Amazon Web Services ブログ

AWS セキュリティエージェントで、脅威モデリング、Kiro パワー、Claude Code プラグインなどが追加

re:Invent 2025 では、開発ライフサイクル全体を通じてあらゆる環境でアプリケーションをプロアクティブに保護するフロンティアエージェントである AWS セキュリティエージェント (現在は AWS Continuum の一部) をプレビュー公開しました。アプリケーションに合わせてカスタマイズされたオンデマンドのペネトレーションテストを実行し、悪用可能性テストで検証されたセキュリティリスクを検出して報告できます。

プレビュー公開後、オンデマンドのペネトレーションテストの一般提供の開始と、コードベース全体に対してコンテキストを考慮した詳細なセキュリティ分析を実行するフルリポジトリコードレビューのプレビューを発表しました。

6 月 17 日は、お客様からのフィードバックに基づき、さらに多くの機能をご紹介します:

  • コードレビューのアップデート (プレビュー) – 是正、セキュリティ要件パック、シミュレーション検証とともに、プルリクエストスキャンを使用できるようになりました。新しい統合は、GitHub、GitLab、Bitbucket、Confluence をサポートします。
  • 脅威モデリング (プレビュー) – AWS セキュリティエージェントは、設計ドキュメントまたはアプリケーションのソースコードを分析し、アプリケーションアーキテクチャのコンテキスト全体を理解して、STRIDE フレームワークを使用して脅威を特定し、推奨される緩和策を提示します。
  • Kiro パワー、Claude Code プラグイン、および MCP 統合 – オープンな MCP 統合を通じて、IDE、CLI、または AI を利用した IDE から直接、コードレビューの実行、脅威モデルの生成、および検出結果の是正を行うことができます。結果はコンテキストを切り替えることなく、インラインで表示されます。

各リリースの詳細を見てみましょう!

コードレビューのアップデート
GitHub に加えて、GitLab と Bitbucket にも接続できるようになりました。SaaS バージョンとセルフホストバージョンの両方をサポートしているため、コードが存在する場所にかかわらず、スキャンをトリガーできます。また、Confluence を統合して、既存のドキュメントをレビューのコンテキストとして参照することもできます。

開始するには、[コードレビューを有効にする] を選択するか、またはセキュリティエージェントコンソールでコードレビューの設定を更新します。

AWS セキュリティエージェントは、パターンマッチングでは検出できない複雑な脆弱性を特定するために、あらゆるプルリクエストとリポジトリ全体に対する高度な推論ベースの分析を提供します。組織のセキュリティ要件と一般的なセキュリティリスクに照らしてチェックすることで、他のツールでは検出できない脆弱性を検出します。開始するには、セキュリティエージェントのウェブアプリケーションにアクセスしてコードレビューを実行します。

セキュリティチームがモニタリング対象のリポジトリを設定し、重大な問題に介入している間、修正コミットと是正ガイダンスが GitHub、GitLab、または Bitbucket のワークフロー内で直接提供されます。AWS セキュリティエージェントは、悪用可能性を実証するために、シミュレーション環境で検出結果を検証します。これにより、すべてのリポジトリにセキュリティの専門知識が組み込まれ、開発パイプラインにおけるセキュリティ関連の遅延を削減できます。

新しいコードレビュー機能の詳細については、「AWS セキュリティエージェントユーザーガイド」の「Create a code review」にアクセスしてください。

設計レビューの更新
マネージドコンプライアンスパック (AWS WAFNIST CSFPCI DSS、AWS ベストプラクティス) を使用することで、あらゆる設計およびコードレビューにおいてセキュリティ要件を継続的に検証できます。また、社内ドキュメントや Confluence から直接、組織独自の要件をインポートすることも可能です。あらゆる検出結果はコンプライアンス体制にマッピングされるため、チームは構築を進めながら監査対応体制を維持できます。

詳細については、設計レビューのドキュメントにアクセスしてください。

脅威モデリング
AWS セキュリティエージェントは、設計ドキュメントまたはコードリポジトリに基づいて脅威モデルを生成し、データフロー、アーキテクチャ、信頼の境界など、アプリケーションに関するコンテキストを作成および構築します。アプリケーションのすべてのコンポーネントをマッピングし、潜在的な脅威アクターと攻撃ベクトルを特定するとともに、脆弱性が存在する可能性のある箇所を特定して、脅威に優先順位を付けることで、最初に対処すべき脅威を明確にします。

開始するには、セキュリティエージェントコンソール[脅威モデルを有効にする] と [ソースコードリポジトリを接続] を選択します。

詳細については、脅威モデリングのドキュメントにアクセスしてください。

AWS セキュリティエージェント用の Kiro パワーおよび Claude Code プラグイン
AWS セキュリティエージェントは、新しい Kiro パワーおよび Claude Code プラグイン (近日リリース予定) を導入します。アプリケーションを保護するために、オープン MCP 統合を通じてあらゆる AI IDE と統合できます。IDE から直接脅威モデルとコードレビューをトリガーでき、コンテキストを切り替えることなく、結果がインラインで表示されます。

開始するには、Kiro パワーをインストールし、プロンプトを実行します。Kiro パワーは、AWS セキュリティエージェントMCP サーバーを使用します。「Set up AWS Security Agent」と指示することで、パワーの使用を開始できます。Kiro は、エージェントスペースが存在するかどうかを確認し、既存のスペースを使用するか、または新しいスペースを作成するかをたずねます。

セキュリティエージェント向けの Kiro パワーを使用すると、Run a full security scan on this repo」と指示することで、構築する際にあらゆるプルリクエストで脆弱性を検出し、リポジトリ全体をスキャンして蓄積されたリスクを明らかにすることができます。セキュリティエージェントのパワーには、Kiro エージェントの処理完了後にコードレビュー差分スキャンを開始すべきかどうかを評価するエージェントフックが含まれています。本番にデプロイする前に、CLI からペネトレーションテストを実行して、ほとんどのスキャナーが見逃す脆弱性を見つけることができます。セキュリティエージェントは、あらゆる検出結果を検証し、すぐに実装できるコード修正を生成することで、ループを完結させます。

help me remediate my findings」と指示することで、検出結果を開発環境にプルできます。AWS セキュリティエージェント用の Kiro パワーは、検出結果をローカルワークスペースにダウンロードし、最も重要な検出結果を優先して、バグ修正仕様セッションの開始を提案します。使い慣れた IDE と既存のツール、ステアリング、パワー、および MCP サーバーを使用して、検出結果の修正をイテレーションできます。

また「Build a threat model for this application」と指示することによって、IDE で Kiro パワーを通じて脅威モデルを実行することもできます。生成された脅威モデルは .security-agent/threat_model.md に保存されます。

詳細については、セキュリティエージェント用の Kiro パワーにアクセスしてください。

今すぐご利用いただけます
AWS セキュリティエージェントは、設計段階のセキュリティ (設計レビューと脅威モデリングはプレビュー)、開発段階のセキュリティ (コードレビューはプレビュー)、デプロイ段階のセキュリティ (ペネトレーションテストは一般提供開始) を、単一の統合エージェントソリューションでカバーすることで、ソフトウェア開発ライフサイクル全体にわたる完全なセキュリティコンテキストを理解します。詳細については、AWS セキュリティエージェントの製品ページ技術文書をご覧ください。

これらの機能は、AWS セキュリティエージェントが利用可能な AWS 商用リージョンでご利用いただけます。リージョンごとの提供状況や今後のロードマップについては、「AWS Capabilities by Region」にアクセスしてください。料金に関する詳細と、2 か月間の無料トライアルオファーへのアクセスについては、AWS セキュリティエージェントの料金ページにアクセスしてください。

セキュリティエージェントのコンソールでお試しいただき、AWS re:Post for Security Agent 宛てに、または通常の AWS サポートの連絡先担当者を通じて、フィードバックをぜひお寄せください。

Channy

原文はこちらです。