developersIO
[速報] ペネトレーションテスト/セキュリティレビューを自動化する AWS Security Agent がリリースされました! #AWSreInvent

[速報] ペネトレーションテスト/セキュリティレビューを自動化する AWS Security Agent がリリースされました! #AWSreInvent

ついに、ペネトレーションテストを自動化するサービスがきました!
AWS re:Invent 2025
セキュリティAWS
FacebookHatena blogX
2025.12.03

こんにちは!クラウド事業本部コンサルティング部のたかくに(@takakuni_)です。

AWS re:invent 2025 に来ています。

AWS Security Agent がパブリックプレビューでリリースされました!!!!

https://aws.amazon.com/jp/blogs/aws/new-aws-security-agent-secures-applications-proactively-from-design-to-deployment-preview/

AWS Security Agent

AWS Security Agent は、セキュリティ機能に特化したエージェントサービスです。

開発ライフサイクル全体を通じて、アプリケーションのセキュリティを支援するよう設計されています。

https://docs.aws.amazon.com/securityagent/latest/userguide/what-is.html

具体的な機能について触れていきます。主に以下の機能をサポートしています。

  1. 設計書のセキュリティレビュー
  2. アプリケーションコードのセキュリティレビュー
  3. 侵入テスト

特に、侵入テストの部分に関しては、今まで AWS でネイティブに提供されていなかった機能のため、嬉しいですね。

ありがとうございます。

やってみる

侵入テストを実施してみましょう。

現状、AWS Security Agent は、バージニア北部リージョンのみで利用できます。

Security Agent はマネジメントコンソールとは別に、管理画面 (エージェントスペース) を利用します。

エージェントスペースの認証/認可はアカウント全体で統一する必要があります。

Identity Center または IAM ユーザーを選べて、今回は IAM ユーザーを選択しました。

2025-12-02-07-53-48@2x.png

実際にエージェントスペースを作成していきます。エージェントスペースは、アカウント内に複数作成できます。

各エージェントスペースでは、以下のような形で、設計レビュー/コードレビュー/ペネトレーションテストの設定をまとめて管理します。

2025-12-02-08-35-33@2x.png

設計レビュー

設計レビューについて触れていきます。

設計レビューでは、マネージドセキュリティ要件とカスタムセキュリティ要件が用意されており、事前にマネージドセキュリティ要件が 10 個、設定されています。

2025-12-02-08-36-26@2x.png

セキュリティ要件とは、 LLM へ渡す、セキュリティ版コンテキストとイメージいただくと良いかと思います。

以下は AWS マネージドセキュリティ要件である Audit Logging Best Practices になります。

2025-12-02-08-36-36@2x.png

カスタムセキュリティ要件は、スクラッチから作ることもできますし、マネージドセキュリティ要件からコピーして作ることもできます。文章の表現の仕方などは、マネージドセキュリティ要件から学んで書いていくと良さそうですよね。

2025-12-02-08-37-03@2x.png

コードレビュー

続いてコードレビューです。コードレビューでは、コードが先ほど定義したセキュリティ要件に沿っているか、脆弱なコーディングが行われていないかを設定します。

まずは接続から。はい、GitHub と接続できます。(CodeCommit も待ってます!)

2025-12-02-07-59-16@2x.png

GitHub Organiations または、個人単位で GitHub App をインストールするイメージです。

2025-12-02-07-55-55@2x.png

リポジトリを選択し、チェック項目を選択します。今回はどちらも選択してみます。

2025-12-02-08-00-16@2x.png

ペネトレーションテスト

最後にペネトレーションテストです。ドメインを指定して設定します。

ドメイン検証を行う必要があり、HTTP ルートまたはテキストレコードを登録する方法で検証します。

今回はテキストレコードを登録するよう設定しました。

2025-12-02-08-02-06@2x.png

シークレットマネージャー経由で、ID/パスワードを登録し、認証がかかっているページもテストできます。ありがてぇ。

2025-12-02-08-57-18@2x.png

侵入テストの実施

エージェントスペースのセットアップが完了したら、管理画面から侵入テストを実施します。

ウェブアプリを起動から、管理画面を開きます。

2025-12-02-08-59-54@2x.png

ターゲット URL を定義します。先ほど DNS 検証を済ましたドメインを選びましょう。

2025-12-02-09-01-53@2x.png

以下のように攻撃して欲しい/欲しくないを指定できるのもありがたいですね。

2025-12-02-09-02-11@2x.png

Start Run から、ペネトレーションを実施してみます。

2025-12-02-09-15-16@2x.png

Preflight (環境のセットアップ)、Static analysis (コードレビュー)、Pentest (ペネトレーションテスト)、Finalizing (レポート) の 4 つのステップでテストを行います。

2025-12-02-09-10-07@2x.png

AWS Blog によると以下のような表示が行われるようです

image.png
New AWS Security Agent secures applications proactively from design to deployment (preview) より画像引用

料金

執筆時点で Security Agent はパブリックプレビュー中で、なんと無料で利用可能です。ぜひ、やって FB していきましょう!

To get started with AWS Security Agent, visit the AWS Security Agent console and create your first agent to begin automating design reviews, code reviews, and penetration testing across your development lifecycle. During the preview period, AWS Security Agent is free of charge.

おわりに

以上、「[速報] ペネトレーションテスト/セキュリティレビューを自動化する AWS Security Agent がリリースされました!」

ペネトレーションテスト部分は、今まで AWS で提供されていなかった領域で、ガンガン使っていきたいです。

クラウド事業本部コンサルティング部のたかくに(@takakuni_)でした!

この記事をシェアする

FacebookHatena blogX

関連記事

AWSの認証情報を平文で保存しないように、1Password CLIに移行してみた (1PasswordをMFAデバイスにしない版)
かずえ
2025.12.01
SSH秘密鍵をローカルに保存するのをやめて 1Password経由で使う
かずえ
2025.11.28
Amazon CloudWatch Logsの新機能「削除保護」を試してみた
suzuki.ryo
2025.11.27
Snyk + GitHub Actions で、脆弱性を含むパッケージの混入を防止する CI ワークフローを作る
若槻龍太
2025.11.25