はじめに
AWS 上で稼働する本番システムに Amazon Bedrock や Bedrock AgentCore、Amazon SageMaker といった生成AI・機械学習サービスが組み込まれるケースは増えています。これらの AI サービスを安全に運用するには、暗号化・ネットワーク分離・認可といった設定の堅牢化が不可欠です。
AWS リソースの設定がベストプラクティスに沿っているか確認するマネージドサービスとして、AWS Security Hub CSPM があります。Security Hub CSPM の代表的な標準である AWS Foundational Security Best Practices(FSBP)でも、Bedrock・Bedrock AgentCore・SageMaker に関するコントロールが提供されています。ただし FSBP は AWS 全体の汎用的なベースラインであり、AI ワークロードに関わるコントロールは他サービスのコントロールに混在しています。
2026年6月、AWS Security Hub CSPM に、AI リソースに焦点を絞った新しい標準「AI Security Best Practices standard」が追加されました。本記事では、この標準の概要と、どのような観点で AI リソースの設定を診断できるのかを整理します。
AI Security Best Practices standard とは
AI Security Best Practices standard は、デプロイ済みの AI リソースがセキュリティのベストプラクティスに適合していない状態を検出する、自動化されたコントロールのセットです。AWS のセキュリティ専門家によって策定されており、リリース時点では 31 個のコントロールで構成されています。
標準の基本情報は以下のとおりです。
- ARN:
arn:aws:securityhub:{region}::standards/ai-security-best-practices/v/1.0.0 - 対象サービス: Amazon Bedrock / Amazon Bedrock AgentCore / Amazon SageMaker
- カバーするセキュリティドメイン: ネットワーク分離、保存時および転送中の暗号化、VPC 配置、AWS KMS キーの利用、プライベートレジストリ要件、認可コントロールなど
FSBP との関連性
AI Security Best Practices standard の 31 個のコントロールには、FSBP と共通するものも多く含まれます。例えば「AgentCore ランタイムを VPC ネットワークモードにする」「AgentCore Gateway でインバウンド認可を必須にする」といったコントロールは、FSBP でも AI Security Best Practices でも評価されます。
この標準の意義は、新しいコントロールをゼロから追加したという点よりも、AI リソースに関係するコントロールを 1 つの標準に集約し、AI のセキュリティ状況を単独で見られるようにした点にあります。FSBP を有効化していても AI コントロールは他サービスのコントロールに埋もれてしまいますが、本標準を併用すれば、Bedrock・AgentCore・SageMaker の適合状況だけをまとまった単位で確認できます。
加えて、FSBP では扱われていないコントロールも含まれます。例えば AgentCore のメモリや Gateway をカスタマーマネージド KMS キーで暗号化するコントロール(後述の BedrockAgentCore.3 / BedrockAgentCore.4)は、FSBP には含まれず、NIST SP 800-53 Rev.5 にマッピングされています。NIST 標準をすべて有効化しなくても、本標準を使えばこうした AI 向けの暗号化チェックを取り込めます。
診断観点
31 個のコントロールは、大きく「暗号化」「ネットワーク分離」「認可・監査」の観点に分類できます。ここでは代表的なコントロールを観点ごとに紹介します。
暗号化
AI リソースが扱うデータ(ナレッジベースの元データ、エージェントのメモリ、特徴量、推論時の入出力など)を、AWS マネージドキーではなくカスタマーマネージド KMS キーで暗号化しているかを確認するコントロール群です。カスタマーマネージドキーを使うと、キーのローテーションやアクセスポリシーを自分で制御でき、AWS CloudTrail でキーの使用状況を監査できるため、コンプライアンス要件を満たしやすくなります。
例えば SageMaker.23 / SageMaker.24 は、シャドーテストなどで使う推論実験(Inference Experiment)が扱うインスタンスストレージや取得データを、カスタマーマネージド KMS キーで暗号化しているかを確認します。推論時に流れるリクエスト・レスポンスには機微な情報が含まれることがあるため、こうした一時データの暗号化まで対象に含まれている点が特徴です。
ネットワーク分離
AI リソースがインターネットに直接公開されておらず、VPC 内やプライベートネットワークに閉じているかを確認するコントロール群です。コンテナやランタイムがインターネットへ外向き通信できる状態は、データ持ち出しや不正アクセスの経路になり得ます。ネットワーク分離を有効にすると、コンテナからの外部通信が遮断され、攻撃対象領域を狭められます。
例えば BedrockAgentCore.7 は、AgentCore のカスタムコードインタープリタ(エージェントが動的にコードを実行する環境)のネットワークモードが PUBLIC または SANDBOX になっていないかを確認します。コード実行環境がインターネットに接続できると、意図しない外部通信やデータ持ち出しのリスクが高まるため、プライベートネットワークモードでの構成が推奨されます。
認可・監査
エージェントへのアクセスに認可を要求しているか、操作の記録が残る構成になっているかを確認するコントロール群です。
例えば BedrockAgentCore.2 は、AgentCore Gateway がインバウンドリクエストに対して認可を要求しているかを確認します。認可が設定されていないと、ゲートウェイのエンドポイントにネットワーク到達できる相手が誰でもエージェントを呼び出せてしまい、不正なデータアクセスやリソースの悪用、想定外のコスト発生につながる可能性があります。
有効化と利用開始
AI Security Best Practices standard は、Security Hub CSPM のコンソールまたは API から他の標準と同様に有効化できます。

初回の検出結果の生成には最大 24 時間程度かかる場合があります。有効化後は、対象となる Bedrock / AgentCore / SageMaker リソースが自動的に評価され、Security Hub のコンソール上で適合状況を確認できます。


料金は Security Hub CSPM の料金体系(セキュリティチェックの実行数などに基づく従量課金)に従います。
おわりに
AI Security Best Practices standard によって、以下が実現できます。
- Bedrock・AgentCore・SageMaker に関するセキュリティコントロールを 1 つの標準に集約し、AI リソースの適合状況をまとまった単位で確認できる
- 暗号化・ネットワーク分離・認可といった観点で、AI リソースの設定が推奨構成から逸脱していないかを継続的に把握できる
- AgentCore のメモリ・Gateway の暗号化など、FSBP には含まれないコントロールも、AI 向けの標準としてまとめて取り込める
なお、弊社の AWSアカウント診断サービス でも本標準に対応しました。既存の FSBP に基づく診断に加えて、AI Security Best Practices standard のコントロールも診断対象に含められるようになり、生成AI・機械学習の基盤を含めたセキュリティ状況を確認いただけます。