re:Invent 2025にて、開発ライフサイクル全体を通してアプリケーションのセキュリティをプロアクティブに確保するAI搭載エージェント、AWS Security Agentが登場しました。
アップデート概要
以下のセキュリティ機能が提供されます
- 設計セキュリティレビュー
- コードセキュリティレビュー
- 侵入テスト
セットアップ
Security Agentをセットアップします。
ユーザーアクセス設定を選択します。
今回はIAMユーザーにします。
エージェントスペースが作成されました。
セキュリティ要件を見てみます。
マネージドセキュリティ要件が10個用意されています。
デフォルトではすべて有効ですが、要件に応じて無効化もできます。
セキュリティ要件名をクリックすると、詳細を見ることができます。
また、カスタムセキュリティ要件を作成することもできます。
設計セキュリティレビュー
まずは、設計レビューを開始します。
「ウェブアプリで開始」をクリックします。
すると、Security Agent専用画面が立ち上がります。
Design reviewsから設計書をアップロードします。
しばらくすると、ステータスがin ProgressからCompletedになります。
Reviewsから結果を見ることができます。
コードセキュリティレビュー
続いて、コードレビューです。
まずは、GitHub統合の追加が必要なので、新規登録を作成します。
「インストールと認証」をクリックします。
GitHubアカウントでサインインします。
対象を選択したら、GitHub Appをインストールします。
Security Agentの画面に戻り、登録の詳細を入植して接続します。
GitHubと統合が完了しました。
改めて、コードレビューを有効にし、先ほど統合したGitHub登録名を選択します。
ここで、コードレビューを有効化します。
そして、レビューの種類を選択します。
セキュリティ要件の検証、セキュリティ脆弱性の検出、その両方を選択できます。
今回はセキュリティ要件とセキュリティ脆弱性の両方を選択します。
セットアップが完了しました。
プルリクエストを申請すると、Security Agentがコードレビューを開始します。
しばらくすると結果が表示されます。
侵入テスト
最後に、ペネトレーションテストです。
今回は、自環境のEC2に立てたOWASP Juice Shopをターゲットにします。
Route 53で取得したドメインを、上記のJuice Shopに名前解決するようにレコードを追加しておきます。
ペネトレーションテストのターゲットとして、ドメインを指定します。
ステータスが検証済みになったことを確認し、Security Agentのウェブアプリを開きます。
「Penetration tests」をクリックします。
「Create a penetration test」をクリックします。
ターゲットURLを入力します。
要件に応じて攻撃種別を除外できます。
サービスロールを選択します。
VCPやCredentialは必要に応じて登録します。
必要事項を入力したら完了です。
「Start run」で開始します。
実行中のペネトレーションテストが確認できます。
初期設定と接続チェック、コード静的解析、ペンテスト、レポート生成の4段階で処理が進んでいきます。
最終的には、脆弱性の詳細が表示され、説明、攻撃の根拠、再現手順、影響、修復ガイダンスなどを確認できます。
まとめ
クラウド環境のペネトレーションテストは敷居が高いものがありました。
今回のアップデートで、AWS純正のペネトレーションテスト機能が登場したことで、ペネトレーションテストの敷居が下がると思われます。
