1. はじめに
某ベンダで、クラウドの人材育成企画と研修トレーニングのデリバリを担当しています。
先日、「突然のUI変更にマジ悩む、助けてくれたClaude.aiに感謝!!!」 という記事を投稿しました。AWS Management ConsoleのUIが突然変わって冷や汗かいたところをClaude.aiの1プロンプトで一発解決したという内容です。
しかし、記事を書き終えたあとにふと疑問が湧いてきました。
「これ、本当にClaudeじゃなきゃダメだったんだろうか…?」
気になり出すと夜も眠れない性分なので、同じプロンプトをそのまま使って、他の主要な生成AI(OpenAI、Google Gemini、Kiro CLI)でも的確な回答が返ってくるのか、公正に検証してみました。
2. なぜ、最初はClaude.aiを選んだのか?
最近、米国国防省との訴訟問題やMythosの件で何かと話題のAnthropicですが、AWSはAnthropicに最大40億ドルを投資する戦略的パートナーであり、ClaudeモデルはAmazon Bedrockを通じてAWSのインフラ上で提供されています。
そうなると短絡的に「Anthropic(Claude)はきっとAWSに一番詳しいはずだ。AWSの最新マニュアルも最優先で学習しているに違いない」という期待が湧いてきます。実際、Claudeは期待に応え、1プロンプトで原因(Amazon Auroraの仕様変更)を究明してくれました。
Claudeだから究明できたのか、早速クイックに検証です。
3. 各生成AIの検証結果
① Google Gemini の場合
Geminiに問いかけたところ、以下のような非常に詳細な回答が返ってきました。
💡 Geminiの回答
はい、仕様変更がありました。
2026年2月18日以降に作成されるすべての新しいAmazon Auroraデータベースクラスターにおいて、保管時の暗号化(Encryption at rest)がデフォルトで必須(自動有効化)となっています。
この変更に伴うマネジメントコンソール上の挙動や仕様のポイントは以下の通りです。主な変更点と仕様
- 自動での暗号化適用: マネジメントコンソールやAPI/CLI経由で新規クラスターを作成する際、暗号化設定を明示的に指定しない場合でも、AWS所有の鍵(AWS owned key / SSE-RDS)を使用してバックグラウンドで自動的に暗号化されます。
- 無効化の不可: 新規作成するクラスターにおいて、暗号化を「無効(None)」に設定することはできなくなりました。
- コンソール上のUI変更: 暗号化セクションの選択肢が「有効/無効」ではなく、使用する暗号化鍵のタイプを選択するドロップダウン(以下の3択)に変更されています。
- AWS owned key (SSE-RDS): デフォルト(追加料金なし、管理不要)
- AWS managed key (SSE-KMS): 従来のAWS管理鍵(aws/rds)
- Customer managed key (SSE-KMS): ユーザーが作成・管理するCMK
既存のクラスターやリソースへの影響
⚠️ 既存の未暗号化クラスターへの強制適用はありません。
今回の仕様変更は「新規作成されるクラスター」が対象であるため、現在稼働している未暗号化のAuroraクラスターが自動的に暗号化されることはありません。また、既存の未暗号化クラスターから取得したスナップショットやバックアップ、クローンも未暗号化のまま維持されます。
ただし、未暗号化のスナップショットから新しくクラスターを「復元(Restore)」する場合は、この新しい仕様が適用されるため、復元された新クラスターはデフォルトの鍵(AWS owned key)で自動的に暗号化された状態になります。
追加のコストやパフォーマンスへの影響なしにセキュリティのベースラインを引き上げる目的で導入された仕様変更ですが、もし暗号化鍵の監査や制御(キーポリシーの運用など)が要件にある場合は、デフォルトのままにせず「Customer managed key(顧客管理鍵)」を明示的に選択して作成する必要があります。
仕様変更の正確な日付(2026年2月18日)だけでなく、UIのドロップダウンの選択肢や既存リソース(スナップショットからの復元時)への影響まで網羅されており、完璧な回答です。
② OpenAI (ChatGPT) の場合
続いて、OpenAI(GPT系モデル)の回答です。
💡 OpenAIの回答
はい、仕様変更がありました。
現在の Amazon Aurora公式ドキュメント によると、2026年2月18日以降に作成される新しいAurora DBクラスターは、デフォルトで暗号化されるという動作に変更されています。(AWS ドキュメント)
ポイントを整理すると:
以前
- Aurora作成時に「暗号化を有効化」を選択可能
- 非暗号化クラスタも作成できた
現在(2026/2/18以降)
- 新規Auroraクラスタは自動的に暗号化
- AWS owned key(SSE-RDS)がデフォルト
- コンソール上では暗号化OFFにできないケースがある
- AWS管理キー / カスタマー管理KMSキーへの変更は可能 (AWS ドキュメント)
なので、「AWS Management Console経由でAuroraを作ると暗号化が必須になった?」という認識は、実質その通りです。
ただし重要なのは:
- 「KMSキーを自分で管理しないといけない」わけではない
- AWS owned key による透過暗号化が標準化された
という点です。あと運用面で注意なのは、一度作成したAuroraクラスタの暗号化ON/OFF変更は不可であるため、暗号化方式を変える場合は snapshot取得 -> restore -> 新クラスタ作成 が必要です。(AWS ドキュメント)
「以前と現在」の比較が箇条書きで綺麗に整理されており、運用上の注意点(スナップショットからのリストアが必要な旨)にもしっかり言及してくれています。こちらも非常に実用的です。
③ Kiro CLI の場合
最後に、AWS環境の運用や情報取得で注目されているKiro CLI(Auto agent)での出力です。
💡 KIROの回答
2026年2月18日以降、新規作成されるすべてのAurora DBクラスターは暗号化がデフォルトで有効になりました。
具体的には:
- 対象: 2026年2月18日以降に作成される新規Auroraクラスター
- 内容: カスタム暗号化設定なしで作成した場合、AWS所有キー(AWS Owned Key)によるサーバーサイド暗号化(AES-256)が自動的に有効化される
- 既存クラスターへの影響: なし(既存クラスターの設定は変更されない)
- アプリケーションへの影響: 透過的に動作するため、パフォーマンスへの影響もなし
コンソールで「暗号化を無効にする」オプションが選択できなくなった、あるいはデフォルトでオンになっているのはこの変更によるものです。
参考: Amazon Aurora now supports Server-Side Encryption by default
Kiroは、裏付けとなる AWSの「What's New」の公式一次ソースのURLをビシッと提示してくれました。開発現場でエビデンスを求められるエンジニアにとっては、URLを即座に出してくれるのは非常にありがたい挙動です。
4. 結論:どれを使っても的確だった!
「AWSの調査なら絶対にClaudeだ!」という一種の思い込みがありましたが、実際にフラットな目線で横並びで試してみると、どの生成AIを使っても非常に的確に原因究明ができるという結果になりました。
それぞれの強みをまとめると、以下のような印象です。
- Gemini: 挙動や画面の選択肢まで非常に詳細に解説してくれる。
- OpenAI: 過去と現在の対比や運用手順がコンパクトにまとまっていて見やすい。
- Kiro CLI: 一次ソースのURLをしっかり提示してくれるためエビデンスが取りやすい。
結論として、現代の主要な生成AIのインテリジェンスはどれも非常に高く、「企業内でセキュリティに守られて使えるツール」や「普段から使い慣れている皆さんの好みのツール」を選べば、技術情報のキャッチアップにおいてそこまで大きな差分はないと言えそうです。
完全に興味本位の検証でしたが、クリアになって一安心。今日は、大好きな麒麟ビールを飲んで寝ます。ビールが美味しい季節が今年も到来です。