown (未使用)
Fa0/24 : access (VLANなし)
■ Switch#2 ポート割り当て
Fa0/1-4 : VLAN 10 (4ポート)
Fa0/5 : VLAN 20 ← 不整合
Fa0/6-10 : VLAN 10 (5ポート)
Fa0/11-20 : VLAN 20 (10ポート)
Fa0/21-23 : VLAN 30 (3ポート) ← 追加VLAN
Fa0/24 : access (VLANなし)
(以下、詳細な比較結果が続く)
よくある質問(FAQ)
Q1: 何台まで同時に比較できる?
A: 理論上は制限なし、実用的には5〜10台まで
💡 推奨アプローチ:
- 2〜3台:最も分析精度が高い
- 4〜5台:十分に実用的
- 6台以上:グループ分けして段階的に比較
実例:
ステップ1:本社の3台を比較
ステップ2:支社Aの3台を比較
ステップ3:本社と支社Aの代表機を比較
Q2: 大きな設定ファイル(数千行)も比較できる?
A: はい、可能です!
サイズ別の対応:
- 〜500行:全体を一度に比較できる
- 500〜2000行:セクション別に比較を推奨
- 2000行以上:特定の設定項目に絞って比較
💡 Tips:
大きいファイルの場合は質問を具体的に:
「この2つの設定ファイルのVLAN設定だけを比較して」
「interface設定の違いだけを教えて」
Q3: AIが間違った分析をすることはある?
A: あります。必ず人間が最終確認が必要です。
AIが苦手なケース:
- 特殊なベンダー固有の設定
- 非常に複雑な設定の依存関係
✅ **安全な使い方(3ステップ):**
1. AIに分析させる
2. 自分で内容を確認
3. 疑問点はAIに再度質問
❌ NGな使い方:
AIの分析結果を確認せずに、そのまま報告書に使用
Q4: セキュリティ上、設定ファイルを外部送信しても大丈夫?
A: 環境によって対策が必要です
リスク別の対応:
🟢 テスト環境・検証環境
- そのまま使用してOK
- 本番データが含まれない設定で練習
🟡 本番環境(機密度:中)
- パスワードハッシュをマスキング
- 公開IPアドレスを10.x.x.xに置換
🔴 本番環境(機密度:高)
- Cursorのローカルモード使用
- または社内環境で動作するAIツール導入を検討
💡 **安全な始め方:**
1. まずテスト環境の設定で練習
2. 慣れたら本番環境(マスキング済み)で試す
3. セキュリティポリシーに準拠しているか確認
🔗 Cursor関連
公式サイト
- Cursor公式: https://cursor.sh/
- ダウンロード: https://cursor.sh/download(無料版あり)
- ドキュメント: https://cursor.sh/docs