茨城の思い出を振り返る ～CDKのセキュリティを添えて～ / 20260201 Mitsutoshi Matsuo

Transcript

1. 茨城の思い出を振り返る 〜CDKのセキュリティを添えて〜 株式会社SHIFT 松尾 光敏 JAWS-UG 茨城 #11 CDK支部コラボ回（2026/2/1）

2. 1 はじめに（自己紹介） ◆松尾 光敏 ◆業務内容 ➢官公庁案件が中心。行政機関のガバメントクラウドへの利用支援 etc... ◆受賞／保有資格 ➢2025 Japan

   AWS Top Engineers（Services） ➢2023-2025 Japan AWS All Certifications Engineers ➢その他／CISSP、CISA、PMP etc...

3. １．Ice Break 2

4. 3 1.1．茨城（大洗町）にて…（1/2） 海鮮美味い！！！

5. 4 1.1．茨城（大洗町）にて…（2/2） 【出典】 食べログ（えんやどっと丸） https://tabelog.com/ibaraki/A0801/A080102/8002650/ 海岸沿いに行くといろいろな食べ処があります（夏はグランピングとかも）。

6. 5 1.2．茨城（大洗町）といえば…（1/2） 初の4DX 体験！！！（10年前...） ファミリーマート 大洗大貫店（店内にて撮影） 【出典】映画.com https://eiga.com/movie/78660/photo/

7. 【出典】ファミリーマート 大洗大貫店（ファミリーマート） https://as.chizumaru.com/famima/detailmap?account=famima&bid=69631 6 1.2．茨城（大洗町）といえば…（2/2）

8. 2．AWS CDK環境のセキュリティ 7

9. 8 2.1．AWS CDKのセキュリティへの興味の発端 ガバメントクラウドを利用した開発案件に入っていたときに、ガバメントクラウド運用班のレビューより、 GitHubへの権限管理について問われていた（Administrator Accessの横行。。。）。 【出典】Cross-account and cross-region deployment

   using GitHub actions and AWS CDK（AWS） https://aws.amazon.com/jp/blogs/devops/cross-account-and-cross-region-deployment-using-github-actions-and-aws-cdk/

10. 9 2.2．AWSアカウントレベルで権限分離を考える AWSアカウントは、検証・ステージング・本番などのほか、CDKデプロイ専用のAWSアカウントを用意する。 【出典】Cross-account and cross-region deployment using GitHub actions

    and AWS CDK（AWS）（一部改編） https://aws.amazon.com/jp/blogs/devops/cross-account-and-cross-region-deployment-using-github-actions-and-aws-cdk/ CDKデプロイ 専用のAWS アカウント

11. 10 2.3．AWS CDK環境のセキュリティ変遷 チャッピー（Chat GPT／GPT-5.2）にAWS CDK環境のセキュリティ変遷について聞いてみた。 Administrator Access利用前提 Assume Roleによる

    アカウントの分離不可 Modern Bootstrap 登場による、Assume Roleでのアカウント 分離が前提 CDKの実運用性が向上

12. 3．セキュリティと利便性とのバランス 11

13. 12 3.1．AWS CodeCommitの復活 新規AWSアカウント向けに、AWS CodeCommitが再GAしました（クローズ時：2024年7月26日）。 【出典】AWS CodeCommitの今後について（AWS） https://aws.amazon.com/jp/blogs/news/aws-codecommit-returns-to-general-availability/

14. 13 3.2．AWS CodeCommit VS GitHub（1/2） AWS CodeCommitがクローズしていた期間は、AWS利用者はGitHubなどに置き代えることで 対応したが、CodeCommitが復活した意味をメリット・デメリット比較で考えたい。 メリット デメリット

    AWS Code Commit ・IAMにより厳密にアクセス制御可 ・VPCエンドポイント経由でリポジトリへ アクセス可 ・IAMポリシー設定が煩雑化 GitHub ・Open ID Connect（OIDC）などの 標準認証プロトコルに対応 ・AWSから見ると外部サービス（SaaS）の ため、AWS内で完結不可 セキュリティ・認証面

15. 14 3.2．AWS CodeCommit VS GitHub（2/2） メリット デメリット AWS Code Commit

    ・UI/UXがシンプル ・UI/UXがシンプルゆえに開発者体験は 低い GitHub ・UI/UX（Pull Request;PRなど）が 高レベル ・熟練者向け（学習コスト高） UI/UX（開発者体験） メリット デメリット AWS Code Commit ・AWSサービスとの親和性が高い （IAMサービスロールにより、AWSサービスと の連携が容易） ・連携可能なサードパーティ製が少ない GitHub ・連携可能なサードパーティ製が豊富 ・AWSサービスとの親和性が低い （GitHubがAWS環境外にあることにより、 CodePipelineへのアクセス設定を明示的 に設定する必要がある） 機能拡張性

16. 15 3.3．セキュリティと利便性はトレードオフ AWS CDK環境を整備するときに、AWS CodeCommitとGitHubのどちらで構成したらよいかを考える ときに、「セキュリティ面（AWS内で構成が完結するか）」と「利便性（UI/UXを充実させるか）」のバランス を検討することが重要と考えます。 セキュリティ 利便性 AWS

    CodeCommit GitHub

17. 16 3.4．ガバメントクラウドではAWS CodeCommitの有効性が高い 既にGitHubがある中でAWS CodeCommitの利用意義を考えてみると、シングルクラウド構成を 原則としたガバメントクラウドでは、有効となります。 【出典】政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針（デジタル社会推進標準ガイドライン DS-310）（デジタル庁） https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/44df7733-3df2-4e47-bf0b- 85c0353c20c7/025b14b7/20250527_meeting_executive_policy_draft_04.pdf