こんにちは、セキュリティエンジニアの田所です。
現地参加している AWS Summit Japan 2026 からセッションの模様をお届けします。

セッションについて

SEC213 セキュリティレビューが開発速度に追いつく日 ー 自動ペネトレーションテスト

AWS Security Agent のペネトレーションテスト機能を深掘りし、ソースコード分析に基づく攻撃チェーン自動構築の仕組みや、従来ツールとの違いをデモで解説。
オンデマンドペンテストから修正 PR まで自動生成する開発体験をご紹介します。

AWS Security Agent のペネトレーションテスト機能をデモ中心に深掘りするライトニングトークでした。

1. なぜ今ペンテストの自動化なのか

GitHub 全体のコミット数は 2023 年の約 3 億件から 2026 年には約 14 億件へ、AI ツールが生成・支援したコードの割合も 6% から 55% へと急増しているそうです。
コードが爆発的に増える一方で、人間のセキュリティレビュー速度では、開発スピードにとても追いつけない、と問題提起されました。

さらに脆弱性を取り巻く状況も厳しさを増しています。
脆弱性の発見から攻撃が確認されるまでの期間は、2018 年の 2.3 年から 2024 年には 5 日、そして 2026 年には約 20 時間まで短縮しています。
攻撃側も生成 AI を使いこなす時代になり、脆弱性対策の重要性はより一層増している状況です。

そこで登場するのが AWS Security Agent のペネトレーションテストです。
特徴は「自律型」「文脈を理解」「高速」の 3 つ。
従来のペンテストを置き換えるものではなく、開発チームが気軽に自分たちで回せるようにするための位置付け、という説明でした。

  • 自律型:エージェントが実世界の攻撃シナリオを自律的に実行
  • 文脈を理解:アプリの文脈を把握し、カスタマイズされたテストケースを作成
  • 高速:オンデマンドで数時間でテストし、すぐ使える修正コードまで作成

検出できる脆弱性は OWASP Top 10 をカバーしています。
XSS や SQL インジェクション、SSRF といった単独の脆弱性だけでなく、「情報漏洩 → 権限昇格 → 機密データアクセス」のように複数の脆弱性を連鎖させた現実的な攻撃シナリオまでシミュレートできる点が、従来の DAST との大きな違いです。

2. 実行フローと開発体験

本セッションの主題、実行フローの深掘りです。
インプットは API エンドポイント・認証情報・ドキュメント・コードリポジトリの 4 つとなります。
これらをもとに、事前チェック(サイトマップ作成)→ 計画エージェント → ペンテストエージェント → 検証 → 修復エージェントという流れで処理が進み、最終的なアウトプットとして修正のプルリクエストが生成されます。

事前チェックにはリソースを追加して文脈を持たせることができます。
設計ドキュメントや構成図、ユーザーストーリー、ソースコードといったリソースを追加で渡せて、S3 バケットや GitHub リポジトリも指定可能です。
エージェントが構成の裏側を理解した上でテストできるので、検出のカバレッジと精度が上がるという仕組みですね。
文脈があるのとないのとでは、テストの精度は大きく変わることでしょう。

実行が始まると、結果は Severity やカテゴリに自動で分類されます。
ドーナツグラフで Critical / High / Medium の内訳が見え、エージェントが発見したエンドポイントまで一覧化されていました。
進行状況はリアルタイムで確認できます。

そして検証のフェーズでは、見つけた脆弱性に対して、手動での再現手順まで示してくれます。
JWT トークンの改ざんや GraphQL のミューテーション悪用といった攻撃ベクトルが、ステップバイステップで言語化されているのが分かります。
これなら開発者自身が結果を追うことも現実的です。

最後は修復エージェントです。
検出した内容に対して、修正コードのプルリクエストを GitHub 上に自動生成してくれます。
発見・再現・修正提案までが 1 つのサイクルとして回るため、ペンテストを開発ライフサイクルの一部として組み込むこともできそうです。

こうした開発体験の裏付けとして、実績やお客様の声も紹介されていました。
CVE Bench v2.0 での攻撃成功率は 92.5%、HENNGE 様の事例ではテスト期間が 90% 以上短縮、検出から修正 PR まで数時間という数字です。
「人間のペンテストチームでさえ通常は見つけられないような問題を可視化してくれた」という顧客の声(Bamboo Health 社)も添えられていました。

3. 料金体系

最後に、気になる料金です。

料金はタスク時間あたり 50 USD です。
タスク時間とは、エージェントが実際にテストを実行している延べ時間を指します。

小規模ウェブアプリで 8 タスク時間(400 ドル)、大規模エンタープライズアプリで 48 タスク時間(2,400 ドル)が請求例として示されていました。
すでに GA 済みですが、2 か月の無料トライアル(最大 400 タスク時間)も用意されています。

正直、安いとは言い切れない価格ですが、従来の手動ペンテストと比べればどうでしょうか。
高いと感じるか安いと感じるかはケース次第で、今後市場が判断していく部分かと思います。

まとめ

AWS Security Agent の自動ペネトレーションテストについて、背景から実行フロー、料金まで見てきました。
セキュリティレビューが開発速度に追いつかず、脆弱性対策の重要性が増す今の時代にぴったりのサービスだと感じました。
文脈を渡した上で攻撃チェーンまでシミュレートし、修正 PR まで自動生成してくれる開発体験は、ペンテストを「特別なイベント」から「当たり前の習慣」へと変えていく可能性を感じます。

まずは無料トライアルから、自分たちのアプリで気軽に試していきたいですね。

おしまい