CI/CD パイプラインは、デプロイを自動化することでコミット頻度を上げ、開発スピードが格段に速くする、非常に便利な仕組みです。
しかしその中で権限設定を適切に保つことは、セキュリティエンジニアにとって重要かつ骨の折れる仕事です。
セキュリティチェックをコミット回数と同様に加速するには、相当な工数の増強または技術躍進が必要です。
今回 GitHub Actions、IAM Access Analyzer、Amazon Bedrock を利用することで、権限管理を安全に運用できることを学びましたので紹介します。
1. 元ネタ
AWS re:Invent 2025 で参加した Code Talk です。
Automating IAM policy validation and analysis using GitHub Actions (SEC341)
セッション説明 (原文)
In this code talk, we'll demonstrate how to automate the validation and analysis of AWS IAM policies using GitHub Actions and IAM Access Analyzer. Through live coding examples, you'll see how policy validation and analysis, powered by automated reasoning, can minimise deployment of unwanted IAM policies. While security teams oversee organizational security posture, developers create applications needing permissions. Watch as we code the solution for enabling developer speed with security through delegated IAM policy authoring. Through interactive demonstrations, you'll learn how cfn-policy-validator and GitHub Actions can automatically validate and analyze IAM policies to uphold security when permitting developers policy authoring abilities. Follow along with the code as we show you how to enable developer speed without compromising security posture.
セッション説明 (日本語訳)
このコードトークでは、GitHub ActionsとIAM Access Analyzerを使用してAWS IAMポリシーの検証と分析を自動化する方法を実演します。ライブコーディングの例を通じて、自動推論によるポリシー検証と分析が、不要なIAMポリシーのデプロイを最小限に抑える仕組みをご覧いただけます。セキュリティチームが組織のセキュリティ態勢を監督する一方で、開発者は権限を必要とするアプリケーションを作成します。委任されたIAMポリシー作成を通じて、セキュリティを確保しながら開発者のスピードを可能にするソリューションをコーディングする様子をご覧ください。インタラクティブなデモンストレーションを通じて、cfn-policy-validatorとGitHub Actionsが自動的にIAMポリシーを検証・分析し、開発者にポリシー作成権限を付与する際のセキュリティを維持する方法を学びます。セキュリティ態勢を損なうことなく開発者のスピードを可能にする方法を示すコードを、ぜひご一緒に追ってみてください。
2. 適切な権限管理の難しさ
IAM ポリシーの人力のレビューは手間がかかり、ミスも起こりやすい領域です。
特に過剰権限の判断は難しく、開発スピードの妨げになりがちです。
開発者がアプリケーションやそのインフラを繰り返しデプロイする時、適切な権限設定を保ち続ける難易度は上がります。
そして IAM 権限の管理モデルは、中央集権・レビュー制・委任モデルなど様々ですが、どれも人手のレビューがボトルネックになりがちです。
今回のセッションでは、GitHub Actions × IAM Access Analyzer × Bedrock を活用して、過剰権限の検知から修正案の提案まで、一括で自動化できることを学びました。
生成 AI の力で更なるシフトレフトと自動化が実現します。
3. ソリューションの概要
GitHub Actions × IAM Access Analyzer × Bedrock で以下のような仕組みが実現します。
- 開発者が IAM ポリシー情報を含んだ CloudFormation テンプレートを Push
→ GitHub Actions が自動で検証を開始
→ IAM Access Analyzer が過剰権限を検出
→ Bedrock がリスクの説明と修正案を GitHub Issue に生成
→ 開発者が修正して再 Push
こちらの AWS Security Blog の cfn-policy-validator の仕組みに Bedrock のパワーを上乗せしたバージョンです。
例えば誰でも AssumeRole できる過剰な権限になってしまっているとします。
- Effect: Allow
Principal:
AWS: "*" # 誰でもロールを引き受けられてしまう
Action: ["sts:AssumeRole"]
その権限過剰な CloudFormation テンプレートを Push すると、GitHub Actions → IAM Access Analyzer → Bedrock を経て、GitHub で Issue が作成されます。
権限が過剰な問題箇所と、修正方法が記載されています。
自然言語でまとめてくれるのは大変心強いですね。
IAM ポリシーの記述を修正して Push し直すと、今度はチェックに合格しました。
合格したテンプレートは、CI/CD パイプラインの設定に応じてそのままデプロイ処理に進むことができます。
チェック失敗時にも、開発者に原因や修正方法を自然言語で提示する仕組みを見てきました。
開発者は迅速にガイダンスを受け取り、セキュリティチームは例外対応のみ。
まさに Win - Win なソリューションですね。
参考資料
ワークショップカタログの資料もあります。
触ってみたい方はぜひ。
まとめ
複雑でケースバイケースと思われがちなセキュリティチェックや改善提案も、テクノロジーの進歩で自動化が実現し始めています。
セキュリティエンジニアの仕事は、セキュリティ関連の分析や対応から、開発者や構築担当に向けたセキュリティ自動化システムを設計する仕事に広がっていくのかもしれません。
今日も小さな学びを。