こんにちは、セキュリティエンジニアの田所です。
現地参加している AWS Summit Japan 2026 からセッションの模様をお届けします。

セッションについて

SEC221 AWS Security Agent: 設計から導入まで”攻め”のアプリケーションセキュリティ

re:Invent 2025でAWS Security Agentが発表されました。設計・コードレビュー、ペネトレーションテストの3機能を提供し、セキュリティレビューを数週間から数時間に短縮します。本セッションではSecurity Agentの概要に加え、AWS社内での実績や顧客事例をご紹介します。

AWS Security Agent の全体像をコンパクトに紹介する 20 分のライトニングトークでした。

1. ロウソクの時代から電気の時代へ

最初に語られたのは「プロアクティブセキュリティ」という考え方です。
開発の早い段階からセキュリティを適用していく、という従来からあるアプローチですね。

印象的だったのは、LLM の登場によってプロアクティブセキュリティは “贅沢品” ではなくなった、という指摘です。
昔のロウソクの灯りと、電気が発明されたあとの世界くらい違う、と。
この例えは言い得て妙だと感じました。

そのプロアクティブセキュリティを支えるのが「セキュリティ要件」です。
要件には業界のベストプラクティスと社内固有のものの2系統があり、ベストプラクティス側はセキュアバイデフォルトや特権アクセス管理などをカバーします。

AWS Security Agent では、これらをマネージドセキュリティ要件として即座に適用できます。

各プラクティスを個別に見ると、適用対象(Applicability)と判定基準(Compliance criteria)が定義されています。
どんなシステムに適用されるのか、そして何をもって準拠/非準拠とみなすのかが明文化されているので、評価の根拠がぶれないのが良いですね。

2. デザインレビューとコードレビュー

3 機能のうち、まず紹介されたのがデザインレビューとコードレビューです。

デザインレビューは、インフラ構成が要件に沿っているかを確認し、満たしていない場合は修正アクションまで提示してくれます。
デモでは設計ドキュメントに対して 10 件の要件を評価し、非準拠 1 件をピンポイントで指摘していました。

コードレビューは GitHub と連携し、すべてのプルリクエストに対してレビューを走らせて判定します。

実際のプルリクでは、デフォルトでリソースが公開設定になっている点を問題として検出し、「デフォルトを非公開にしてオプトイン形式にすべき」という改善ガイダンスまで提示していました。
人手のレビューを待たずに、この粒度の指摘が毎回のプルリクで返ってくるのは心強いですね。

社内固有の要件についても、カスタムのセキュリティ要件を作って適用できます。
例えば「ポスト量子暗号に対応していること」といった要件も、マネージド要件と同じく適用対象と判定基準を記載して運用できます。

3. ペネトレーションテスト

最後はペネトレーションテストです。
手動のペンテストはスケジューリングに数週間・実施に数日とコストが高く、コード生成の速度に追いつかない。
DAST スキャナーにも限界がある。
こうした課題が出発点として示されました。

Security Agent はこれを「自律型・構成の理解・高速」という 3 要素で解決します。
API エンドポイント・認証情報・ドキュメント・コードリポジトリの 4 つをインプットとして、計画エージェント・ペンテストエージェント・修復エージェントが連携して動く構成です。

結果は重要度やカテゴリで分類され、どこからどう直せばよいかが一目で分かるようになっています。

オンデマンドで実行できるため、その気になれば毎日ペンテストを回すことだってできる、という点も印象的でした。

まとめ

AWS Security Agent のデザインレビュー・コードレビュー・ペネトレーションテストの 3 機能と、その土台にあるプロアクティブセキュリティの考え方を見てきました。
AWS 社内の AppSec チームからも、開発サイクルの開始時点からレビューを回すことで脆弱性を早い段階で表面化できた、という声が紹介されています。

リリース状態は、デザインレビューとコードレビューがバージニア北部リージョンでプレビュー、ペネトレーションテストは東京を含む 6 リージョンで一般公開されました。

“攻め”の正体は、開発初期から高頻度でレビューを継続し、早い段階でセキュリティ課題を特定・修正することなのだと理解しました。
これもまた生成 AI がもたらした変化で、まずは社内で開発したアプリにひと通りかけてみるところから試していきたいですね。

おしまい