茨城の思い出を振り返る 〜CDKのセキュリティを添えて〜 株式会社SHIFT 松尾 光敏 JAWS-UG 茨城 #11 CDK支部コラボ回（2026/2/1） 

1 はじめに（自己紹介） ◆松尾 光敏 ◆業務内容 ➢官公庁案件が中心。行政機関のガバメントクラウドへの利用支援 etc... ◆受賞／保有資格 ➢2025 Japan AWS Top Engineers（Services） ➢2023-2025 Japan AWS All Certifications Engineers ➢その他／CISSP、CISA、PMP etc... 

１．Ice Break 2 

3 1.1．茨城（大洗町）にて…（1/2） 海鮮美味い！！！ 

4 1.1．茨城（大洗町）にて…（2/2） 【出典】 食べログ（えんやどっと丸） https://tabelog.com/ibaraki/A0801/A080102/8002650/ 海岸沿いに行くといろいろな食べ処があります（夏はグランピングとかも）。 

5 1.2．茨城（大洗町）といえば…（1/2） 初の4DX 体験！！！（10年前...） ファミリーマート 大洗大貫店（店内にて撮影） 【出典】映画.com https://eiga.com/movie/78660/photo/ 

【出典】ファミリーマート 大洗大貫店（ファミリーマート） https://as.chizumaru.com/famima/detailmap?account=famima&bid=69631 6 1.2．茨城（大洗町）といえば…（2/2） 

2．AWS CDK環境のセキュリティ 7 

8 2.1．AWS CDKのセキュリティへの興味の発端 ガバメントクラウドを利用した開発案件に入っていたときに、ガバメントクラウド運用班のレビューより、 GitHubへの権限管理について問われていた（Administrator Accessの横行。。。）。 【出典】Cross-account and cross-region deployment using GitHub actions and AWS CDK（AWS） https://aws.amazon.com/jp/blogs/devops/cross-account-and-cross-region-deployment-using-github-actions-and-aws-cdk/ 

9 2.2．AWSアカウントレベルで権限分離を考える AWSアカウントは、検証・ステージング・本番などのほか、CDKデプロイ専用のAWSアカウントを用意する。 【出典】Cross-account and cross-region deployment using GitHub actions and AWS CDK（AWS）（一部改編） https://aws.amazon.com/jp/blogs/devops/cross-account-and-cross-region-deployment-using-github-actions-and-aws-cdk/ CDKデプロイ 専用のAWS アカウント 

10 2.3．AWS CDK環境のセキュリティ変遷 チャッピー（Chat GPT／GPT-5.2）にAWS CDK環境のセキュリティ変遷について聞いてみた。 Administrator Access利用前提 Assume Roleによる アカウントの分離不可 Modern Bootstrap 登場による、Assume Roleでのアカウント 分離が前提 CDKの実運用性が向上 

3．セキュリティと利便性とのバランス 11 

12 3.1．AWS CodeCommitの復活 新規AWSアカウント向けに、AWS CodeCommitが再GAしました（クローズ時：2024年7月26日）。 【出典】AWS CodeCommitの今後について（AWS） https://aws.amazon.com/jp/blogs/news/aws-codecommit-returns-to-general-availability/ 

13 3.2．AWS CodeCommit VS GitHub（1/2） AWS CodeCommitがクローズしていた期間は、AWS利用者はGitHubなどに置き代えることで 対応したが、CodeCommitが復活した意味をメリット・デメリット比較で考えたい。 メリット デメリット AWS Code Commit ・IAMにより厳密にアクセス制御可 ・VPCエンドポイント経由でリポジトリへ アクセス可 ・IAMポリシー設定が煩雑化 GitHub ・Open ID Connect（OIDC）などの 標準認証プロトコルに対応 ・AWSから見ると外部サービス（SaaS）の ため、AWS内で完結不可 セキュリティ・認証面 

14 3.2．AWS CodeCommit VS GitHub（2/2） メリット デメリット AWS Code Commit ・UI/UXがシンプル ・UI/UXがシンプルゆえに開発者体験は 低い GitHub ・UI/UX（Pull Request;PRなど）が 高レベル ・熟練者向け（学習コスト高） UI/UX（開発者体験） メリット デメリット AWS Code Commit ・AWSサービスとの親和性が高い （IAMサービスロールにより、AWSサービスと の連携が容易） ・連携可能なサードパーティ製が少ない GitHub ・連携可能なサードパーティ製が豊富 ・AWSサービスとの親和性が低い （GitHubがAWS環境外にあることにより、 CodePipelineへのアクセス設定を明示的 に設定する必要がある） 機能拡張性 

15 3.3．セキュリティと利便性はトレードオフ AWS CDK環境を整備するときに、AWS CodeCommitとGitHubのどちらで構成したらよいかを考える ときに、「セキュリティ面（AWS内で構成が完結するか）」と「利便性（UI/UXを充実させるか）」のバランス を検討することが重要と考えます。 セキュリティ 利便性 AWS CodeCommit GitHub 

16 3.4．ガバメントクラウドではAWS CodeCommitの有効性が高い 既にGitHubがある中でAWS CodeCommitの利用意義を考えてみると、シングルクラウド構成を 原則としたガバメントクラウドでは、有効となります。 【出典】政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針（デジタル社会推進標準ガイドライン DS-310）（デジタル庁） https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/44df7733-3df2-4e47-bf0b- 85c0353c20c7/025b14b7/20250527_meeting_executive_policy_draft_04.pdf