▣ アプリ開発/2026-06-26上級

生成も配信も任せても、署名鍵だけは渡さない — AI 主導の配布パイプラインで鍵の管理と引き継ぎを設計する

AI Studio や Antigravity が生成から内部テスト配信までを肩代わりする時代でも、アプリの署名鍵だけは別格です。鍵を失えば、そのアプリは二度と更新できません。個人開発で複数アプリを長く運用してきた立場から、アップロード鍵とアプリ署名鍵の分離、鍵の保管、そして万一の引き継ぎまでを設計としてまとめました。

AI Studio⁵ Antigravity²⁷¹ Android²³ Google Play⁵ app-dev⁴⁰

✦ プレミアム記事

数年前、あるアプリのキーストアを危うく失いかけたことがあります。古い Mac を初期化する前夜、バックアップの一覧を眺めていて、.jks ファイルがどのバックアップにも入っていないことに気づきました。あの夜に気づいていなければ、そのアプリは更新する手立てを永久に失っていました。コードは生成し直せます。けれど署名鍵は、生成し直せません。

AI Studio や Antigravity が、生成から内部テスト配信までを一画面でつなぐようになったいま、配布のほとんどの工程は機械に預けられます。預けてよいのです。やり直しがきくからです。けれど署名鍵だけは性質が違います。鍵は「アプリの同一性そのもの」であり、失えばそのアプリは別物になってしまう。自動化が進んだパイプラインの中で、署名鍵をどう扱い、どこで人が握り続けるか。その線引きと実装を、長く複数アプリを運用してきた立場から設計として書きます。

まず、鍵を二種類に分ける

Google Play の署名には、性質の違う二つの鍵が関わります。ここを混同したまま自動化に載せると、渡してはいけない鍵まで機械の手の届く場所へ置いてしまいます。

ひとつはアプリ署名鍵です。ユーザーの端末に届く APK に最終的に署名される鍵で、Play アプリ署名を使っていれば Google が管理します。これはアプリの同一性の根幹で、原則として人も機械も日常的には触れません。触れないことが安全です。

もうひとつはアップロード鍵です。あなたが Play Console へ AAB を送るときに署名する鍵で、Google 側でアップロード鍵として登録されています。CI が自動でビルドを送るなら、署名に使うのはこのアップロード鍵です。重要なのは、アップロード鍵は失っても再登録できるという点です。紛失したらサポート経由で新しいアップロード鍵に差し替えられます。一方、Play アプリ署名を使わず自分でアプリ署名鍵を持っている古い構成では、その鍵を失った時点で更新は終わります。

この違いが、自動化の線引きをそのまま決めます。

鍵の種類	失ったときの結果	自動化に触らせてよいか
アプリ署名鍵（Play 管理）	Google が保持。原則触れない	触らせない（そもそも手元にない）
アップロード鍵	再登録で復旧可能	CI に注入してよい（保管は厳重に）
自己管理のアプリ署名鍵（旧構成）	更新が永久に不可能	絶対に渡さない・Play 署名へ移行を検討

私自身、いま運用している複数アプリは、可能なものはすべて Play アプリ署名へ移しました。自己管理の鍵を抱えたまま自動配信を回すのは、不可逆のリスクを毎晩通すようなものだと考えたからです。まだ移していない古いアプリがあるなら、自動化を強める前にここを片付けるのを勧めます。

鍵を平文で置かずに、自動署名へ供給する

アップロード鍵は CI に注入してよい、と書きました。とはいえ .jks をリポジトリに置いたり、パスワードをスクリプトに直書きしたりするのは論外です。生成 AI にコードを触らせる前提なら、なおさらです。鍵そのものと、鍵を開けるパスワードは、コードの世界の外に出します。

ローカルでは、鍵のパスワードを Keychain や環境変数のシークレットストアに置き、Gradle からは値を直接見せない形で渡します。

// app/build.gradle.kts — 鍵情報をコードに焼き込まず、環境から受け取る
import java.io.FileInputStream
import java.util.Properties
 
android {
    signingConfigs {
        create("release") {
            // パスは環境変数で受け取り、鍵ファイル自体はリポジトリに入れない
            val keystorePath = System.getenv("UPLOAD_KEYSTORE_PATH")
            if (keystorePath != null) {
                storeFile = file(keystorePath)
                storePassword = System.getenv("UPLOAD_KEYSTORE_PASSWORD")
                keyAlias = System.getenv("UPLOAD_KEY_ALIAS")
                keyPassword = System.getenv("UPLOAD_KEY_PASSWORD")
            }
        }
    }
    buildTypes {
        getByName("release") {
            signingConfig = signingConfigs.getByName("release")
        }
    }
}

CI では、鍵ファイルを Base64 で暗号化シークレットに格納し、ジョブの一時領域にだけ展開して、終了時に確実に消します。鍵が平文でディスクに残る時間を、ビルドの数分間だけに限定するわけです。

# GitHub Actions の例 — 鍵は一時展開し、後始末まで含めて門にする
- name: Restore upload keystore
  env:
    KEYSTORE_B64: ${{ secrets.UPLOAD_KEYSTORE_B64 }}
  run: |
    echo "$KEYSTORE_B64" | base64 -d > "$RUNNER_TEMP/upload.jks"
    echo "UPLOAD_KEYSTORE_PATH=$RUNNER_TEMP/upload.jks" >> "$GITHUB_ENV"
 
- name: Build & sign AAB
  env:
    UPLOAD_KEYSTORE_PASSWORD: ${{ secrets.UPLOAD_KEYSTORE_PASSWORD }}
    UPLOAD_KEY_ALIAS: ${{ secrets.UPLOAD_KEY_ALIAS }}
    UPLOAD_KEY_PASSWORD: ${{ secrets.UPLOAD_KEY_PASSWORD }}
  run: ./gradlew bundleRelease
 
- name: Shred keystore
  if: always()
  run: shred -u "$RUNNER_TEMP/upload.jks" 2>/dev/null || rm -f "$RUNNER_TEMP/upload.jks"

if: always() を付けた後始末を必ず置くのが肝心です。ビルドが失敗しても鍵ファイルが残らないようにします。AI エージェントに自動署名まで回させるとき、私が最初に固定したのはこの「展開と消去を対にする」型でした。鍵が出ている時間を最小化すれば、生成コードや一時ログに鍵が紛れ込む経路を狭められます。

注意したいのは、shred や rm で消えるのはファイルだけだということです。ビルドログに鍵やパスワードを誤って出力していないかは、別途確認します。署名ステップの標準出力をそのままログに流す設定だと、稀に内部情報が漏れます。ログのマスキング設定を一度確認しておくと安心です。

✦

ここまでお読みいただきありがとうございます。

この記事の続きを読む

この先には、実装コードやベンチマーク結果など、実務でお役に立てる内容をご用意しています。このサイトは広告を掲載しておらず、サーバーや開発にかかる費用はメンバーの皆様のご支援で成り立っています。もしお役に立てていましたら、ご支援いただけますと大変ありがたいです。

この記事で得られること

✦アップロード鍵とアプリ署名鍵を分け、自動化に触らせてよい鍵と絶対に渡さない鍵を線引きする考え方

✦鍵を平文で置かずに自動署名へ供給する、CI とローカルでの保管・注入の実装手順

✦鍵紛失・漏洩・本人不在という三つの不可逆に対する、復旧と引き継ぎの運用設計

Stripe による安全な決済 · いつでもキャンセル可能

✦

この記事を購入する

この先の内容をすべてお読みいただけます。一度のご購入で、いつでも何度でもアクセスできます。このサイトは広告を掲載しておらず、皆さまのご支援がサーバー費用などの運営を支えています。

または

メンバーシップなら全記事が読み放題 →

三つの不可逆に、復旧と引き継ぎを用意する

鍵をめぐる怖さは、突き詰めると三つの不可逆に集約されます。それぞれに「起きる前の備え」を用意しておくのが、長く運用するための保険です。

紛失 — 三箇所保管と年一の復旧訓練

ひとつめは紛失です。冒頭の私のように、バックアップに鍵が入っていない、という事態。アップロード鍵なら再登録で戻せますが、自己管理のアプリ署名鍵だと終わりです。備えは単純で、鍵を地理的にも媒体的にも分けて、最低三箇所に保管します。私はパスワードマネージャの安全なメモ、暗号化したオフラインの媒体、そして信頼できるクラウドの暗号化保管の三本立てにしています。復旧手順を年に一度、実際に一つの場所から鍵を取り出して署名できるか試すのも欠かせません。手順は書いただけでは腐ります。

漏洩 — 差し替えられる構成にしておく

ふたつめは漏洩です。鍵がどこかに流出した疑い。アップロード鍵なら、Play Console から新しいアップロード鍵への差し替えを申請できます。だからこそ、自己管理鍵を Play 署名へ移しておく価値があります。漏洩時に「差し替えられる」という選択肢があること自体が、夜の安心につながります。漏洩の兆候を早く掴むために、シークレットの最終アクセス時刻や CI の実行履歴を時々見るようにしています。本番運用で鍵を扱う以上、漏洩時の対処と回避策を先に決めておくことをお勧めします。よくある落とし穴は、鍵の差し替え手順を一度も試さないまま放置することです。

本人の不在 — 封をした引き継ぎ

みっつめは、語りにくいですが本人の不在です。個人開発は、鍵の知識が一人の頭の中で完結しがちです。私は離れて暮らす家族のことを考えるようになってから、この点を真剣に設計に含めるようになりました。鍵そのものは渡さなくても、「どこに、どうやって保管されているか」「誰に連絡すれば良いか」を封をした手順として残しておく。アプリを誰かに引き継ぐにせよ、畳むにせよ、最後の操作ができる道を一本だけ残しておくのは、作り手としての責任だと感じています。

鍵の引き継ぎメモ（封をして保管・本文には鍵を書かない）
- 対象アプリ: <パッケージ名の一覧>
- 署名方式: Play アプリ署名（アップロード鍵のみ自己保管）
- アップロード鍵の保管場所: <3箇所の所在を、それぞれの開け方とともに>
- Play Console / 配信アカウントの引き継ぎ連絡先: <窓口>
- 復旧手順の最終確認日: <YYYY-MM-DD>

この封をしたメモには、鍵もパスワードも書きません。書くのは「どこをどう開ければ鍵にたどり着くか」だけです。鍵の在処への地図と、鍵そのものを、別々に管理する。これが、本人の不在という最も語りにくい不可逆への、私なりの備えです。

アップロード鍵は、壊さずに替えられる

ここまで「アップロード鍵は再登録できる」と書いてきましたが、実際に替える手順を一度通しておくと、漏洩時の判断が驚くほど軽くなります。慌てて初めて触る鍵の差し替えほど、夜中に怖いものはありません。

手順の骨格は単純です。新しい鍵を作り、Play Console から登録の差し替えを申請し、CI のシークレットを新しい鍵に入れ替える。アプリ署名鍵は Google が持ったままなので、ユーザーの端末に届く署名は変わりません。つまり、アップロード鍵を替えてもアプリの同一性は保たれます。ここが Play アプリ署名の最大の利点です。

# 新しいアップロード鍵を作り、登録用の証明書を書き出す
keytool -genkeypair -v \
  -keystore upload-new.jks -alias upload \
  -keyalg RSA -keysize 2048 -validity 9125
 
# Play Console へ提出する PEM 証明書を取り出す
keytool -export -rfc \
  -keystore upload-new.jks -alias upload \
  -file upload-new-cert.pem

書き出した証明書を Play Console のアップロード鍵差し替え申請に添えれば、以後は新しい鍵で送れます。私は鍵を作り替えたら、必ず古い鍵で署名した古いビルドが弾かれること、新しい鍵で送れることの両方を内部テストで確かめてから、自動化のシークレットを切り替えています。順序を逆にすると、差し替え反映前のタイミングで自動配信が落ちる落とし穴があるためです。