[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める

リリースしたら終わり、じゃなかったセキュリティ空白期間を AWS Security Agentで埋める 2026年4月21日 Ops-JAWS Meetup40 Frontier Agents
× Ops特集 #opsjaws

自己紹介 >深津新太郎 PM ＠事業会社の情報システム子会社オンプレ/ハイブリッドシステムの運用・開発・リプレイス担当 >Community Builder(Cloud Operations)2025
>彩の国埼玉支部運営

あなたのチームにセキュリティ専門家はいますか？ ※セキュリティはみんなの仕事です

ペネトレーションテストを定期的に行っていますか？

ペネトレデザインレビューコードレビュー開発から運用まで設計開発リリースセキュリティ空白期間リリース後、ペネトレは… 年1回？数年に1回？
次の開発までなし？ PoCでスタートしたあのサービス、いつの間にか本番利用されていない？ルール変更後のチェック・対応はいつ？ Shift left Security

設計レビュー（デザインレビュー） Preview 要件定義・設計書に対してセキュリティ要件の充足を評価 AWSマネージドのルール以外に自社規程を追加可能。コードレビュー Preview GitHub PRに対して自動でセキュリティ脆弱性のレビューを実施検出結果をコメントで付与
ペネトレーションテスト GA 2026.03.31 実際にアプリへ攻撃を試み脆弱性を発見。修正PRを自動生成。 AWS Security Agent

OWASP Juice Shop じゃなくて個人開発のアプリで一通り試してみたちなみに、全機能Preview中は以下の並びでした（こちらの方が自然）

対象ドキュメントをアップして、レビュー DOC, DOCX, JPEG, MD, PDF, PNG and TXT 様々な形式に対応
AWSマネージドルール10個は全て英語デザインレビュー

カスタムルール（日本語 OK ）デザインレビューカスタムセキュリティ要件は日本語でも可能 1回目準拠が2回目では非準拠の判定 Agentも見落とすので、結果は人が必ず確認しつつ、レビューは複数回実行した方が良い

デザインレビュー： Ops向けユースケース案セキュリティルール改編後のチェック "この間、ルールが変わったけど、既存システム全部チェックするの？" → カスタムルールを更新 → 設計書を自動評価。抜け漏れを指摘引き継ぎ設計書のなんとなくOK "このシステム、セキュリティ的に問題ないですよね？
･･･たぶん。" → 設計書を Agent に読み込ませる → 自社規程・ルールと照合ドキュメントから読み取れないことは指摘される。見落としに注意（人間と同じ）

基本動作 GitHub PRを作成 → Security Agentが自動でレビューコメントを付与制約・注意点 • PR単位のレビュー（PRで変更された範囲が対象）
過去のコードは対象外 • GitHubアカウントでSecurity AgentのInstall/Authが必要連携は、1AWSアカウントのみに限定マルチアカウント構成は事前に検討が必要 • コードレビューには月の利用上限（1,000回）あり上限緩和申請は可能コードレビュー

シンプルなServerless構成のWebアプリ（like a Kahoot!）ペネトレ：対象アプリアーキテクチャイメージ参加者 https AWS Cloud AWS
Lambda Amazon S3 Static Website Hosting Amazon DynamoDB Amazon Cognito Amazon CloudFront Amazon API Gateway ACM Amazon CloudWatch 管理者 https Amazon Route 53 Domain TLS Static Website

ペネトレ：ログイン処理も対応 ※Agentがテストデータの書き込みも行ったため、開発環境での実行を推奨 ASMに保存テスト用ユーザー名パスワード MFAログインにも対応 Agentがログインし操作が可能

ペネトレ：実行結果

→ AgentによるPR自動生成 → Agent再レビューペネトレ：静的コード解析 Dummyクレデンシャル Agent連携前にリポジトリに配置・コードレビュー：PRの中身が対象 →Dummyクレデンシャルは摘出されず・ペネトレ：コード全量が対象
→ Dummyクレデンシャルが摘出され

ペネトレ：テストレポート生成レポートは全て英語。日本語対応に期待再現方法含めて記載あり

規模 3.5KStep タスク時間 34.41時間コスト 1,720.5USD 初回実行から2ヶ月間、最大200タスク時間まで無料ペネトレ：各種実績エンドポイント 22件
実行時間 7時間42分 30万円弱個人で検証するには… 50USD/タスク時間助かった…

1 Organizations集約を推奨個々のアカウントでカスタムセキュリティ要件を管理するのは煩雑。Organizationsで特定アカウントでの管理がベターかも。ただし、Security AgentのGitHubアカウントへの Install/Authの設定は1AWSアカウントのため、マルチアカウント構成での管理方は事前に整理しておく必要あり。 2 複数回実施が重要エージェントは確率論的。1回のレビューだけでは指摘が漏れることがある。複数回実施
して結果を比較することを推奨。 3 ペネトレのコスト試算は難しいペネトレの実行時間、タスク時間の事前試算は困難。小さく試行しながら、感覚をつかんでいく必要あり。回数のクォーターもあるため、ご利用は計画的に。使ってみた所感・注意点

人手のペネトレはなくならない。技術が進歩しても監査ルールの適合などはその後でも、専門家がいなくても一定レベルのチェックができるセキュリティルール改編時・運用引き継ぎ時・ PoCが気付いたら本番化時など運用フローに組み込める場面は多い組織として、いままでできなかったことを AWS Security Agentで効率的にできるように
まとめ

Share your lesson

[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS S...

[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める

sh_fk2

More Decks by sh_fk2

Other Decks in Technology

Featured

Transcript

リリースしたら終わり、じゃなかったセキュリティ空白期間を AWS Security Agentで埋める 2026年4月21日 Ops-JAWS Meetup40 Frontier Agents

自己紹介 >深津新太郎 PM ＠事業会社の情報システム子会社オンプレ/ハイブリッドシステムの運用・開発・リプレイス担当 >Community Builder(Cloud Operations)2025

あなたのチームにセキュリティ専門家はいますか？ ※セキュリティはみんなの仕事です

ペネトレーションテストを定期的に行っていますか？

ペネトレデザインレビューコードレビュー開発から運用まで設計開発リリースセキュリティ空白期間リリース後、ペネトレは… 年1回？数年に1回？

OWASP Juice Shop じゃなくて個人開発のアプリで一通り試してみたちなみに、全機能Preview中は以下の並びでした（こちらの方が自然）

対象ドキュメントをアップして、レビュー DOC, DOCX, JPEG, MD, PDF, PNG and TXT 様々な形式に対応

カスタムルール（日本語 OK ）デザインレビューカスタムセキュリティ要件は日本語でも可能 1回目準拠が2回目では非準拠の判定 Agentも見落とすので、結果は人が必ず確認しつつ、レビューは複数回実行した方が良い

基本動作 GitHub PRを作成 → Security Agentが自動でレビューコメントを付与制約・注意点 • PR単位のレビュー（PRで変更された範囲が対象）

シンプルなServerless構成のWebアプリ（like a Kahoot!）ペネトレ：対象アプリアーキテクチャイメージ参加者 https AWS Cloud AWS

ペネトレ：ログイン処理も対応 ※Agentがテストデータの書き込みも行ったため、開発環境での実行を推奨 ASMに保存テスト用ユーザー名パスワード MFAログインにも対応 Agentがログインし操作が可能

ペネトレ：実行結果

→ AgentによるPR自動生成 → Agent再レビューペネトレ：静的コード解析 Dummyクレデンシャル Agent連携前にリポジトリに配置・コードレビュー：PRの中身が対象 →Dummyクレデンシャルは摘出されず・ペネトレ：コード全量が対象

ペネトレ：テストレポート生成レポートは全て英語。日本語対応に期待再現方法含めて記載あり

規模 3.5KStep タスク時間 34.41時間コスト 1,720.5USD 初回実行から2ヶ月間、最大200タスク時間まで無料ペネトレ：各種実績エンドポイント 22件

Share your lesson