regrowth_tokyo_2025_securityagent

Transcript

1. 2025/12/9 Classmethod re:Growth 2025 東京 クラスメソッド株式会社 芦沢広昭(あしさん) AWSで守るAppSec！ 新サービス『AWS Security

   Agent』について

2. ⾃⼰紹介 2 名前：芦沢 広昭 / ASHIZAWA Hiroaki 所属：クラウド事業本部 コンサルティング部 好きな技術：AWSセキュリティ全般

   re:Invent参加歴：4回⽬ (2022〜2025)

3. アジェンダ 3 • AWS Security Agent とは ◦ 概要 ◦

   登場による影響 • 機能紹介 & 使ってみた ◦ 設計レビュー ◦ コードレビュー ◦ ペネトレーションテスト • 現時点での注意点 • まとめ

4. AWS Security Agent - 概要 4 開発ライフサイクル(SDLC) 全体を通じて アプリケーションのセキュリティをプロアクティブに確保する 最先端の(Frontier)エージェント

   引⽤元：https://aws.amazon.com/blogs/aws/new-aws-security-agent-secures-applications-proactively-from-design-to-deployment-preview/

5. コアセキュリティ機能 5 設計レビュー コードレビュー ぺネトレーションテスト 設計ドキュメントに関するリ アルタイムのセキュリティ フィードバックを提供し、 コードが記述される前に組織 のセキュリティ要件へのコン

   プライアンスを評価します。 1 2 3 プルリクエストを組織のセ キュリティ要件や、⼊⼒検証 の不⾜、SQL インジェクショ ンのリスクといった⼀般的な 脆弱性に照らして分析するこ とで、アプリケーションのセ キュリティを積極的に確保し ます。 専⽤の AI エージェントをデ プロイすることで、カスタマ イズされた複数段階の攻撃シ ナリオを通じてセキュリティ 脆弱性を発⾒、検証、報告、 修正し、オンデマンドの侵⼊ テストを実施します。

6. SDLCセキュリティへの影響 (1 / 2) - Before 6

7. SDLCセキュリティへの影響 (2 / 2) - After 7

8. Security Agentで登場する概念 (1 / 2) 8 • アプリケーション ◦ Security

   Agentの基本となる設定を 管理するリソース ◦ 単位はリージョン(?) • エージェントスペース ◦ コア機能の詳細設定や実⾏結果を管 理するリソース ◦ アプリケーション内に複数のリソー スを作成できる

9. Security Agentで登場する概念 (2 / 2) 9 • Webアプリ ◦ エージェントスペースの設定を管理

   / 閲覧できるポータルサイト ◦ アプリケーションごとにWebアプリ の専⽤ドメインが払い出される ◦ 以下からアクセス可能 ▪ マネジメントコンソールのリンク ▪ IAM Identity Center経由のSSO URL：https://[アプリケーションID].securityagent.global.app.aws/

10. 利⽤の流れ 10 1. アプリケーションのセットアップ a. アクセス設定 b. Webアプリ⽤ IAMロールの作成 c.

    初回エージェントスペースの作成 2. エージェントスペースの設定 a. GitHubリポジトリ 統合 b. セキュリティ要件の調整 c. コードレビュー、ペンテストの初期設定 など... 3. セキュリティの実⾏ a. 設計レビュー b. コードレビュー c. ぺネトレーションテスト AWSマネジメントコンソール から実施 Webアプリから実施

11. 1.セットアップ 11 • アクセス設定 ◦ マネジメントコンソール経由 (IAM) ◦ IAM Identity

    Center経由 (アカウント / 組織) • IAMロールの作成 ◦ ⾃動作成もできる • 初回エージェントスペースの作成 ◦ 名前を設定するだけ • 注意点 ◦ 初回セットアップ後はアクセス設定を変更で きない （すべてのエージェントスペースを削除する 必要あり）

12. 2.エージェントスペースの設定 (設計レビュー) 12 • 追加の設定は不要 • エージェントスペース作成直後 から利⽤可能 たくさんあるので ⽬⽴った設定だけを抜粋

13. 2.エージェントスペースの設定 (コードレビュー) 13 • マネジメントコンソールの設定 から”機能の管理” の無効化済み をクリックしてトグルをONに する必要がある ◦

    初⾒ではわかりづらい... たくさんあるので ⽬⽴った設定だけを抜粋

14. 2.エージェントスペースの設定 (ペンテスト) 14 • ドメインの所有権を証明するた め、ターゲッドメインに対する DNS検証が必要 • 選択肢 ◦

    DNS テキストレコード ▪ ドメインのDNSを更新して TXTレコードを作成する ◦ HTTP レコード ▪ ウェブサーバー上に固有のトー クン(JSON形式)を配置する たくさんあるので ⽬⽴った設定だけを抜粋 { "tokens": ["<insert-token>"] }

15. 3.コア機能の実⾏ (設計書レビュー) 15 • Webアプリにレビューの対象の ドキュメントをアップロードし てレビューを開始 • サポートされるファイル形式 ◦

    テキスト：.doc / .docx / .md ◦ 画像：.jpeg / .png / .pdf

16. 3.コア機能の実⾏結果 (設計書レビュー) 16 • 実⾏結果は4つの基準で評価 ◦ Non-compliant：⾮準拠 ◦ Insufficient data：データ不⾜

    ◦ Compliant：準拠 ◦ Not applicable：適⽤外 • サマリで基準の個数を表⽰ • レポートをCSV形式で出⼒可能

17. 3.コア機能の実⾏結果 (設計書レビュー) 17 • セキュリティ要件単位で結果の 詳細が確認できる ◦ コメントでなぜそのように判断され たかをチェックできる ◦

    ⾮準拠の場合は修復ガイダンス付き

18. 3.コア機能の実⾏ (コードレビュー) 18 • 対象のGitHubリポジトリに PR が作成されたときに動作 • Security Agentが

    PRにコメント してチェックを実施 • デフォルトブランチ以外を対象 としたPRにも対応

19. 3.コア機能の実⾏ (ペネトレーションテスト) 19 • 必須 ◦ ターゲットドメインの設定 • オプション ◦

    リスクタイプの除外 ◦ 対象外のURL ◦ 追加のURL ◦ カスタムHTTPヘッダー ◦ CloudWatch Logs設定 ◦ ⾃動コード修復設定

20. 3.コア機能の実⾏ (ペネトレーションテスト) 20 • 必須 ◦ ターゲットドメインの設定 • オプション ◦

    リスクタイプの除外 ◦ 対象外のURL ◦ 追加のURL ◦ カスタムHTTPヘッダー ◦ CloudWatch Logs設定 ◦ ⾃動コード修復設定

21. 3.コア機能の実⾏ (ペネトレーションテスト) 21 • サイトに認証がかかっている場 合の認証情報、ログインするた めのログインプロンプトを追記 可能 • 追加の学習リソースとして、

    ファイルやGitHubリポジトリな どの情報をコンテキストとして 与えられる

22. 3.コア機能の実⾏結果 (ペネトレーションテスト) 22 • 結果はサマリで表⽰ • 結果はRunの単位で毎回保存さ れる • Runの内訳の詳細も

    登壇までに成功させられなかったのでブロ グでリベンジします...

23. 注意点 23 • 東京リージョンでは未サポート ◦ バージニア北部リージョンのみでリリース • パブリックプレビューであること • プレビューなので現時点の利⽤費は無料、GA後のコストは不明

24. まとめ 24 • AWS Security Agentの登場によって、AWSサービスだけでSDLC全体のセ キュリティをカバーできるようになる未来が⾒えた • 3つのコア機能 ◦

    設計レビュー、コードレビュー、ぺネトレーションテスト • 3つの独⾃の概念 ◦ アプリケーション、エージェントスペース、Webアプリケーション • 設定はAWSマネジメントコンソール、実⾏はWebアプリから • まだまだ改善は必須、是⾮とも皆でフィードバックを！
25. None