Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Security Agent といっしょに脅威モデリングをやってみよう
Search
amarelo_n24
June 23, 2026
Technology
78
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Security Agent といっしょに脅威モデリングをやってみよう
2026/6/23 JAWS-UG東京 ランチタイムLT会 #36 登壇資料
amarelo_n24
June 23, 2026
More Decks by amarelo_n24
See All by amarelo_n24
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになり、ルートアクセス管理を有効にしたおひとり様Organizationsの話
amarelo_n24
0
40
AWS Certified Generative AI Developer - Professional Beta 不合格体験記
amarelo_n24
1
350
マルチパートアップロードをする時にS3はどのような挙動をしているのか?
amarelo_n24
0
73
ひとりAWS BuilderCards 会を開催した話_SecurityExpansion
amarelo_n24
1
88
ひとりAWS BuilderCards 会を開催した話
amarelo_n24
1
41
re:Invent初参加者が感じたre:Invent を楽しむために必要なこと
amarelo_n24
0
60
おひとり様Organizations管理者もルートアクセス管理を有効にしよう!
amarelo_n24
2
150
アウトプット再始動2025・つなげるアウトプット2026
amarelo_n24
0
79
AWS re_Invent に全力で参加したくて筋トレを頑張っている話
amarelo_n24
2
160
Other Decks in Technology
See All in Technology
AI駆動開発を通して感じた、 AI時代のデザイナーの役割変化
whisaiyo
3
2.1k
入門!AWS Blocks
ysuzuki
1
130
On-behalf-of Token exchange with AgentCore Identity
hironobuiga
2
220
Disciplined Vibes: Scaling AI-Assisted Engineering
sheharyar
0
150
脆弱性対応、どこで線を引くか
rymiyamoto
1
390
不要なレビューをAIにまかせて AIコーディングの環境改善を加速した
shoota
1
110
SONiCの統計情報を取得したい
sonic
0
170
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
bitkey
PRO
1
370
【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616
masahirokawahara
2
350
AIのReact習熟度を測る
uhyo
2
580
現地で盛り上がった WWDC26 Keynote
zozotech
PRO
1
250
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
line_developers_tw
PRO
0
1.1k
Featured
See All Featured
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
430
Technical Leadership for Architectural Decision Making
baasie
3
410
The agentic SEO stack - context over prompts
schlessera
0
820
Paper Plane (Part 1)
katiecoart
PRO
0
9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
It's Worth the Effort
3n
188
29k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
430
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.8k
Thoughts on Productivity
jonyablonski
76
5.2k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
230
[SF Ruby Conf 2025] Rails X
palkan
2
1.1k
Transcript
AWS Security Agent といっしょに 脅威モデリングをやってみよう 2026/6/23 JAWS-UG東京 ランチタイムLT会 #36
自己紹介 藤田 直幸 X:@amarelo_n24 ・AWS Community Builders(Security) ・JAWS-UG 彩の国埼玉支部 運営 ・コーヒー焙煎人兼エンジニア
・おひとり様BuilderCards Player 好きなAWSサービス:IAM、S3、Organizations 好きなこと:コーヒー豆の焙煎
1.AWS Security Agent とは? 2.脅威モデリング とは? 3.脅威モデルを実行してみた 4.脅威が検出されなかった事例 5.まとめ アジェンダ
・今回試した結果は、私個人のAWSアカウントで試した結果です。 ・個人の見解であり、所属組織等を代表するものではありません。 ・本資料は、2026/6/21現在の情報で作成したものです。 おことわり
1.AWS Security Agent とは?
AWS Security Agent とは AWS re:Invent 2025の会期中に発表された、Webアプリケーションに潜む脆弱性 や脅威を検出できるフロンティアエージェントサービス。 https://aws.amazon.com/jp/security-agent/
4つの機能(2026/6/21現在) カテゴリ 概要 ステータス ペネトレーションテスト 疑似攻撃シナリオによる脆弱性の検出 GA コードレビュー コードを読み取り脆弱性を検出 プレビュー
設計レビュー アプリケーション設計の評価 プレビュー 脅威モデル アプリケーションに及ぶ脅威の特定 プレビュー
2.脅威モデリング とは?
脅威を特定し、システムに対する脅威の影響を防止または軽減するための対 策を定義することで、セキュリティを向上させるための活動。 ※OWASPのサイトより引用 https://owasp.org/www-community/Threat_Modeling 脅威モデリングとは?
2026/6/17のAWS Summit New York Cityで発表された機能。 設計ドキュメントまたはアプリケーションのソースコードからアーキテクチャの全 体像を把握し、STRIDEフレームワークを使って脅威の特定と推奨される対策を 提示。 https://aws.amazon.com/jp/about-aws/whats-new/2026/06/aws-security-agent-threat-modeling/ https://aws.amazon.com/jp/blogs/aws/aws-security-agent-adds-threat-modeling-kiro-power-and-c
laude-code-plugin-and-more/ Security Agent 脅威モデル機能
以下主要な脅威の頭文字を並べた言葉。これらの観点で脅威を分析する脅威 モデリングの分析手法の一つ。 https://learn.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-threats#stride-model STRIDEとは? カテゴリ 説明 Spoofing なりすまし Tampering 改ざん
Repudiation 否認 Information disclosure 情報漏洩 Denial of service サービス拒否 Elevation of privileg 権限昇格
AWS Well-Architected フレームワークのセキュリティの柱のSEC01-BP07で、 脅威モデルを使用した脅威を特定について記載あり。 Well-Architected フレームワークに準拠するために必要な機能では? SEC01-BP07 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/sec _securely_operate_threat_model.html 脅威モデルはセキュリティの柱にも記載あり
3.脅威モデルを実行してみた
リポジトリ、機能仕様書を選択して実行 GitHub、GitLab、Bitbucket、 Confluenceを設定可能。 CodeCommitはまだ無い…
実行中
1時間ほどで完了
脅威の詳細 ※日本語化に期待!
4.脅威が検出されなかった事例
テスト用リポジトリで脅威検出せず…
想定される原因 ・リポジトリ名がSecurity Agent のPoCを想像させるものだった ・READMEにも「セキュリティテスト専用のサイト」の旨書かれていた ※リポジトリ全体を某生成AIにて作成
テスト用アプリだと脅威検出されない? すべての動作確認用Webアプリケーションが該当しないと思うが、 脆弱性診断ツール動作確認用と思われる情報があると、Security Agent がそ の情報を基にして正しく脅威検出してくれないのでは? ※憶測の域を抜けないが、動作確認用を想像できる文言が入っていない リポジトリに脅威モデルを実行したら、脅威を検出できた。
5.まとめ
・脅威モデル機能を上手く使って、効率良く脅威の把握と対策を。 ・検出結果に対する対応可否、対応する脅威の最終的なトリアージは、 絶対に人が判断しなければならない。 ・プレビュー版の機能を使ってコードレビュー、脅威モデルを学ぼう。 Webアプリケーションセキュリティを身近なものに。 ・Security Agent 動作確認用サイトを作るときは、「テスト用 サイト」という文言を入れない方が良いかもしれない… 脅威モデルを人の能力だけで実施するのは大変
宣伝:JAWS-UG 北陸新幹線 #6 上越新幹線直通 in 大宮 https://jawsug-sainokuni-saitama.connpass.com/event/392213/
サブイベントは鉄道博物館! https://jawsug-sainokuni-saitama.connpass.com/event/395674/
本日の登壇内容の基記事 AWS Security Agent といっしょに脅威モデリングをやってみよう https://qiita.com/amarelo_n24/items/997a8fb958e14291ce94 まだ間に合う!コードレビューでAWS Security Agent デビューしよう!
https://qiita.com/amarelo_n24/items/e196b74f718c750a0e18
amarelo_n24
whisaiyo
ysuzuki
hironobuiga
sheharyar
rymiyamoto
shoota
sonic
bitkey
masahirokawahara
uhyo
zozotech
line_developers_tw
davetheseo
baasie
schlessera
katiecoart
eileencodes
3n
mfonobong
inesmontani
jonyablonski
aleyda
jacobtomlinson
palkan
