AWS で実現する 安全な AI エージェントの作り方 〜 Bedrock Engineer の実装例を添えて 〜 / how-to-build-secure-ai-agents

Transcript

1. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 〜 Bedrock Engineer の実装例を添えて 〜 Daisuke Awaji J A W S - U G 北 陸 新 幹 線 # 3 I N 上 越 妙 高 Solutions Architect Amazon Web Services Japan G.K. AWS で実現する 安全な AI エージェントの作り方

2. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. Daisuke Awaji Amazon Web Services Japan Solutions Architect 2 @gee0awa Serverless, Generative AI, Frontend ❤ @gee0awa 👆 こちらから資料をチェック

3. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. Generative AI: Trends through the years 3 2023 The year of POCs 2024 The year of Production 2025 The year of Business Value 生成AIってなんだ ? 安全なのか ? どの基盤モデルを利用すべき ? どこから始めればいい ? プロンプトエンジニアリングは必要 ? プロジェクトの優先順位付けとは ? どうやって実現するか ? どうすればコストを削減できるか ? どのカスタマイズ方法を使用すればよいか ? Agentをうまく活用するには ? どうすればより広範囲に活用できる ? どうすれば業務変革をもたらせるか ? 組織全体での包括的なAI導入のためにはどうしたらよいか? 業務を効率化するソフトウェアをどう作るか、から 業務をAIエージェントとどう協調させるか、へ

4. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. Bedrock Engineer 4 https://github.com/aws-samples/bedrock-engineer Amazon Bedrock を使用した開発を支援する AI アシスタント

5. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. 5 インストール方法 アプリをダウンロードするだけ！ （Windows の人はビルドしてね） は じ め か た Click !!

6. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. 6 インストール方法（ビルドする場合） $ npm install $ npm run build:mac npm run build:win npm run build:linux または または リポジトリをクローンして２行コマンド実行 ローカルにネイティブアプリがビルドされます！ ① ビルドして ② アプリを開く ダブルクリックで開く Mac, Windows, Linux それぞれの OS に応じてコマンドを変えてください は じ め か た

7. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. 設定画面から AWS アクセスキー、シークレットアクセスキーを設定すれば すぐに利用開始できます（Profile の指定も可能です） 7 初期設定 設定画面を開く アクセスキー シークレットアクセスキーを設定 は じ め か た

8. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. AWS マネジメントコンソール Bedrock のモデルアクセスを選択し、 モデルアクセスの変更から利用するモデルのアクセスをリクエストしてください 8 Bedrock モデルアクセスの有効化

9. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. Amazon Confidential and Trademark. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 本日は Bedrock Engineer を事例に エージェントの作り方をご案内します 9 @gee0awa 👆 こちらから資料をチェック

10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 10 AI エージェント 自分の置かれている環境を理解し、様々なツールを活用して 目標に向かってタスクをこなしていく AI の仕組み https://www.anthropic.com/research/building-effective-agents

11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 11 汎用的な開発エージェント ソースコードを読み、フォルダを作り、コードを実装します。 ソーセージの構造を理解し、Marmaid.js 形式で図解を行い、開発者を支援します。 Web 検索や RAG 検索を使用して実装している文脈に応じた最適な実装計画を検討します。 ▶ ◀ 読み 書き

12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 12 開発の例）ソフトウェアの構造を図解して説明 ① ソフトウェアのディレクトリ構造/ファイルを読み込む ② 構造を理解し、図解して説明する （この図では エージェントチャットのシーケンスを表現しています） ③ さらに実装をしたり、設計書を書いたり、、、

13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 13 AIエージェントの構成要素 プロンプトとツール Agent Tools User ファイルの読み込み ファイルの書き込み ファイルの移動、コピー フォルダの作成 URL を指定した検索 Tavily Search による検索 画像生成 Amazon Nova, Titan Stable Diffusion シリーズ 任意のコマンド実行 Amazon Bedrock Knowledge Base Agents 独自のツールを実装し組み込みが可能 Python API Database AI エージェント開発・利用において一般的なツールを搭載 任意のコマンドや MCP を介してデータベースや API にも接続可能 MCP Server Model Context Protocol システムプロンプト

14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 15 App LLM Controller 1. ツールの定義 (ToolSpec) とプロンプトを送信 2. LLM からツールの実行要求（ツール名、パラメータ） 3. ツール実行 4. 実行結果 5. ツールの実行結果を送信 6. ツールの実行結果に基づき回答を生成 ToolUse の流れ Tool

15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 16 Bedrock Converse API Tool Use の実装例 toolSpec の定義（Bedrock に送信する） 実行される Tool (Function) の実装 Bedrock Engineer は内部の処理で ToolUse を使用して様々な機能を拡張します。

16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. エージェントができること（ツール） から考えるユースケース 20 @gee0awa 👆 こちらから資料をチェック

17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. Tavily Search や URL 指定の検索が可能 文脈に応じて知識の補完をしながら遂行するエージェントが実装できます。 21 Web Grounding 開発のシーンに応じてウェブから知識を補完する例 必要な知識が得られるまで 自律的にクエリを変更して知識を探索 1）React でルーティングを実装するには？ 3）react-router 以外の実装手段は？ 2）react-router 以外の実装手段は？ URL を指定した検索 Tavily Search による検索 ツールを使ってできること

18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 従来の RAG では人間がクエリを工夫する必要がありましたが、 Agent を介在することで、クエリを最適化して必要十分な量を実行して探索します 22 Agentic-RAG Knowledge Base に複数回最適なクエリを実行 “管理画面 テーブル フォーム データ表示” ツールを使ってできること Amazon Bedrock Knowledge Base ”レイアウト コンポーネント ResponsiveLayout AppLayout Header” （クエリ 1 回目） （クエリ 2 回目） AWS のデザインシステムを使って EC サイトの管理画面を実装してください。 事前にコードサンプルなどを 入れておく必要があります

19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. CloudScape Design システムに従って鉢植えの植物に特化し た EC ウェブサイトの基本構造とレイアウトを作成してくだ さい。React, TypeScript, VIte で作っていきましょう。 主要な要件は以下の通りです。 <Conditions> •レイアウトは Amazon.com のようなものにする。 •EC ウェブサイトの名前は "Green Village" とする。 •グリーンの配色テーマを使用する。 •植物をカード形式で表示するセクションを追加する。 •ショッピングカートに追加する機能を作成する。 •現在のショッピングカートの中身を確認し、合計金額を計 算する機能を作成する。 </Conditions> 23 Agentic-RAGの活用例） デザインシステムに従うウェブアプリ プロンプト 生成されたアプリケーション Knowledge Base にデザインシステムのソースコードを保存しておくことで、 最適なコードを参照しながら実装を進めることが可能です。 Agent (Bedrock Engineer) Knowledge Base （クエリ１回目） Knowledge Base （クエリ２回目） ツールを使ってできること

20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. Bedrock Engineer を Orchestrator として、複数の Sub-Agent を実行できます。 Sub-Agent は Bedrock Agent を使用したり、 CLI 経由で実行することもできます。 24 Multi-Agent Orchestration Sub-Agent (Bedrock Agent) Agent (Bedrock Engineer) Sub-Agent (via CLI) Bedrock Agent の Code Interpreter を使用して、CSV形式の売り上げデータを可視化した例 ツールを使ってできること

21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. ② ツールが利用可能に 25 MCP サーバーへの接続 MCP (Model Context Protocol) サーバーと接続して、様々なツールを実行できます ① MCP Server の定義を入力 ツールを使ってできること

22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 26 awslabs の提供するMCPサーバーの例 AWS Documentation MCP •ドキュメント検索：AWS公式ドキュメントをAPI経由で検索 •ドキュメント閲覧：AWSドキュメントページをMarkdown形式に変換して取得 •コンテンツ推薦：関連するAWSドキュメントページの推薦を取得 Knowledge Bases Retrieval MCP Server •ナレッジベース発見と探索：利用可能なナレッジベースとデータソースの検索 •自然言語クエリ：自然言語を使用したナレッジベースへの問い合わせ •データソースフィルタリング：特定のデータソースに焦点を当てた検索 •検索結果のリランク：Amazon Bedrockのリランキング機能を使用した関連性向上 AWS Cost Analysis MCP Server •AWSコスト分析と可視化：サービス、リージョン、階層別のコスト内訳表示 •自然言語によるコストデータクエリ：英語での質問に基づくAWSコスト情報の提供 •コストレポートと最適化提案：包括的なコストレポート作成と最適化提案 AWS CDK MCP Server •CDK全般ガイダンス：AWS Solutions Constructsを使用した実装パターン提供 •CDK Nagインテグレーション：セキュリティとコンプライアンスのルール適用と説明 •AWS Solutions Constructs対応：一般的なアーキテクチャニーズに対応するパターン検索 •生成AI向けCDKコンストラクト：AI/ML ワークロード向けの特殊コンストラクト検索 など

23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 27 MCPサーバーの例｜ユースケース • AWS の環境情報を調査して、構成図（draw.io形式など）に記述する • 実装中のエラーログを渡して原因分析を行う • GitHub の issue を調査して、実装方法を計画 • Jira などのプロジェクト管理ツールと連携し、バックログを管理する • ブラウザテストをオートメーションする • 業務アプリのデータベースと接続する など

24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. • セキュリティ MCP サーバーには悪意のあるコードやネットワークへの通信がある場合がありま す。 内容を精査した上で、用法を守った利用が求められます。 • ツールをシンプルに保つ（入力する変数の数や命名） 人間にも同じことがいえますが、複雑なツールは使いこなせません。 分かりやすいツール名、変数名、膨大とならない入力値を設計しましょう。 • ツールの実行結果を小さく ツールの実行結果の量が多すぎる場合、コンテキスト長に乗らない・乗ったとしても Forgetting や Model Drift のリスクが多くなります。ウェブクロールや API、データ ベースと接続する場合は、実行結果を小さく維持できるようなクエリ設計を心がけま しょう。 28 ツールのカスタマイズにおける留意点

25. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. エージェントのカスタマイズ 29

26. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 31 エージェントをカスタマイズする ①エージェントの名前と簡単な説明文章を入れて ② System Prompt を自動生成するボタンをクリックすると ③ 使用するツールや文脈を考えたシステムプロンプトが 自動生成されます。

27. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 33 開発以外に応用できるエージェント エージェントのシステムプロンプトを制御することで、開発以外の業務にも応用が可能です カフェの店員として振る舞うエージェント、心理カウンセラーのようなエージェントもすぐに実装できます。 例）カフェの店員エージェント あなたは心温まるカフェの店員AIアシスタントです。 お客様に寄り添い、丁寧で親身な接客を心がけます。 性格と態度: - 明るく、親しみやすい態度で接客 - 礼儀正しく、丁寧な言葉遣い - お客様のニーズを積極的に理解し、適切な提案を行う - 困っているお客様へは特に配慮を持って対応 - 常に笑顔で接客することを心がける 基本的な対応: 1. お客様への挨拶から始める 2. オーダーを丁寧にお伺いする 3. メニューの説明や提案を行う 4. アレルギーや好みについての確認 5. 注文の復唱と確認 6. お会計の案内 7. お見送りの挨拶 メニュー知識: - コーヒー、紅茶、その他ドリンクの特徴を詳しく説明可能 - フード・デザートメニューの内容と調理方法を把握 - アレルギー情報や原材料についての正確な情報提供 - 季節限定メニューの案内 特別な対応: - アレルギーをお持ちのお客様への細心の注意 - お子様連れのお客様への配慮 - 外国人のお客様への多言語対応 - 高齢者や障がいをお持ちのお客様へのサポート

28. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. ユーザーがカスタマイズした／作成したエージェントを構成する システムプロンプトを共有するコンテンツハブ 34 Agent Directory エージェントを選んですぐに使えます

29. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. Demo 35

30. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. AI エージェントをクラウド上で作る 41 @gee0awa 👆 こちらから資料をチェック

31. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Bedrock Agents Intelligent workflow automation Tools - Action Groups, Knowledge Bases, Code Interpreter Memory – Session state, Long-Term Choice of Foundational models, and Plan and Reason techniques Multi-agent collaboration Trace, debug, and observability Guardrails, Safety and Security

32. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Bedrock Agents 全体像 生成AI アプリケーション エンドユーザー Amazon Bedrock Agents エージェント 基盤モデル ガードレール (ID / Version) メモリ AWS Lambda Lambda関数 関数仕様 Return Control 関数仕様 ナレッジベース invokeAgent 実行 アクショングループ （ToolUse のツールに相当）

33. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 安全な AI エージェントを作る 45 @gee0awa 👆 こちらから資料をチェック

34. © 2025、アマゾンウェブサービス社またはその関連会社 全著作権を留保します。 Amazon Bedrock において提供する基盤モデルは EULA に記述の通り、顧客データを保存せず、学習にも利用 しません。Bedrock で提供する全ての基盤モデルに対して、ガードレールをはじめとしたセキュリティ機能は

    同様に機能します。 Amazon Bedrock のモデル選択とセキュリティ LLM (知能) ガ " ド レ " ル Amazon Bedrock ガバナンス／ロギング／暗号化等 IAM / ア ク セ ス 制 御 Agents/Flow モ デ ル 評 価 アプリケーション ISMAP ISO/IEC 42001:2023 モデル選択

35. © 2025、アマゾンウェブサービス社またはその関連会社 全著作権を留保します。 Amazon Bedrock ガードレールのしくみ 最終的な応答 基盤モデル 基盤モデル or

    ナレッジベース の呼び出し ユーザー⼊⼒ (プロンプト) 基盤モデル出⼒ Amazon Bedrock Guardrails ガードレール 拒否トピック 単語フィルタ 機微情報フィルタ 出⼒ ガードレールに抵触すると 判断された場合、拒否メッセージや PII削除を⾏った内容を応答とする プロンプトフィルター強度 応答フィルター強度 ブロックメッセージ コンテンツフィルタ ⽂脈根拠チェック (テキスト or 画像 に対応) ユーザープロンプトと基盤モデル出⼒に対して 出⼒可否 や 削減、検知 を実施 ※ 性質上、決定的な振る舞いをするものではない点に留意

36. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 49 ガードレールの適用 エージェントは自律的にファイルを読み込んだり、データベースを収集しますが それらデータをマスキングした結果を返却したり、LLM への送信を防ぐことができます。 読み込んだファイルを マスキングしている例 設定画面から ガードレールID、バージョンを指定

37. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. guardrailConfig にてガードレールを指定することで、自動的に適用されます 50 Converse API の guardrailConfig アプリケーション Amazon Bedrock LLMs Converse API ガードレールが自動的に適用 ガードレールの適用方法１ （または InvokeModel API でも同様の設定が可能です）

38. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. LLM を介さず、直接 Guradrail の機能が利用できます。 ToolUse の実行結果（ToolResult）をリクエストに載せたくない場合や Amazon Bedrock でサポートしていない LLM を利用しているケースで有効です 51 ApplyGuardrail API アプリケーション ApplyGuardrail ガードレールだけを 利用したい場合 ガードレールの適用方法２

39. © 2025、アマゾンウェブサービス社またはその関連会社 全著作権を留保します。 Guardrail 指定のないリクエストを弾く IAM Policy LLM (知能) ガ

    " ド レ " ル Amazon Bedrock ガバナンス／ロギング／暗号化等 IAM / ア ク セ ス 制 御 Agents/Flow モ デ ル 評 価 アプリケーション ISMAP ISO/IEC 42001:2023 モデル選択 User A User B ❌ GuardrailIdentifier あり GuardrailIdentifier なし https://aws.amazon.com/jp/blogs/machine-learning/amazon-bedrock-guardrails- announces-iam-policy-based-enforcement-to-deliver-safe-ai-interactions/?trk=fccf147c- 636d-45bf-bf0a-7ab087d5691a&sc_channel=el Bedrock:GuradrailIdentifier Condition key IAM ポリシーで設定されたガードレールがリクエストで指定されたガードレールと一致しない場合、 リクエストはアクセス拒否例外で拒否され、組織のポリシーへの準拠が強制されます。

40. © 2025、アマゾンウェブサービス社またはその関連会社 全著作権を留保します。 ⽣成 AI がもたらすリスクと課題の代表例 知的財産侵害の リスク データプライバシー 侵害のリスク

    信憑性のリスク (ハルシネーション等) 有害性と安全性の リスク AI 倫理 に関する リスク AI 脆弱性の リスク プロンプト インジェク ション モデルの DoS 機密情報の 漏洩

41. © 2025、アマゾンウェブサービス社またはその関連会社 全著作権を留保します。 生成 AI アプリケーションの多層防御 LLM (知能) ガ "

    ド レ " ル Amazon Bedrock ガバナンス／ロギング／暗号化等 IAM / ア ク セ ス 制 御 Agents/Flow ・追加コンテンツフィルタ（憎悪・侮辱・性的・暴⼒・ 個⼈情報・プロンプトアタック・ミスコンダクト） ・情報公開（AWS AIサービスカード(titan, nova)で安全性、セキュリティ、プライバシー、 ガバナンス、公平性、真実性、透明性、等公開済 ・追加学習の要否 ・API アクティビティのトレース ・監査ログの集積 モ デ ル 評 価 アプリケーション ユーザー ・VPC ネットワーク ・セキュリティグループ ・サービスコントロールポリシー ・海外リージョン利⽤禁⽌ ・信頼境界の確⽴ （⼊⼒検証やサニタイズ） ・ユーザー権限管理 ・アクセス制御 ・ログ取得 ・利⽤者のフィードバック クラウド統制／ネットワーク ISMAP ISO/IEC 42001:2023 ガイドライン フレームワーク 1 データプライバシーと保護 2 ガードレール 3 アプリとしてのセキュリティ 4

42. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. • AI エージェントの構成要素はシステムプロンプトとツールが最も重要 ローカルで試して、クラウドに構築する • AIエージェントの仕組みによって LLM はデータにアクセスが可能になった データを堅牢に扱う仕組みとしてガードレールや IAM、ネットワークによる セキュリティをより一層意識する 62 まとめ @gee0awa 👆 こちらから資料をチェック

43. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. Thank you! © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. AWS サンプルとして公開しております。 AWS の正式なサービスではないことにご留意ください。 https://github.com/aws-samples/bedrock-engineer