Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS S...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
sh_fk2
April 21, 2026
Technology
380
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める
sh_fk2
April 21, 2026
More Decks by sh_fk2
See All by sh_fk2
[JAWS-UG彩の国埼玉#6]混乱しました。AWS MCP ServersとAWS MCP Serverの違いを5分で解説
sh_fk2
0
160
[トレノケ雲の会 超re:Cap LT大会]re:Invent2025 5分で読み解くAWSサポート大変革
sh_fk2
2
76
[JAWS-UG初心者支部#72]re:Invent2025で見つけたコミュニティに参加する意味
sh_fk2
1
84
[JAWS-UG 横浜支部 #91]DevOps Agent vs CloudWatch Investigations -比較と実践-
sh_fk2
2
410
[クラウド食堂 #5]見える化✖️自動監視=CloudWatchSynthetics
sh_fk2
0
75
[JAWS-UG 横浜支部 #89]CloudWatch 2025年の軌跡から”勝手に”予測する「運用の未来」
sh_fk2
0
110
[re:Inent2025事前勉強会(有志で開催)] re:Inventで見つけた人生をちょっと変えるコツ
sh_fk2
4
2.9k
20250910_障害注入から効率的復旧へ_カオスエンジニアリング_生成AIで考えるAWS障害対応.pdf
sh_fk2
4
470
[ JAWS-UG 東京 CommunityBuilders Night #2 ]SlackとAmazon Q Developerで 運用効率化を模索する
sh_fk2
3
790
Other Decks in Technology
See All in Technology
アンオフィシャルな、オフィシャルからのお願い
wyamazak_devrel
0
110
Agent Skills設計で柔軟性と硬さのバランスが難しい話
nassy20
0
130
SONiCのLinuxベースを活かしたZabbix監視
sonic
0
170
AmazonRoute 53ではじめてのドメイン取得!HTTPS化までの道のりを整理してみた
usanchuu
3
140
On-behalf-of Token exchange with AgentCore Identity
hironobuiga
2
220
GitHub Copilot 最新アップデート – 「一歩先」の実践活用術
moulongzhang
3
690
2026 TECHFRESH 畢業分享會 - AI-Native 重塑軟體工程與虛擬講師
line_developers_tw
PRO
0
1.1k
ACE-Step-1.5で見る 音楽生成AIのしくみと“破綻だけ直す”Retake機能の開発【zennfes spring 2026 登壇資料】
personabb
1
470
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
bitkey
PRO
1
370
AIはどのように 組織のアジリティを変えるのか?
junki
3
840
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
musubi
0
190
AIの性能が向上しても未解決な組織の重大問題は何か?/An Unsolved Organizational Problem in the Age of AI
moriyuya
4
680
Featured
See All Featured
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
2k
Paper Plane
katiecoart
PRO
1
51k
Prompt Engineering for Job Search
mfonobong
0
340
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
1
190
sira's awesome portfolio website redesign presentation
elsirapls
0
280
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
720
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
230
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
2
220
The Cost Of JavaScript in 2023
addyosmani
55
10k
Tell your own story through comics
letsgokoyo
1
950
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
610
Transcript
リリースしたら終わり、じゃなかった セキュリティ空白期間を AWS Security Agentで埋める 2026年4月21日 Ops-JAWS Meetup40 Frontier Agents
× Ops特集 #opsjaws
自己紹介 >深津 新太郎 PM @ 事業会社の情報システム子会社 オンプレ/ハイブリッドシステムの運用・開発・リプレイス担当 >Community Builder(Cloud Operations)2025
>彩の国埼玉支部運営
あなたのチームに セキュリティ専門家はいますか? ※セキュリティはみんなの仕事です
ペネトレーションテストを 定期的に行っていますか?
ペネトレ デザインレビュー コードレビュー 開発から運用まで 設計 開発 リリース セキュリティ空白期間 リリース後、ペネトレは… 年1回?数年に1回?
次の開発までなし? PoCでスタートしたあのサービス、 いつの間にか本番利用されていない? ルール変更後のチェック・対応はいつ? Shift left Security
設計レビュー (デザインレビュー) Preview 要件定義・設計書に対してセキュリティ要件の充足を評価 AWSマネージドのルール以外に自社規程を追加可能。 コードレビュー Preview GitHub PRに対して自動でセキュリティ脆弱性のレビューを実施 検出結果をコメントで付与
ペネトレーションテスト GA 2026.03.31 実際にアプリへ攻撃を試み脆弱性を発見。修正PRを自動生成。 AWS Security Agent
OWASP Juice Shop じゃなくて 個人開発のアプリで一通り試してみた ちなみに、全機能Preview中は以下の並びでした(こちらの方が自然)
対象ドキュメントをアップして、レビュー DOC, DOCX, JPEG, MD, PDF, PNG and TXT 様々な形式に対応
AWSマネージドルール10個は全て英語 デザインレビュー
カスタムルール(日本語 OK ) デザインレビュー カスタムセキュリティ要件は日本語でも可能 1回目準拠が2回目では非準拠の判定 Agentも見落とすので、 結果は人が必ず確認しつつ、 レビューは複数回実行した方が良い
デザインレビュー: Ops向けユースケース案 セキュリティルール改編後のチェック "この間、ルールが変わったけど、既存システム全部チェックするの?" → カスタムルールを更新 → 設計書を自動評価。抜け漏れを指摘 引き継ぎ設計書のなんとなくOK "このシステム、セキュリティ的に問題ないですよね?
・・・たぶん。" → 設計書を Agent に読み込ませる → 自社規程・ルールと照合 ドキュメントから読み取れないことは指摘される。見落としに注意(人間と同じ)
基本動作 GitHub PRを作成 → Security Agentが自動でレビュー コメントを付与 制約・注意点 • PR単位のレビュー(PRで変更された範囲が対象)
過去のコードは対象外 • GitHubアカウントでSecurity AgentのInstall/Authが必要 連携は、1AWSアカウントのみに限定 マルチアカウント構成は事前に検討が必要 • コードレビューには月の利用上限(1,000回) あり 上限緩和申請は可能 コードレビュー
シンプルなServerless構成のWebアプリ(like a Kahoot!) ペネトレ:対象アプリ アーキテクチャイメージ 参加者 https AWS Cloud AWS
Lambda Amazon S3 Static Website Hosting Amazon DynamoDB Amazon Cognito Amazon CloudFront Amazon API Gateway ACM Amazon CloudWatch 管理者 https Amazon Route 53 Domain TLS Static Website
ペネトレ:ログイン処理も対応 ※Agentがテストデータの書き込みも行ったため、開発環境での実行を推奨 ASMに保存 テスト用ユーザー名 パスワード MFAログインにも対応 Agentがログインし操作が可能
ペネトレ:実行結果
→ AgentによるPR自動生成 → Agent再レビュー ペネトレ:静的コード解析 Dummyクレデンシャル Agent連携前にリポジトリに配置 ・コードレビュー:PRの中身が対象 →Dummyクレデンシャルは摘出されず ・ペネトレ:コード全量が対象
→ Dummyクレデンシャルが摘出され
ペネトレ:テストレポート 生成レポートは全て英語。日本語対応に期待 再現方法含めて記載あり
規模 3.5KStep タスク時間 34.41時間 コスト 1,720.5USD 初回実行から2ヶ月間、最大200タスク時間まで無料 ペネトレ:各種実績 エンドポイント 22件
実行時間 7時間42分 30万円弱 個人で検証するには… 50USD/タスク時間 助かった…
1 Organizations集約を推奨 個々のアカウントでカスタムセキュリティ要件を管理するのは煩雑。Organizationsで特 定アカウントでの管理がベターかも。ただし、Security AgentのGitHubアカウントへの Install/Authの設定は1AWSアカウントのため、マルチアカウント構成での管理方は事前 に整理しておく必要あり。 2 複数回実施が重要 エージェントは確率論的。1回のレビューだけでは指摘が漏れることがある。複数回実施
して結果を比較することを推奨。 3 ペネトレのコスト試算は難しい ペネトレの実行時間、タスク時間の事前試算は困難。小さく試行しながら、感覚をつかん でいく必要あり。回数のクォーターもあるため、ご利用は計画的に。 使ってみた所感・注意点
人手のペネトレはなくならない。技術が進歩しても監査ルールの適合などはその後 でも、専門家がいなくても一定レベルのチェックができる セキュリティルール改編時・運用引き継ぎ時・ PoCが気付いたら 本番化時など 運用フローに組み込める場面は多い 組織として、いままでできなかったことを AWS Security Agentで効率的にできるように
まとめ
Share your lesson
SiteGround - Reliable hosting with speed, security, and support you can count on.
sh_fk2
wyamazak_devrel
nassy20
sonic
usanchuu
hironobuiga
moulongzhang
line_developers_tw
personabb
bitkey
junki
musubi
moriyuya
aleyda
katiecoart
mfonobong
marcoroth
elsirapls
kimpetersen
pwiseman
sergeychernyshev
stephenakadiri
addyosmani
letsgokoyo
tammyeverts
