Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Security Agent といっしょに脅威モデリングをやってみよう
Search
amarelo_n24
June 23, 2026
Technology
33
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Security Agent といっしょに脅威モデリングをやってみよう
2026/6/23 JAWS-UG東京 ランチタイムLT会 #36 登壇資料
amarelo_n24
June 23, 2026
More Decks by amarelo_n24
See All by amarelo_n24
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになり、ルートアクセス管理を有効にしたおひとり様Organizationsの話
amarelo_n24
0
40
AWS Certified Generative AI Developer - Professional Beta 不合格体験記
amarelo_n24
1
340
マルチパートアップロードをする時にS3はどのような挙動をしているのか?
amarelo_n24
0
73
ひとりAWS BuilderCards 会を開催した話_SecurityExpansion
amarelo_n24
1
88
ひとりAWS BuilderCards 会を開催した話
amarelo_n24
1
41
re:Invent初参加者が感じたre:Invent を楽しむために必要なこと
amarelo_n24
0
60
おひとり様Organizations管理者もルートアクセス管理を有効にしよう!
amarelo_n24
2
150
アウトプット再始動2025・つなげるアウトプット2026
amarelo_n24
0
79
AWS re_Invent に全力で参加したくて筋トレを頑張っている話
amarelo_n24
2
160
Other Decks in Technology
See All in Technology
MCP Appsを作ってみよう
iwamot
PRO
4
640
エラーバジェットのアラートのタイミングを考える.pdf
kairim0
0
150
手塩にかけりゃいいってもんじゃない
ming_ayami
0
570
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
muehara
1
160
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
yama3133
2
170
AmazonRoute 53ではじめてのドメイン取得!HTTPS化までの道のりを整理してみた
usanchuu
3
140
20260619 私の日常業務での生成 AI 活用
masaruogura
1
200
【Snowflake Summit 2026 Recap!!】Snowflake Summit Deep Dive: Security & Governance
civitaspo
1
170
On-behalf-of Token exchange with AgentCore Identity
hironobuiga
2
200
FinOps × AIエージェントで実現する コストインシデントの自動調査
oasis1994liveforever
0
140
AIソロプレナー時代に2ヶ月で20人増員した事業創造会社の開発組織の話
miyatakoji
0
660
Claude Code の Sandbox 機能を Anthropic Sandbox Runtime(srt) で試そう!/lets-play-anthropic-sandbox-runtime
tomoki10
1
590
Featured
See All Featured
Marketing to machines
jonoalderson
1
5.4k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
140
How to train your dragon (web standard)
notwaldorf
97
6.7k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
How STYLIGHT went responsive
nonsquared
100
6.2k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.3k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
160
Everyday Curiosity
cassininazir
0
230
Building the Perfect Custom Keyboard
takai
2
790
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
250
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
360
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
Transcript
AWS Security Agent といっしょに 脅威モデリングをやってみよう 2026/6/23 JAWS-UG東京 ランチタイムLT会 #36
自己紹介 藤田 直幸 X:@amarelo_n24 ・AWS Community Builders(Security) ・JAWS-UG 彩の国埼玉支部 運営 ・コーヒー焙煎人兼エンジニア
・おひとり様BuilderCards Player 好きなAWSサービス:IAM、S3、Organizations 好きなこと:コーヒー豆の焙煎
1.AWS Security Agent とは? 2.脅威モデリング とは? 3.脅威モデルを実行してみた 4.脅威が検出されなかった事例 5.まとめ アジェンダ
・今回試した結果は、私個人のAWSアカウントで試した結果です。 ・個人の見解であり、所属組織等を代表するものではありません。 ・本資料は、2026/6/21現在の情報で作成したものです。 おことわり
1.AWS Security Agent とは?
AWS Security Agent とは AWS re:Invent 2025の会期中に発表された、Webアプリケーションに潜む脆弱性 や脅威を検出できるフロンティアエージェントサービス。 https://aws.amazon.com/jp/security-agent/
4つの機能(2026/6/21現在) カテゴリ 概要 ステータス ペネトレーションテスト 疑似攻撃シナリオによる脆弱性の検出 GA コードレビュー コードを読み取り脆弱性を検出 プレビュー
設計レビュー アプリケーション設計の評価 プレビュー 脅威モデル アプリケーションに及ぶ脅威の特定 プレビュー
2.脅威モデリング とは?
脅威を特定し、システムに対する脅威の影響を防止または軽減するための対 策を定義することで、セキュリティを向上させるための活動。 ※OWASPのサイトより引用 https://owasp.org/www-community/Threat_Modeling 脅威モデリングとは?
2026/6/17のAWS Summit New York Cityで発表された機能。 設計ドキュメントまたはアプリケーションのソースコードからアーキテクチャの全 体像を把握し、STRIDEフレームワークを使って脅威の特定と推奨される対策を 提示。 https://aws.amazon.com/jp/about-aws/whats-new/2026/06/aws-security-agent-threat-modeling/ https://aws.amazon.com/jp/blogs/aws/aws-security-agent-adds-threat-modeling-kiro-power-and-c
laude-code-plugin-and-more/ Security Agent 脅威モデル機能
以下主要な脅威の頭文字を並べた言葉。これらの観点で脅威を分析する脅威 モデリングの分析手法の一つ。 https://learn.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-threats#stride-model STRIDEとは? カテゴリ 説明 Spoofing なりすまし Tampering 改ざん
Repudiation 否認 Information disclosure 情報漏洩 Denial of service サービス拒否 Elevation of privileg 権限昇格
AWS Well-Architected フレームワークのセキュリティの柱のSEC01-BP07で、 脅威モデルを使用した脅威を特定について記載あり。 Well-Architected フレームワークに準拠するために必要な機能では? SEC01-BP07 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/sec _securely_operate_threat_model.html 脅威モデルはセキュリティの柱にも記載あり
3.脅威モデルを実行してみた
リポジトリ、機能仕様書を選択して実行 GitHub、GitLab、Bitbucket、 Confluenceを設定可能。 CodeCommitはまだ無い…
実行中
1時間ほどで完了
脅威の詳細 ※日本語化に期待!
4.脅威が検出されなかった事例
テスト用リポジトリで脅威検出せず…
想定される原因 ・リポジトリ名がSecurity Agent のPoCを想像させるものだった ・READMEにも「セキュリティテスト専用のサイト」の旨書かれていた ※リポジトリ全体を某生成AIにて作成
テスト用アプリだと脅威検出されない? すべての動作確認用Webアプリケーションが該当しないと思うが、 脆弱性診断ツール動作確認用と思われる情報があると、Security Agent がそ の情報を基にして正しく脅威検出してくれないのでは? ※憶測の域を抜けないが、動作確認用を想像できる文言が入っていない リポジトリに脅威モデルを実行したら、脅威を検出できた。
5.まとめ
・脅威モデル機能を上手く使って、効率良く脅威の把握と対策を。 ・検出結果に対する対応可否、対応する脅威の最終的なトリアージは、 絶対に人が判断しなければならない。 ・プレビュー版の機能を使ってコードレビュー、脅威モデルを学ぼう。 Webアプリケーションセキュリティを身近なものに。 ・Security Agent 動作確認用サイトを作るときは、「テスト用 サイト」という文言を入れない方が良いかもしれない… 脅威モデルを人の能力だけで実施するのは大変
宣伝:JAWS-UG 北陸新幹線 #6 上越新幹線直通 in 大宮 https://jawsug-sainokuni-saitama.connpass.com/event/392213/
サブイベントは鉄道博物館! https://jawsug-sainokuni-saitama.connpass.com/event/395674/
本日の登壇内容の基記事 AWS Security Agent といっしょに脅威モデリングをやってみよう https://qiita.com/amarelo_n24/items/997a8fb958e14291ce94 まだ間に合う!コードレビューでAWS Security Agent デビューしよう!
https://qiita.com/amarelo_n24/items/e196b74f718c750a0e18
amarelo_n24
iwamot
kairim0
ming_ayami
muehara
yama3133
usanchuu
masaruogura
civitaspo
hironobuiga
oasis1994liveforever
miyatakoji
tomoki10
jonoalderson
livdayseo
notwaldorf
aleyda
nonsquared
inesmontani
ryanjones
cassininazir
takai
nikkihalliwell
tmiket
tammyeverts
