IaC・Terraform導入後の運用課題を改善！GitLabで実現する安全で効率的なインフラ管理

Transcript

1. 導入後の運用課題を改善！ Git管理 コードレビュー CI/CD 自動化 ブランチ戦略 生成AI IaC Terraform ・

   GitLabで実現する安全で効率的なインフラ管理

2. 株式会社ジークスのご紹介

3. 渡辺 浩 1994年8月29日 3,470万円 145名（グループ全体）※2025年4月1日時点 東京本社、大阪支社、北陸支社 ZYYX Int’l Philippines ZYYX

   Int’l VIETNAM CO.,LTD アプリ開発 システム開発 運用保守 Engineering Design UI/UXデザイン クリエイティブ 企画戦略 会社概要 代表者 設立 資本金 社員数 事業所 海外拠点 人生100年時代の幸せをアシストする家「プラットフォ ームハウス」アプリ構築 積水ハウス株式会社様 建設現場DXで働く人・モノの管理を効率化 「位置プラ ス®」サービス開発 株式会社竹中工務店様 https://www.zyyx.jp

4. ジークスでは、10年以上のGitLab運用経験をもとに 2024年4月よりGitLabパートナー事業を本格展開

5. はじめに

6. 手順書通りにやったのにエラーが出る 環境の微妙な違いや、更新されていない手順書により、同じ作 業のはずなのに結果が異なる。トラブルシューティングに何時 間も費やしてしまう。 特定の人しか触れない インフラ変更は「あの人」に頼むしかない。その人が休暇中や 離席中は作業がストップ。チーム全体の生産性が一人に依存し ている。 インフラ変更の待ち時間が長い 依頼してから実際に反映されるまで数日から数週間。アプリ開

   発のスピードがインフラのボトルネックで鈍化してしまう。 誰がいつ何を変更したか分からない 障害発生時、原因となった変更を特定できない。変更履歴が個 人のメモやチャットに散在し、説明責任を果たせない不安。 インフラ管理でこんな悩み、抱えていませんか？

7. 手作業による設定ミスとドリフト コンソールでの手動変更により、実態とドキュメントの乖離が発生 属人化とナレッジの偏り 特定メンバーしか触れない環境、変更履歴が個人の記憶に依存 準備・セットアップの長時間化 新環境構築に数日〜数週間、手順書の整備とメンテナンスコスト 変更の追跡困難 誰が・いつ・何を変更したか不明、ロールバックが困難 インフラチームが抱える課題 アプリ開発チームが抱える課題

   IaC導入前のよくある課題 インフラ変更依頼の待ち時間 チケット起票から対応完了まで数日〜数週間のリードタイム 環境差異による予期せぬ障害 Dev/Staging/Prodで微妙に異なる設定、本番でのみ発生する問題 セルフサービス化が困難 インフラ専門知識がないと環境を触れない、実験環境の準備が難しい インフラ要件の伝達コスト 必要なリソース仕様を言葉で説明、認識齟齬によるやり直し

8. コードによる変更履歴の管理 インフラ構成をコードとして記述し、バージョン 管理することで、変更履歴が完全に追跡可能にな ります。レビューや監査も容易になります。 再現性の確保 同じコードを実行すれば、誰が何度実行しても同 じ環境が構築されます。環境差異による問題が根 本的に解消されます。 圧倒的な高速化 手作業で数時間かかっていた環境構築が、数分で

   完了します。繰り返し作業から解放され、より価 値の高い業務に集中できます。 コラボレーションの促進 コードレビューを通じて知識が共有され、チーム 全体でインフラを管理できるようになります。属 人化が解消されます。 IaCは単なる自動化ツールではなく、組織全体の働き方を変える力を持っています しかし、IaCを導入しただけでは本当の価値は得られません！ IaC (Infrastructure as Code) がもたらす価値

9. IaC導入はゴール ではない IaCは、インフラの多くの課題を解決する強力なツールです。 しかし、IaCを導入しただけでは、まだ本当の効率化や安定運用にはたどり着けま せん。コード化されたインフラを、どのように組織全体で効果的に活用し、継続 的に改善していくかが重要です。 IaCを前提とした運用プロセスをいかに「標準化」し、チーム全体でどう実行して いくか、次なる課題はそこにあります。 本日は コード管理

   と コード実行環境 の標準化についてお話します。

10. Terraform 用途：インフラのプロビジョニング（家を建てる） 特徴：マルチクラウド対応、宣言的な記述、豊富なプロバイダー 得意：VPC、サーバー、データベースなどのインフラリソース構築 Ansible 用途：構成管理（家を住める状態にする） 特徴：エージェントレス、手続き型の記述、冪等性 得意：OS設定、ミドルウェアインストール、アプリケーションデプロイ AWS CloudFormation

    / Google Cloud Infrastructure Manager / Azure Bicep 特定クラウドのプロビジョニング、単一クラウド環境でのインフラ構築 OpenTofu 用途：インフラのプロビジョニング(Terraformの完全オープンソース版) 特徴：MPL 2.0ライセンス、Terraform互換、コミュニティ主導開発 得意：Terraform同等のインフラリソース構築、ベンダーロックイン回避 主要なIaCツールの特徴と使い分け

11. コード管理の標準化

12. IaCコード管理で標準化すべき5つの領域 Git管理 バージョン管理の統一と変更履歴の可視 化 ブランチ戦略 環境別の保護レベルと承認フロー コードレビュー 人間とAIによる品質チェック CI/CD自動化 中央実行環境による標準化

    生成AI活用 スキルギャップの解消と学習加速

13. AIを搭載した包括的なDevSecOpsプラットフォーム モニタリング・分析 計画 ソースコード管理 CI/CD 自動化 セキュリティ 開発スピードと品質の向上 ソフトウェアサプライチェーンにおけるセキュリティリスクへの対応 ガバナンスの強化

    複数ツール統合によるコスト削減 解決できる課題

14. 課題領域 GitLabの機能 プラン ① Git管理 リポジトリ、Web IDE 無償 ② ブランチ戦略

    ブランチ、保護ブランチ、CODEOWNERS、承認ルール 無償/有償 ③ コードレビュー マージリクエスト、承認とマージ 無償 ④ CI/CD自動化 GitLab CI/CD、Terraformステート・モジュール管理 無償 ⑤ 生成AI活用 GitLab Duo Chat、Code Generation、Code Review 有償 GitLab一つで5つの課題すべてに対応可能。基本機能は無償で利用でき、段階的に高度な機能を追加できます。 GitLabによる統合ソリューション

15. 1. Git管理

16. 01 リポジトリのクローン ブラウザ上でプロジェクトを開き、Web IDE を起動するだけ。コマンドライン操作は不要 です。 03 コードの編集 Web IDE内でTerraformコードを編集。シン

    タックスハイライトやコード補完も利用でき ます。 05 コンフリクト解決 マージ時のコンフリクトもWeb UI上で視覚的 に解決できます。 1. Git管理 02 ブランチの作成 UIから新しいブランチ名を入力するだけで作 成完了。複雑なGitコマンドを覚える必要はあ りません。 04 コミットとプッシュ 変更をコミットし、プッシュもUIから実行。 変更内容を説明するメッセージを記入するだ けです。

17. リポジトリ ソースコードのバージョン管理を行うための基本機能

18. Web IDE プロジェクトのトップ画面もしくはファイル詳細で . （ドット）を押すと、Web IDEが起動する

19. 2. ブランチ戦略

20. feature/* ブランチ 保護レベル：自由 開発者が自由に実験できる環境。失敗を恐れず、新しいアイデア を試せます。 環境ごとに適切な保護レベルを設定することで、スピードと安全性を両立できます。 develop ブランチ 保護レベル：CI成功必須 基本的な品質チェックをクリアしたコードのみがマージされま

    す。 staging ブランチ 保護レベル：1名以上の承認 本番に近い環境でのテストに使用。レビューによる品質担保。 main ブランチ（本番） 保護レベル：2名以上の承認必須 本番環境への変更は最も厳格に管理。複数人の目による安全性確 保。 2. ブランチ戦略

21. 保護ブランチと保護タグ ブランチやタグを安定したバージョンとして製品を安全に保護する

22. コードオーナーと承認ルール CODEOWNERS ファイルによって、特定のファイルやディレクトリに対する責任者を指定する

23. 3. コードレビュー

24. 機械的なチェックを自動化 Terraform fmt: コードのフォーマ ットを統一 Terraform validate: 構文エラーや 設定ミスを検出 Terraform

    plan: 適用される変更内 容をプレビュー セキュリティスキャン: 設定ミスや 脆弱性を自動検出 判断が必要な領域に集中 ビジネスロジックの妥当性 設計判断の適切性 将来の拡張性の考慮 チーム規約への準拠 他システムへの影響分析 基本チェックを機械的に行うことで、 人間はより高度な判断に専念 3. コードレビュー（マージリクエスト） 01 自動レビュー 02 人間レビュー

25. MR作成 IaC更新者がマージリクエストを作成すると、自動的にCI/CDパイプラインが起動します。 自動チェック terraform fmt、validate、plan、セキュリティスキャンが自動実行されます。 レビュー コードの変更差分をレビューして、改善提案をMRコメントに投稿します。 Planレポート terraform planの結果がMRに自動投稿され、影響範囲が可視化されます。

    承認とマージ レビュアーが承認し、マージするとブランチ戦略に基づき各環境への反映フローが開始されます。 手動でやっていた作業がすべて自動化され、品質とスピードを両立できます。 マージリクエストの自動化フロー

26. マージリクエスト コードレビューを円滑に行うための基本機能

27. マージリクエストウィジェット マージリクエストウィジェットによって、CI/CDの状態、コード品質のレポート、承認の状況など、重要な情報を一目で確認できる

28. 4. CI/CD自動化

29. ❌ 個人PCからの実行の課題 実行環境の差異：Terraformバージョンやプロバイダーバージョンの違いによるエラー 認証情報の管理：個人PCに認証情報を保存するセキュリティリスク 実行履歴の欠如：誰がいつ何を実行したか記録が残らない 権限管理の困難：誰がどの環境に対して実行権限を持つか管理できない ✅ GitLab CI/CDによる中央実行 環境の統一：Dockerコンテナで実行環境を標準化、誰が実行しても同じ結果

    安全な認証管理：CI/CD Variablesで認証情報を暗号化して管理 完全な監査ログ：すべての実行がジョブログとして記録され、いつでも参照可能 きめ細かい権限制御：Protected Environmentsで環境別に実行権限を設定 4. CI/CD自動化：中央実行環境への移行

30. CI/CDパイプライン CI/CDの一連のプロセス（ステージ、ジョブ）をまとめたもの applyなど重要な操作はマニュアル実行 セキュリティスキャン、terraform fmt、validate、planは自動実行

31. .gitlab-ci.yml CI/CDの設定を定義するためのYAML形式ファイル

32. Terraform ステート・モジュール管理 ステートファイルの安全な集中管理（S3などの外部ストレージ不要） プライベートで再利用可能なインフラコンポーネントの一元管理とバージョン管理

33. 5. 生成AI活用

34. Terraform初心者 課題：文法やリソース定義の書き方が分から ない 支援：GitLab Duo Chatで「EC2インスタンス を作成するTerraformコードを教えて」と質 問すれば、ベストプラクティスに沿ったコー ド例が提示されます。 インフラエンジニア

    課題：AWSのVPC設計やセキュリティグルー プの設定方法が不明 支援： 「プライベートサブネットとパブリッ クサブネットの違いは？」とDuo Chatに質問 すれば、図解付きで説明してくれます。 アプリ開発者チーム 課題：インフラの知識がないが、自分でリソ ースを作りたい 支援：Code Generationがリアルタイムでコ ード補完してくれるので、書きながら学べま す。エラーが出ても、Duo Chatに質問すれば 解決策を教えてくれます。 5. 生成AI活用：スキルギャップの解消

35. GitLabが考えるAI AIはコーディングだけでなく、 ソフトウェア開発ライフサイクルに関わる 全ての人達を支援する GitLab Duoでは、AIを活用した機能を利用できるユーザ ー、プロジェクト、グループを自由に設定できます。ま た、貴社のプロプライエタリコードやデータがAIモデル のトレーニングに使用されることはありません。 プライバシー優先AI

36. Duo Chat 自然言語で質問できるAIアシスタント。Terraformの書き方、 AWSのベストプラクティス、エラーの解決策など、何でも質問 できます。 Code Generation コードを書いている最中に、次に書くべきコードをリアルタイ ムで提案。文脈を理解した高精度な補完により、コーディング 速度が大幅に向上します。

    Code Review MRを作成すると、AIが自動的にコードをレビューし、改善提 案をコメントとして投稿。セキュリティリスクやベストプラク ティス違反を指摘してくれます。 Duo Self-hosted / Local LLM 自社のインフラ内でAIモデルを稼働。機密情報を外部に送信せ ず、データガバナンスとコンプライアンスを維持しながらAI機 能を利用できます。 GitLab Duo 4つの特徴 4つの機能が連携することで、学習しながら品質の高いコードを書くサイクルが回ります。

37. 1. コード作成 Duo Chat: 「どう書けばいいか」を質問 実装したい機能を自然言語で説明すると、 適切なTerraformコード例が提示されま す。 2. コーディング

    Code Generation: リアルタイム補完 提案されたコードを参考に実装を進める と、次に書くべきコードが自動提案されま す。 3. レビュー依頼 Duo Code Review: 自動レビュー MRを作成すると、AIが改善点を指摘。セ キュリティリスクやベストプラクティス違 反を学べます。 4. 修正 Duo Chat: 「なぜこうすべきか」を質問 AIの指摘内容について質問することで、背 景にある理由や原則を理解できます。 このサイクルを繰り返すことで、初心者が短期間で自律的に開発できるレベルに到達できます。 Duoを用いたIaC学習サイクル

38. コスト最適化提案 使用されていないリソースや、より安価 な代替案などを提示し、クラウドコスト の削減に貢献します。 GitLab Duo AIレビューは、Terraformコードの品質とセキュリティを自動で高め、IaC運用におけるベストプラクティスを徹底します。 これにより、人間はより高度な設計判断に集中できます。 ベストプラクティス準拠 Terraformの推奨事項や業界標準に沿っ

    ているかを自動で評価し、レビュー工数 を削減します。コードの品質が底上げさ れます。 セキュリティリスク検出 ハードコードされた機密情報、過剰な権 限付与など、潜在的なセキュリティ脆弱 性を早期に発見し、リスクを低減しま す。 命名規則と一貫性 組織固有の命名規則やコードスタイルに 沿っているかを確認し、コードベース全 体の一貫性を保ち、可読性を向上させま す。 ミドルエンジニアクラスのレビュー観点を全員に提供 GitLab DuoでのAIコードレビュー

39. IaC全般、C++、C#、Go、Google SQL、Java、JavaScript、Kotlin、 PHP、Python、Ruby、Rust、 Scala、Swift、TypeScript 対応言語 コードを入力すると、カーソルの位 置に応じて、現在の行を補完する提 案が表示されます。 入力中の補完 開発者が実現したい機能やロジック

    の要件をコメントに記載すると、AI がその内容を理解して、適切なコー ドを生成します。(日本語対応) コメントからコード生成 コードの提案

40. バグの特定、パフォーマンス最適 化、コード標準化、リスク軽減に貢 献し、効率と品質を向上させます。 コードのリファクタリング チャットが解説した文章は、他の開 発者と意思疎通するためのドキュメ ントとして役立ちます。 ドキュメント化を支援 開発者はチャットとの対話を通じ て、なじみのないコードの謎を解読

    できるようになり、コードへの理解 が深まります。 チャットがコードの意味を解説 チャットAI

41. まとめ

42. GitLabが提供する透明性 誰が変更したか：各コミットに紐づくユーザー情報が記録される いつ変更したか：タイムスタンプが自動的に記録される 何を変更したか：差分が視覚的に表示され、一目で理解できる なぜ変更したか：コミットメッセージとMRディスカッションで背景を記録 承認プロセス：誰がレビューし、承認したかも記録される 障害発生時の原因特定や、監査対応が劇的に容易になります。 透明性と説明責任が、組織全体の信頼性を高めます。 変更履歴の可視化

43. 観点 Before（導入前） After（GitLab導入後） Git管理 コマンドライン操作必須、Git初心者は参加困難 Web UIで完結、誰でもすぐに参加可能 ブランチ戦略 口頭やドキュメントで管理、実効性が低い システムで強制、環境別に適切な保護レベル

    コードレビュー 属人的、レビュアーのスキルに依存 AI+人間のハイブリッドレビュー、品質が標準化 コード実行 個人PCから実行、環境差異やセキュリティリスク 中央実行環境、標準化された安全な実行 スキルギャップ 専門知識が必要、属人化の原因に AIによる学習支援、初心者でも品質の高いコード 5つの観点すべてにおいて、具体的かつ測定可能な改善が実現されます。 Before / After 比較

44. Git管理 Web UIによる直感的な操作と、変更履歴の完全な可視化 ブランチ戦略 環境別の保護レベル設定と、承認フローによる統制 コードレビュー AIと人間のハイブリッドレビューで品質とスピードを両立 CI/CD自動化 中央実行環境による標準化と、完全な監査ログの記録 まとめ：コード管理標準化の5つのポイント

    生成AI活用 学習サイクルによるスキルギャップ解消と、継続的な成長支援

45. ご清聴有難うございました GitLabに関することなら何でもご相談下さい

46. Platformエンジニアリングによる開発生産性の向上〜AI活用〜 マージリクエスト分析 イシュー、生産性分析 CI/CDトラブルシュート AI導入効果ダッシュボード Self-hosted Models（閉域網） GitLab タスク・プロジェクト管理 ソースコード管理

    成果物作成 CI/CD パイプライン セキュリティ スキャン レビュー・承認 リリース 各種設計書 テキスト、マークダウン ソースコード ディスカッション要約 マージリクエスト要約 AIコードレビュー 脆弱性説明 脆弱性修正 AIの成果物を評価・統制するための “クオリティーゲート”

47. .gitlab-ci.yml以外にも、ノーコード でセキュリティスキャンを簡単に導 入できます。GitLabのWebインター フェイスから、プロジェクトまたは グループレベルでセキュリティポリ シーを定義できます。 ノーコードでポリシー設定追加 GitLabでは、.gitlab-ci.ymlファイル に1行追加するだけで、セキュリテ ィスキャンを簡単に導入できます。

    左記のように、SAST、シークレッ ト検出、依存関係スキャン、コード 品質の追加できます。 .gitlab-ci.yml に1 行追加するだけ セキュリティスキャンの導入

48. 依存関係リストは、SBOMを生成す る際に重要な役割を果たし、プロジ ェクト内の依存関係の全体像を提供 することで、セキュリティとコンプ ライアンスの向上に寄与します。 依存関係リストをSBOM で出力 プロジェクト内のセキュリティ脆弱 性の詳細な分析と追跡が可能です。 脆弱性が検出された場合、その脆弱

    性の情報、影響度、推奨される修正 方法などがレポートされます。 脆弱性レポート SBOM対応の脆弱性管理

49. GitLabとは セキュリティスキャンの適用範囲 ソースコード分析 実行中のWebアプリケーション分析 SAST（静的アプリケーション・セキュリティテスト） シークレット検出（Secret Detection） DAST（動的アプリケーション・セキュリティテスト） カバレッジガイド型ファジーテスト Web

    API セキュリティテスト Web API ファジーテスト ソフトウェア構成分析（SCA） 依存関係スキャン（Dependency Scanning） コンテナスキャン（Container Scanning） インフラストラクチャ分析 IaCスキャン（Infrastructure as Code Scanning） セキュリティスキャン以外のテスト 単体テストのコードカバレッジ（テストカバレッジの可視化） コード品質（ソースコードの品質と複雑さを分析） アクセシビリティテスト ブラウザパフォーマンステスト 負荷パフォーマンステスト 1 4 2 3