Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS S...
Search
sh_fk2
April 21, 2026
Technology
320
3
Share
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める
sh_fk2
April 21, 2026
More Decks by sh_fk2
See All by sh_fk2
[JAWS-UG彩の国埼玉#6]混乱しました。AWS MCP ServersとAWS MCP Serverの違いを5分で解説
sh_fk2
0
150
[トレノケ雲の会 超re:Cap LT大会]re:Invent2025 5分で読み解くAWSサポート大変革
sh_fk2
2
67
[JAWS-UG初心者支部#72]re:Invent2025で見つけたコミュニティに参加する意味
sh_fk2
1
75
[JAWS-UG 横浜支部 #91]DevOps Agent vs CloudWatch Investigations -比較と実践-
sh_fk2
2
390
[クラウド食堂 #5]見える化✖️自動監視=CloudWatchSynthetics
sh_fk2
0
67
[JAWS-UG 横浜支部 #89]CloudWatch 2025年の軌跡から”勝手に”予測する「運用の未来」
sh_fk2
0
100
[re:Inent2025事前勉強会(有志で開催)] re:Inventで見つけた人生をちょっと変えるコツ
sh_fk2
4
2.7k
20250910_障害注入から効率的復旧へ_カオスエンジニアリング_生成AIで考えるAWS障害対応.pdf
sh_fk2
4
450
[ JAWS-UG 東京 CommunityBuilders Night #2 ]SlackとAmazon Q Developerで 運用効率化を模索する
sh_fk2
3
760
Other Decks in Technology
See All in Technology
CyberAgent YJC Connect
shimaf4979
1
170
Digital Independence: Why, When and How
wannesrams
0
300
AIが盛んな時代に 技術記事を書き始めて起きた私の中での小さな変化
peintangos
0
360
Oracle Cloud Infrastructure presents managed, serverless MCP Servers for Oracle AI Database
thatjeffsmith
0
170
Databricks Academic Series 〜 大規模言語モデル / エージェント編 〜 / academic-series-llm
databricksjapan
0
110
【技術書典20】OpenFOAM(自宅で深める流体解析)流れと熱移動(2)
kamakiri1225
0
380
AI 時代の Platform Engineering
recruitengineers
PRO
1
110
Anthropic「Long-running a gents」をGeminiで再現してみた
tkikuchi
0
790
GKE Agent SandboxでAIが生成したコードを 安全に実行してみた
lamaglama39
0
210
Oracle Cloud Infrastructure:2026年4月度サービス・アップデート
oracle4engineer
PRO
0
370
Building a Study Buddy AI Agent from Scratch: From Passive Chatbots to Autonomous Systems
itchimonji
0
140
AIエージェントの支払い基盤 AgentCore Payments概要
kmiya84377
1
140
Featured
See All Featured
Tell your own story through comics
letsgokoyo
1
910
We Are The Robots
honzajavorek
0
220
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
140
Building an army of robots
kneath
306
46k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
770
Leo the Paperboy
mayatellez
7
1.7k
Why Our Code Smells
bkeepers
PRO
340
58k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
3k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.9k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
250
Transcript
リリースしたら終わり、じゃなかった セキュリティ空白期間を AWS Security Agentで埋める 2026年4月21日 Ops-JAWS Meetup40 Frontier Agents
× Ops特集 #opsjaws
自己紹介 >深津 新太郎 PM @ 事業会社の情報システム子会社 オンプレ/ハイブリッドシステムの運用・開発・リプレイス担当 >Community Builder(Cloud Operations)2025
>彩の国埼玉支部運営
あなたのチームに セキュリティ専門家はいますか? ※セキュリティはみんなの仕事です
ペネトレーションテストを 定期的に行っていますか?
ペネトレ デザインレビュー コードレビュー 開発から運用まで 設計 開発 リリース セキュリティ空白期間 リリース後、ペネトレは… 年1回?数年に1回?
次の開発までなし? PoCでスタートしたあのサービス、 いつの間にか本番利用されていない? ルール変更後のチェック・対応はいつ? Shift left Security
設計レビュー (デザインレビュー) Preview 要件定義・設計書に対してセキュリティ要件の充足を評価 AWSマネージドのルール以外に自社規程を追加可能。 コードレビュー Preview GitHub PRに対して自動でセキュリティ脆弱性のレビューを実施 検出結果をコメントで付与
ペネトレーションテスト GA 2026.03.31 実際にアプリへ攻撃を試み脆弱性を発見。修正PRを自動生成。 AWS Security Agent
OWASP Juice Shop じゃなくて 個人開発のアプリで一通り試してみた ちなみに、全機能Preview中は以下の並びでした(こちらの方が自然)
対象ドキュメントをアップして、レビュー DOC, DOCX, JPEG, MD, PDF, PNG and TXT 様々な形式に対応
AWSマネージドルール10個は全て英語 デザインレビュー
カスタムルール(日本語 OK ) デザインレビュー カスタムセキュリティ要件は日本語でも可能 1回目準拠が2回目では非準拠の判定 Agentも見落とすので、 結果は人が必ず確認しつつ、 レビューは複数回実行した方が良い
デザインレビュー: Ops向けユースケース案 セキュリティルール改編後のチェック "この間、ルールが変わったけど、既存システム全部チェックするの?" → カスタムルールを更新 → 設計書を自動評価。抜け漏れを指摘 引き継ぎ設計書のなんとなくOK "このシステム、セキュリティ的に問題ないですよね?
・・・たぶん。" → 設計書を Agent に読み込ませる → 自社規程・ルールと照合 ドキュメントから読み取れないことは指摘される。見落としに注意(人間と同じ)
基本動作 GitHub PRを作成 → Security Agentが自動でレビュー コメントを付与 制約・注意点 • PR単位のレビュー(PRで変更された範囲が対象)
過去のコードは対象外 • GitHubアカウントでSecurity AgentのInstall/Authが必要 連携は、1AWSアカウントのみに限定 マルチアカウント構成は事前に検討が必要 • コードレビューには月の利用上限(1,000回) あり 上限緩和申請は可能 コードレビュー
シンプルなServerless構成のWebアプリ(like a Kahoot!) ペネトレ:対象アプリ アーキテクチャイメージ 参加者 https AWS Cloud AWS
Lambda Amazon S3 Static Website Hosting Amazon DynamoDB Amazon Cognito Amazon CloudFront Amazon API Gateway ACM Amazon CloudWatch 管理者 https Amazon Route 53 Domain TLS Static Website
ペネトレ:ログイン処理も対応 ※Agentがテストデータの書き込みも行ったため、開発環境での実行を推奨 ASMに保存 テスト用ユーザー名 パスワード MFAログインにも対応 Agentがログインし操作が可能
ペネトレ:実行結果
→ AgentによるPR自動生成 → Agent再レビュー ペネトレ:静的コード解析 Dummyクレデンシャル Agent連携前にリポジトリに配置 ・コードレビュー:PRの中身が対象 →Dummyクレデンシャルは摘出されず ・ペネトレ:コード全量が対象
→ Dummyクレデンシャルが摘出され
ペネトレ:テストレポート 生成レポートは全て英語。日本語対応に期待 再現方法含めて記載あり
規模 3.5KStep タスク時間 34.41時間 コスト 1,720.5USD 初回実行から2ヶ月間、最大200タスク時間まで無料 ペネトレ:各種実績 エンドポイント 22件
実行時間 7時間42分 30万円弱 個人で検証するには… 50USD/タスク時間 助かった…
1 Organizations集約を推奨 個々のアカウントでカスタムセキュリティ要件を管理するのは煩雑。Organizationsで特 定アカウントでの管理がベターかも。ただし、Security AgentのGitHubアカウントへの Install/Authの設定は1AWSアカウントのため、マルチアカウント構成での管理方は事前 に整理しておく必要あり。 2 複数回実施が重要 エージェントは確率論的。1回のレビューだけでは指摘が漏れることがある。複数回実施
して結果を比較することを推奨。 3 ペネトレのコスト試算は難しい ペネトレの実行時間、タスク時間の事前試算は困難。小さく試行しながら、感覚をつかん でいく必要あり。回数のクォーターもあるため、ご利用は計画的に。 使ってみた所感・注意点
人手のペネトレはなくならない。技術が進歩しても監査ルールの適合などはその後 でも、専門家がいなくても一定レベルのチェックができる セキュリティルール改編時・運用引き継ぎ時・ PoCが気付いたら 本番化時など 運用フローに組み込める場面は多い 組織として、いままでできなかったことを AWS Security Agentで効率的にできるように
まとめ
Share your lesson
sh_fk2
shimaf4979
wannesrams
peintangos
thatjeffsmith
databricksjapan
kamakiri1225
recruitengineers
tkikuchi
.jpg){kind=avatar}
lamaglama39
oracle4engineer
itchimonji
kmiya84377
letsgokoyo
honzajavorek
tmiket
kneath
aarron
malarkey
baasie
mayatellez
bkeepers
garrettdimon
honnibal
minecr
