AWS Security Agentの紹介/introducing-aws-security-agent

by tomoki10

Slide 1

Slide 1 text

2025/12/15 佐藤智樹 AWS Security Agent の紹介

Slide 2

Slide 2 text

⾃⼰紹介 3 ● 2016年某SIerにて基幹システム開発従事 ● 2020年⼊社バックエンドエンジニア ○ IoT宅配ボックス、⼯場IoTなどIoTシステムのバックエンド、インフラ構築に従事 ● 2023年テクニカルマネージャー ○ 部署内全体技術⼒向上のため施策実施 ● 2025年テクニカルマネージャー ○ AI駆動開発など⽣成AIを活⽤した⽣産性向上を⽬的として活動 ● 部署 ○ 製造ビジネステクノロジー部 ● 名前 ○ 佐藤智樹 ● 役割 ○ テクニカルマネージャー @tmk2154 @tomoki10 @tomoki10

Slide 3

Slide 3 text

re:Inventで発表された以下のサービスを紹介します！ ● AWS Security Agent ○ 簡単な機能紹介 ○ 実際の動作画⾯ ○ 利⽤時のイメージを解説最後に宣伝⽬次 4

Slide 4

Slide 4 text

開発ライフサイクル全体を通じてアプリケーションを積極的に保護するフロンティアエージェント AWS Security Agent とは 5

Slide 5

Slide 5 text

設計からデプロイまでソフトウェア開発の全体でセキュリティチェックを⾏うエージェント機能を展開特徴的な機能 ● 実装前に設計をレビュー ○ 事前に定義したセキュリティ要件に応じて設計書をレビュー ● プルリクエストのコードを分析 ○ ⼀般的な脆弱性を含むかプルリクエストを⾃動的にレビュー事前定義したセキュリティ要件への準拠も確認 ● アプリケーションのペネトレーションテスト ○ アプリのエンドポイントにエージェントが⾃動アクセスし、脆弱性を確認 AWS Security Agent とは 6

Slide 6

Slide 6 text

実⾏画⾯（AWSアカウント画⾯） 7

Slide 7

Slide 7 text

実⾏画⾯（管理側：初期セットアップ） 8

Slide 8

Slide 8 text

実⾏画⾯（管理側：エージェントスペース選択） 9

Slide 9

Slide 9 text

実⾏画⾯（管理側：エージェントスペース設定） 10

Slide 10

Slide 10 text

実⾏画⾯（管理側：リポジトリの紐付けとレビュー/更新設定） 11

Slide 11

Slide 11 text

実⾏画⾯（管理側：ペネトレーションテストの設定） 12

Slide 12

Slide 12 text

実⾏画⾯（管理側：ユーザー⽤Webアプリへのアクセス） 13

Slide 13

Slide 13 text

実⾏画⾯（開発側：TOP） 14

Slide 14

Slide 14 text

実⾏画⾯（開発側：エージェントスペース選択） 15

Slide 15

Slide 15 text

実⾏画⾯（開発側：タスク選択） 16

Slide 16

Slide 16 text

実⾏画⾯（開発側：設計書レビュー） 17

Slide 17

Slide 17 text

実⾏画⾯（GitHub上でのレビューコメント） 18 https://dev.classmethod.jp/articles/aws-security-agent-review-design-code-attempt/ より引用

Slide 18

Slide 18 text

実⾏画⾯（開発側：ペネトレーションテストTOP） 19

Slide 19

Slide 19 text

実⾏画⾯（開発側：ペネトレーションテスト設定） 20

Slide 20

Slide 20 text

● Arbitrary File Upload（任意ファイルアップロード） ● Code Injection（コードインジェクション） ● Command Injection（コマンドインジェクション） ● Cross-Site Scripting (XSS)（クロスサイトスクリプティング） ● Insecure Direct Object Reference（安全でない直接オブジェクト参照） ● JSON Web Token Vulnerabilities（JSON Webトークンの脆弱性） ● Local File Inclusion（ローカルファイルインクルージョン） ● Path Traversal（パストラバーサル） ● Privilege Escalation（権限昇格） ● Server-Side Request Forgery (SSRF) （サーバーサイドリクエストフォージェリ） ● Server-Side Template Injection （サーバーサイドテンプレートインジェクション） ● SQL Injection（SQLインジェクション） ● XML External Entity（XML外部エンティティ）実⾏画⾯（開発側：ペネトレーションテスト設定） 21

Slide 21

Slide 21 text

実⾏画⾯（開発側：ペネトレーションテスト設定） 22

Slide 22

Slide 22 text

管理側と開発側に設定が分かれる AWS Security Agent の全体像（2025/12/15時点） 23 セキュリティ管理者開発者 Security Agent Security Agent (WebApp) AWSコンソールからSecurityAgentを利⽤全体の管理をこちらで設定 WebアプリからSecurityAgentを利⽤実際のテスト実⾏や詳細を設定

Slide 23

Slide 23 text

管理側(SecurityAgent)と開発側(Webアプリ)で設定が分割 GitHub AWS Security Agent の全体像（2025/12/15時点） 24 Security Agent セキュリティ管理者エージェントスペースA ‧コードレビュー対象の GitHubリポジトリ ‧ペネトレテスト詳細設定設定セキュリティ要件 and ペネトレテスト全体設定エージェントスペースB … GitHub App 接続 Security Agent (WebApp) 開発者接続全体設定利⽤管理者のみで設定管理者/開発者で設定エージェントスペースC …

Slide 24

Slide 24 text

接続⽅法設定 Security Agent 管理者側でIAMユーザーかIdCユーザーで接続させるか選ぶ※ IdCはアカウントインスタンス（メンバーアカウントのもの）でもOK AWS Security Agent へ接続するユーザーの管理 25 セキュリティ管理者開発者 ※接続方法を後から変える場合は、全体の再作成が必要 IAM IdC 接続 Security Agent (WebApp)

Slide 25

Slide 25 text

ユーザー紐付け Security Agent エージェントスペースA ‧開発者A ‧開発者B エージェントスペース … レビューやテスト内容の詳細を設定するスペースエージェントスペースはユーザー単位で紐付け管理が可能以下はIdCユーザーの場合の例 AWS Security Agent へ接続するエージェントスペースの管理 26 セキュリティ管理者エージェントスペースB ‧開発者A Security Agent (WebApp) 開発者A エージェントスペースC ‧開発者B ※接続方法を後から変える場合は、全体の再作成が必要 IdC 接続開発者B

Slide 26

Slide 26 text

実⾏画⾯（開発側：エージェントスペース選択） 27

Slide 27

Slide 27 text

AWS Security Agent 設計書レビューの使⽤イメージ 28 ※現状は次の拡張子のみ（ DOC, DOCX, JPEG, MD, PDF, PNG and TXT） Security Agent セキュリティ管理者マネージドセキュリティ要件カスタムセキュリティ要件設計書※ 有効/無効化追加設定設定管理側開発側 Security Agent (WebApp) 開発者準備アップロード検査結果

Slide 28

Slide 28 text

実⾏画⾯（開発側：設計書レビュー） 29

Slide 29

Slide 29 text

エージェントスペースA イベント送信 AWS Security Agent コードレビューの使⽤イメージ 30 Security Agent セキュリティ管理者実装接続設定と対象リポジトリの設定管理側開発側開発者作成 Push & Pull Request 作成 GitHub App App作成 GitHub Security Agent レビュー結果コメントリポジトリ紐付けエージェントスペースA

Slide 30

Slide 30 text

実⾏画⾯（GitHub上でのレビューコメント） 31 https://dev.classmethod.jp/articles/aws-security-agent-review-design-code-attempt/ より引用

Slide 31

Slide 31 text

以下を設定(‧はオプション） ○URLエンドポイント ‧攻撃⽅法の詳細 ‧修正PRの作成許可 ‧認証情報の設定 ‧アプリ詳細情報の追加以下を設定(‧はオプション） ○対象ドメイン ‧VPC ‧シークレット ‧Lambda ‧S3バケット ‧AWSサービスアクセス⽤ロール AWS Security Agent ペネトレーションテストの使⽤イメージ 32 Security Agent セキュリティ管理者管理側開発側開発者 Security Agent (WebApp) ALB API Gateway Endpoint ⾃動リクエストエージェントスペースA 設定エージェントスペースA

Slide 32

Slide 32 text

実⾏画⾯（管理側：ペネトレーションテストの設定） 33

Slide 33

Slide 33 text

実⾏画⾯（開発側：ペネトレーションテスト設定） 34

Slide 34

Slide 34 text

● 1AWSアカウントで1つのSecurity Agentをもつべき？ ○ 1AWSアカウント：1Security Agentだと管理が複雑 ○ 1AWSアカウントで、1システムの複数AWSアカウントをセキュリティテストできる構成のほうがテスト設定の共有はしやすいかも ○ もしくはもっと⼤きく組織で1つのSecurity Agentをもって、そこから組織の全システムのテストを実施する？ドメイン設定どうなる？ ○ IaCでSecurity Agentが管理できれば、1AWSアカウント：1SecurityAgentでも⼤きく問題はない？ ■ CI/CDはアプリケーションと別になるので⾯倒？ ● IdCユーザーかIAMユーザーか ○ アカウントインスタンスも使えるので基本はIdCユーザーで問題なさそう AWS Security Agent の設計考察 35

Slide 35

Slide 35 text

● Frontier Agentの1つである、AWS Security Agentの機能を紹介 ○ 実装前に設計をレビュー ○ プルリクエストのコードを分析 ○ アプリケーションのペネトレーションテスト ● Security Agentのユーザーから⾒える構造を解説 ○ Security Agentの全体像 ○ エージェントスペース ○ Webアプリ（ユーザー向け） ● 今後の設計を考察 ○ Security AgentとAWSアカウントの関係を考察 ○ 1Security Agent：複数AWSアカウントが理想？まとめ 36

Slide 36

Slide 36 text

宣伝：企業でのAI駆動開発のご⽀援もやってます！ 37 https://classmethod.jp/news/20250725-anthropic/ https://classmethod.jp/services/aidd/

Slide 37

Slide 37 text

個⼈的な宣伝：AI駆動開発の書籍がでます 38 https://www.amazon.co.jp/dp/4296071319