【AWS re:Invent 2025】セッション「AWS Security Agent: Proactive AppSec from Design to Deployment (SEC348)」レポート

こんにちは、ホワイトバードです。

ラスベガスで開催されているAWS re:Inventに来ています。
参加したセッションについてのレポートをまとめたいと思います。

今回は、[NEW LAUNCH] AWS Security Agent: Proactive AppSec from Design to Deployment (SEC348)についてのレポートなります。
Keynoteで発表された新機能がどのようなものか楽しみで、ほかのセッションの予定を組み替えて参加することにしました。

AWS Security Agentの概要はこちらのページを参照ください

https://aws.amazon.com/jp/security-agent/

セッション説明

原文

Application security teams face an impossible challenge: scale security expertise across growing application portfolios while maintaining development velocity. Traditional approaches force organizations to choose between speed and security. In this session, discover how AWS Security Agent transforms application security from reactive to proactive through AI-powered automation. Learn how this frontier agent conducts automated security reviews customized to your organizational requirements and delivers on-demand penetration testing tailored to your applications. Join us to see how you can scale security coverage and prevent vulnerabilities early in the development lifecycle while maintaining the speed of modern development.

翻訳

アプリケーションチームはアプリケーションポートフォリオの拡大を通じて、開発速度の維持と高度なセキュリティへの両立という重要な課題に直面します。従来のアプローチでは、速度とセキュリティの選択を迫られていました。このセッションでは、AWS Security AgentがどのようにAIの力を駆使してアプリケーションセキュリティをリアクティブ型からプロアクティブ型に変えていくかを見てみたいと思います。最新鋭のエージェントが自組織の要件にカスタマイズされたセキュリティレビューを自動化し、オンデマンドなペネトレーションテストをアプリケーションに提供するかを学びましょう。本セッションに参加することでセキュリティカバレッジの拡大と、現代のモダン開発ライフサイクルにおける早期の脆弱性対応を知ることができます。

セッション形式：Breakout Session

セッション時間：1時間

セッションレベル：300

セッションレポート

AWS Security Agent導入の目的

• AWS Security AgentはAI駆動による自動化を通じて、アプリケーションセキュリティをリアクティブからプロアクティブに変革することを目指している。
• 従来のセキュリティは開発の後期に導入されることが多く、セキュリティリスクが発見された場合、手戻りが発生し開発スケジュールに影響を与えることが多い
• LLMを活用することでオンデマンドで利用でき、開発ライフサイクルの全体で適用できるようになった

AWS Security Agentの3つの機能

AWS Security Agentは、下記の3つの機能を持つ

1. Design Review
   設計ドキュメントを読み取り、組織のセキュリティ基準に合致しているかを見ることができる
   「Secure by Default」などの業界のベストプラクティスだけではなく企業独自の要件をカスタム要件として作ることができる
   
   
   合致していないルールについては、改善提案を行う
   
2. Code Review
   プルリクエストに合わせて自動的に起動可能
   
   
   GitHub workflowに対応
   
   
   独自のセキュリティ基準を作成し、適用度合い、クライテリア、修復ガイダンスを設定
   
   
3. On-demand Penetration Testing
   自律的に動作するエージェント。ガイダンスは不要。これまでのペネトレーションテストは準備や稼働がかかり、毎日のようにデプロイされる環境ではテストが後手になるリスクがあったが、オンデマンドで好きなタイミングで実行できる。またDAST（Dynamic Application Security Testing）は一般的な脆弱性にのみ対応しており、アプリケーションの特性を加味しないものであり限界がある
   
   
   

On-demand Penetration Testingの動作

ペネトレーションテストは次のようなフローで行われる

1. 情報入力
   APIエンドポイント、認証情報、関連ドキュメント、コードリポジトリの情報を入力
2. Pre-flight
   エンドポイントの認証確認とサイトマップの作成を行う
3. プランニングエージェント
   複数のペネトレーションテストを並行して同時実行する
4. バリデーションエージェント
   実際の脆弱性とそうでないものをフィルタリングする
5. エージェントループ
   結果を再度プランニングエージェントにフィードバックし、正確性を確認する
6. 修復エージェント
   脆弱性の修正方法を提示し、コードリポジトリにプルリクエストを生成

実際の声

AWS開発チームとお客様それぞれから非常にポジティブなフィードバックを受けている

まとめ・感想

サービス概要の説明が中心でしたが、レビュー機能については、他のAI駆動開発と同じく、ドキュメントがどれだけ残されているかが重要な気がしました。ペネトレーションテスト機能については実際にペネトレーションテストを行うとすると、テスト項目の作成や実際のテスト日程の調整など非常に大変な項目が多く、こうした日常的なテストでおおむね解消しておければ、最終工程での手戻りが少なくなるのではという期待をしております。