Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS S...
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
sh_fk2
April 21, 2026
Technology
360
3
Share
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める
sh_fk2
April 21, 2026
More Decks by sh_fk2
See All by sh_fk2
[JAWS-UG彩の国埼玉#6]混乱しました。AWS MCP ServersとAWS MCP Serverの違いを5分で解説
sh_fk2
0
160
[トレノケ雲の会 超re:Cap LT大会]re:Invent2025 5分で読み解くAWSサポート大変革
sh_fk2
2
74
[JAWS-UG初心者支部#72]re:Invent2025で見つけたコミュニティに参加する意味
sh_fk2
1
82
[JAWS-UG 横浜支部 #91]DevOps Agent vs CloudWatch Investigations -比較と実践-
sh_fk2
2
400
[クラウド食堂 #5]見える化✖️自動監視=CloudWatchSynthetics
sh_fk2
0
71
[JAWS-UG 横浜支部 #89]CloudWatch 2025年の軌跡から”勝手に”予測する「運用の未来」
sh_fk2
0
110
[re:Inent2025事前勉強会(有志で開催)] re:Inventで見つけた人生をちょっと変えるコツ
sh_fk2
4
2.8k
20250910_障害注入から効率的復旧へ_カオスエンジニアリング_生成AIで考えるAWS障害対応.pdf
sh_fk2
4
460
[ JAWS-UG 東京 CommunityBuilders Night #2 ]SlackとAmazon Q Developerで 運用効率化を模索する
sh_fk2
3
780
Other Decks in Technology
See All in Technology
データ分析基盤の信頼を支える視点と設計
yuki_saito
2
760
Dynamic Workersについて
yusukebe
1
450
Generative UI × A2UI で AI エージェントを作った話 AI-DLC も使ってみた!
kmiya84377
1
280
layerx-fde-practices
cipepser
6
2.9k
Agentic AI時代における メルカリのAIガバナンスとガードレール実装
naoichihara
16
17k
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.8k
サプライチェーンセキュリティの空白地帯 - 信頼できる”依存性”の未来を考える
rung
PRO
1
450
CloudFront VPCオリジンとVPC Latticeサービスの内部ALBをマルチアカウントで一元利用しよう
duelist2020jp
5
260
コードレビューを制するチームがソフトウェアデリバリーのフローを制す / Beyond Code Review: Distributing Its Responsibilities Across the SDLC
mtx2s
1
430
Claude Codeですべての日常業務を爆速化しよう!
minorun365
PRO
16
16k
AI時代から振り返るTerraform drift運用の歴史 / AI Age Reflections on the History of Terraform Drift Operations
aeonpeople
0
590
AIガバナンス実践 - 生成AIコネクタのデータ漏洩リスクと実務対策
knishioka
0
140
Featured
See All Featured
Into the Great Unknown - MozCon
thekraken
41
2.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
180
Leo the Paperboy
mayatellez
7
1.8k
How to make the Groovebox
asonas
2
2.2k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.7k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
190
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
61
44k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
270
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
220
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
540
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
Transcript
リリースしたら終わり、じゃなかった セキュリティ空白期間を AWS Security Agentで埋める 2026年4月21日 Ops-JAWS Meetup40 Frontier Agents
× Ops特集 #opsjaws
自己紹介 >深津 新太郎 PM @ 事業会社の情報システム子会社 オンプレ/ハイブリッドシステムの運用・開発・リプレイス担当 >Community Builder(Cloud Operations)2025
>彩の国埼玉支部運営
あなたのチームに セキュリティ専門家はいますか? ※セキュリティはみんなの仕事です
ペネトレーションテストを 定期的に行っていますか?
ペネトレ デザインレビュー コードレビュー 開発から運用まで 設計 開発 リリース セキュリティ空白期間 リリース後、ペネトレは… 年1回?数年に1回?
次の開発までなし? PoCでスタートしたあのサービス、 いつの間にか本番利用されていない? ルール変更後のチェック・対応はいつ? Shift left Security
設計レビュー (デザインレビュー) Preview 要件定義・設計書に対してセキュリティ要件の充足を評価 AWSマネージドのルール以外に自社規程を追加可能。 コードレビュー Preview GitHub PRに対して自動でセキュリティ脆弱性のレビューを実施 検出結果をコメントで付与
ペネトレーションテスト GA 2026.03.31 実際にアプリへ攻撃を試み脆弱性を発見。修正PRを自動生成。 AWS Security Agent
OWASP Juice Shop じゃなくて 個人開発のアプリで一通り試してみた ちなみに、全機能Preview中は以下の並びでした(こちらの方が自然)
対象ドキュメントをアップして、レビュー DOC, DOCX, JPEG, MD, PDF, PNG and TXT 様々な形式に対応
AWSマネージドルール10個は全て英語 デザインレビュー
カスタムルール(日本語 OK ) デザインレビュー カスタムセキュリティ要件は日本語でも可能 1回目準拠が2回目では非準拠の判定 Agentも見落とすので、 結果は人が必ず確認しつつ、 レビューは複数回実行した方が良い
デザインレビュー: Ops向けユースケース案 セキュリティルール改編後のチェック "この間、ルールが変わったけど、既存システム全部チェックするの?" → カスタムルールを更新 → 設計書を自動評価。抜け漏れを指摘 引き継ぎ設計書のなんとなくOK "このシステム、セキュリティ的に問題ないですよね?
・・・たぶん。" → 設計書を Agent に読み込ませる → 自社規程・ルールと照合 ドキュメントから読み取れないことは指摘される。見落としに注意(人間と同じ)
基本動作 GitHub PRを作成 → Security Agentが自動でレビュー コメントを付与 制約・注意点 • PR単位のレビュー(PRで変更された範囲が対象)
過去のコードは対象外 • GitHubアカウントでSecurity AgentのInstall/Authが必要 連携は、1AWSアカウントのみに限定 マルチアカウント構成は事前に検討が必要 • コードレビューには月の利用上限(1,000回) あり 上限緩和申請は可能 コードレビュー
シンプルなServerless構成のWebアプリ(like a Kahoot!) ペネトレ:対象アプリ アーキテクチャイメージ 参加者 https AWS Cloud AWS
Lambda Amazon S3 Static Website Hosting Amazon DynamoDB Amazon Cognito Amazon CloudFront Amazon API Gateway ACM Amazon CloudWatch 管理者 https Amazon Route 53 Domain TLS Static Website
ペネトレ:ログイン処理も対応 ※Agentがテストデータの書き込みも行ったため、開発環境での実行を推奨 ASMに保存 テスト用ユーザー名 パスワード MFAログインにも対応 Agentがログインし操作が可能
ペネトレ:実行結果
→ AgentによるPR自動生成 → Agent再レビュー ペネトレ:静的コード解析 Dummyクレデンシャル Agent連携前にリポジトリに配置 ・コードレビュー:PRの中身が対象 →Dummyクレデンシャルは摘出されず ・ペネトレ:コード全量が対象
→ Dummyクレデンシャルが摘出され
ペネトレ:テストレポート 生成レポートは全て英語。日本語対応に期待 再現方法含めて記載あり
規模 3.5KStep タスク時間 34.41時間 コスト 1,720.5USD 初回実行から2ヶ月間、最大200タスク時間まで無料 ペネトレ:各種実績 エンドポイント 22件
実行時間 7時間42分 30万円弱 個人で検証するには… 50USD/タスク時間 助かった…
1 Organizations集約を推奨 個々のアカウントでカスタムセキュリティ要件を管理するのは煩雑。Organizationsで特 定アカウントでの管理がベターかも。ただし、Security AgentのGitHubアカウントへの Install/Authの設定は1AWSアカウントのため、マルチアカウント構成での管理方は事前 に整理しておく必要あり。 2 複数回実施が重要 エージェントは確率論的。1回のレビューだけでは指摘が漏れることがある。複数回実施
して結果を比較することを推奨。 3 ペネトレのコスト試算は難しい ペネトレの実行時間、タスク時間の事前試算は困難。小さく試行しながら、感覚をつかん でいく必要あり。回数のクォーターもあるため、ご利用は計画的に。 使ってみた所感・注意点
人手のペネトレはなくならない。技術が進歩しても監査ルールの適合などはその後 でも、専門家がいなくても一定レベルのチェックができる セキュリティルール改編時・運用引き継ぎ時・ PoCが気付いたら 本番化時など 運用フローに組み込める場面は多い 組織として、いままでできなかったことを AWS Security Agentで効率的にできるように
まとめ
Share your lesson
sh_fk2
yuki_saito
yusukebe
kmiya84377
cipepser
naoichihara
oracle4engineer
rung
duelist2020jp
mtx2s
minorun365
aeonpeople
knishioka
thekraken
irinanazarova
jdejongh
mayatellez
asonas
philnash
katarinadahlin
rkaga
retrage
pwiseman
reverentgeek
marcduiker
