Terraform × Policy as Code:管理策を実装し、追跡可能なガードレールへ by ma91n · Pull Request #1834 · future-architect/future-architect.github.io

ma91n · 2026-05-26T04:16:51Z

No description provided.

github-actions · 2026-05-26T04:17:52Z

+
+こんにちは、棚井龍之介です。本記事は [Terraform 連載 2026](/articles/20260518a/) の5本目です。
+
+Terraform のコードを Claude Code をはじめとした生成 AI に書かせる場面が、現場でも増えているのではないかと想像しています。私自身は Terraform からしばらく離れていますが、「VPC と RDS と CloudTrail を組んでほしい」と自然言語で頼めば、`.tf` ファイル一式が数秒で出てくる、というのは想像に難くありません。公式ドキュメントを開く時間より、AI に質問して出力を読む時間のほうが長い、というエンジニアも珍しくないでしょう。


🚫 [textlint] <eslint.rules.ja-technical-writing/no-doubled-joshi> _{reported by reviewdog 🐶}
一文に二回以上利用されている助詞 "と" がみつかりました。

次の助詞が連続しているため、文を読みにくくしています。

"と"

"と"

同じ助詞を連続して利用しない、文の中で順番を入れ替える、文を分割するなどを検討してください。
(ja-technical-writing/no-doubled-joshi)

github-actions · 2026-05-26T04:17:52Z

+
+そこで気になるのは、どうやってレビューするのか、という点です。
+
+人間のレビュアーは完璧ではありませんし、そもそもインフラ規模の拡大に対してレビュアー数は増えてくれません。`Action = "*"` の IAM ポリシー、`publicly_accessible = true` の RDS、`encrypted = false` の EBS といった、人間が忘れがちなパターンや見落としがちな書き間違いを、AI は平然と書き上げてしまいます。


🚫 [textlint] <eslint.rules.ja-technical-writing/no-doubled-joshi> _{reported by reviewdog 🐶}
一文に二回以上利用されている助詞 "は" がみつかりました。

次の助詞が連続しているため、文を読みにくくしています。

"は"

"は"

同じ助詞を連続して利用しない、文の中で順番を入れ替える、文を分割するなどを検討してください。
(ja-technical-writing/no-doubled-joshi)

github-actions · 2026-05-26T04:17:52Z

+
+人間のレビュアーは完璧ではありませんし、そもそもインフラ規模の拡大に対してレビュアー数は増えてくれません。`Action = "*"` の IAM ポリシー、`publicly_accessible = true` の RDS、`encrypted = false` の EBS といった、人間が忘れがちなパターンや見落としがちな書き間違いを、AI は平然と書き上げてしまいます。
+
+以前に執筆した記事([Claude Code 経由で AWS にアクセスする際の IAM ガードレール](https://future-architect.github.io/articles/20260525a/))では、AI エージェント自体が AWS にアクセスする時の「IAM ガードレール」について書きました。今回はその近接領域で、AI が Terraform コードを書いた後に、そのコード自体をどうチェックするのかを考えてみました。人間がレビューに入る前に機械的に弾く、シフトレフトされたガードレールをどう作るかという話です。なお本記事における「シフトレフト」は、コードレビュー前の段階に機械的チェックを前倒しで仕掛けることを指します。


🚫 [textlint] <eslint.rules.ja-technical-writing/no-doubled-joshi> _{reported by reviewdog 🐶}
一文に二回以上利用されている助詞 "に" がみつかりました。

次の助詞が連続しているため、文を読みにくくしています。

"に"

"に"

同じ助詞を連続して利用しない、文の中で順番を入れ替える、文を分割するなどを検討してください。
(ja-technical-writing/no-doubled-joshi)

github-actions · 2026-05-26T04:17:52Z

+
+`.rego` ファイル自体が Git で管理されていれば、「いつ、誰が、どんなチェックを追加したか」もすべて履歴として残ります。チェックそのものが履歴管理される形になり、冒頭で引用した「追跡可能・監査可能」という要件にも自然と応えられます。
+
+「広く拾う」trivy / checkov と「狭く明示する」conftest という二段構えが、今回の検証から見えた運用上の落としどころです。組み込みルールのツールと自作ルールのツールを併用するパターン自体は PaC を扱う場面でしばしば語られる構成で、今回の検証でも実感としてそこに着地しました。


🚫 [textlint] <eslint.rules.ja-technical-writing/no-doubled-joshi> _{reported by reviewdog 🐶}
一文に二回以上利用されている助詞 "で" がみつかりました。

次の助詞が連続しているため、文を読みにくくしています。

"で"

"で"

同じ助詞を連続して利用しない、文の中で順番を入れ替える、文を分割するなどを検討してください。
(ja-technical-writing/no-doubled-joshi)

…し、追跡可能なガードレールへ.md Co-authored-by: github-actions[bot] <41898282+github-actions[bot]@users.noreply.github.com>

Terraform × Policy as Code:管理策を実装し、追跡可能なガードレールへ

2d6a3ce

ma91n self-assigned this May 26, 2026

ma91n added the enhancement label May 26, 2026

github-actions Bot reviewed May 26, 2026

View reviewed changes

Update source/_posts/2026/20260526a_Terraform_×_Policy_as_Code：管理策を実装…

062b850

…し、追跡可能なガードレールへ.md Co-authored-by: github-actions[bot] <41898282+github-actions[bot]@users.noreply.github.com>

ma91n merged commit 94739c8 into main May 26, 2026
1 check passed

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Terraform × Policy as Code:管理策を実装し、追跡可能なガードレールへ#1834

Terraform × Policy as Code:管理策を実装し、追跡可能なガードレールへ#1834
ma91n merged 2 commits into
mainfrom
feature

ma91n commented May 26, 2026

Uh oh!

github-actions Bot May 26, 2026

Uh oh!

github-actions Bot May 26, 2026

Uh oh!

github-actions Bot May 26, 2026

Uh oh!

github-actions Bot May 26, 2026

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant


		こんにちは、棚井龍之介です。本記事は [Terraform 連載 2026](/articles/20260518a/) の5本目です。

		Terraform のコードを Claude Code をはじめとした生成 AI に書かせる場面が、現場でも増えているのではないかと想像しています。私自身は Terraform からしばらく離れていますが、「VPC と RDS と CloudTrail を組んでほしい」と自然言語で頼めば、`.tf` ファイル一式が数秒で出てくる、というのは想像に難くありません。公式ドキュメントを開く時間より、AI に質問して出力を読む時間のほうが長い、というエンジニアも珍しくないでしょう。


		そこで気になるのは、どうやってレビューするのか、という点です。

		人間のレビュアーは完璧ではありませんし、そもそもインフラ規模の拡大に対してレビュアー数は増えてくれません。`Action = "*"` の IAM ポリシー、`publicly_accessible = true` の RDS、`encrypted = false` の EBS といった、人間が忘れがちなパターンや見落としがちな書き間違いを、AI は平然と書き上げてしまいます。


		人間のレビュアーは完璧ではありませんし、そもそもインフラ規模の拡大に対してレビュアー数は増えてくれません。`Action = "*"` の IAM ポリシー、`publicly_accessible = true` の RDS、`encrypted = false` の EBS といった、人間が忘れがちなパターンや見落としがちな書き間違いを、AI は平然と書き上げてしまいます。

		以前に執筆した記事([Claude Code 経由で AWS にアクセスする際の IAM ガードレール](https://future-architect.github.io/articles/20260525a/))では、AI エージェント自体が AWS にアクセスする時の「IAM ガードレール」について書きました。今回はその近接領域で、AI が Terraform コードを書いた後に、そのコード自体をどうチェックするのかを考えてみました。人間がレビューに入る前に機械的に弾く、シフトレフトされたガードレールをどう作るかという話です。なお本記事における「シフトレフト」は、コードレビュー前の段階に機械的チェックを前倒しで仕掛けることを指します。


		`.rego` ファイル自体が Git で管理されていれば、「いつ、誰が、どんなチェックを追加したか」もすべて履歴として残ります。チェックそのものが履歴管理される形になり、冒頭で引用した「追跡可能・監査可能」という要件にも自然と応えられます。

		「広く拾う」trivy / checkov と「狭く明示する」conftest という二段構えが、今回の検証から見えた運用上の落としどころです。組み込みルールのツールと自作ルールのツールを併用するパターン自体は PaC を扱う場面でしばしば語られる構成で、今回の検証でも実感としてそこに着地しました。

Conversation

ma91n commented May 26, 2026

Uh oh!

github-actions Bot May 26, 2026

Choose a reason for hiding this comment

Uh oh!

github-actions Bot May 26, 2026

Choose a reason for hiding this comment

Uh oh!

github-actions Bot May 26, 2026

Choose a reason for hiding this comment

Uh oh!

github-actions Bot May 26, 2026

Choose a reason for hiding this comment

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant