Amazon Web Services ブログ

【公共向け】Claude Mythos 時代の脅威対策ワークショップ開催報告 & 耐障害性ライフサイクル実践ワークショップのご案内

みなさん、こんにちは。ソリューションアーキテクトの武松です。

AWS は数十年にわたり、世界中で事業を展開する何百万のお客様を同時に保護するためのプロセスとツールを開発してきました。AWS のセキュリティチームと脅威インテリジェンスチームは、日々 AI と自動化を駆使した取り組みを続けています。たとえば AI を活用したログ分析により、SecOps エンジニアがセキュリティログの分析に要する時間は平均 6 時間からわずか 7 分へと短縮され、この 50 倍もの生産性向上により脅威の検出と対応をかつてないスピードで行えるようになっています。あるお客様を保護する過程で得た知見は、すべてのお客様の保護に役立ちます。この規模で運用しているからこそ、新たに検出した脅威がすべてのお客様の防御強化に直結します。AI はすでにその中核を担っています。

2026 年 4 月 7 日、Anthropic が Project Glasswing を発表しました。世界で最も重要なソフトウェアの保護と、AI の進化に伴い業界に求められるサイバーセキュリティの実践を前進させることを目的としたイニシアチブです。これを支えるのが、サイバーセキュリティにおける推論能力と AI 能力の飛躍的な進歩を実現する新しいクラスの AI モデル Claude Mythos です。Claude Mythos は Anthropic のこれまでのフロンティアモデルを上回る知性と能力を備え、サイバーセキュリティやソフトウェアコーディング、複雑な推論タスクで高いパフォーマンスを発揮します。Project Glasswing の一環として、AWS では継続的な AI セキュリティレビューが行われている重要なコードベースに Claude Mythos をすでに適用しています。十分にテストされた環境であっても、コードをさらに強化できる箇所の特定に役立っています(参考:「AI を活用した大規模なセキュリティ防御の構築 — 脅威が出現する前に」)。

しかし、こうした強力な AI は防御側だけのものではありません。国家レベルの攻撃者やランサムウェアオペレーター、サプライチェーン攻撃者も、すでに AI を活用して攻撃のスケールを拡大しています。

AWS Japan パブリックセクター技術統括本部では、2026 年 4 月より、官公庁・自治体・教育・医療などパブリックセクターのお客様向けのセキュリティワークショップシリーズを月次で開催しています。4 月・5 月の第 1 回・第 2 回ではランサムウェア対策をテーマに、Amazon GuardDutyAWS Security Hub を用いた脅威検知と統合セキュリティ管理を扱いました(参考:「第 1 回・第 2 回の開催レポート」)。続く 6 月・7 月の第 3 回・第 4 回では、金融庁が対応を要請し、厚生労働省が医療機関等との意見交換を開始するなど状況が急速に変化する中、一刻も早く実践的な対策をお届けすべく、テーマを「Claude Mythos 時代の脅威への対応」とし、第 3 回で Amazon Inspector、第 4 回で AWS Security Agent を用いたハンズオンを実施しました。

本記事では第 3 回・第 4 回の開催レポートをお届けします。

ワークショップの概要

第 3 回・第 4 回のワークショップは「Claude Mythos 時代の脅威への対応」を共通テーマとしています。講師はシニア セキュリティ ソリューションアーキテクトの中島 章博氏が務めました。セキュリティは組織全体で取り組むテーマであることを踏まえ、考え方を理解する座学と手を動かすハンズオンの 2 部構成とすることで、幅広い立場の方にメリットがあるよう工夫しています。前半の座学でフロンティア AI 時代の脅威動向やセキュリティ対策の考え方を解説し、後半はハンズオン形式で実際に AWS のセキュリティサービスを体験していただきました。

座学では、Claude Mythos / Project Glasswing の登場により今後予想される 2 つの脅威を解説しました。(1) 大量の脆弱性が公開されパッチ適用が追いつかなくなる N デイ攻撃の増加と、(2) フロンティア AI の一般化によるサイバー攻撃高度化とゼロデイ攻撃の増加です。対応策として、前者にはパッチ適用の日常業務化やマネージドサービスの活用、後者には AI を活用した脆弱性スキャンとセキュリティレビューをご紹介しました。これらの対策を実践するハンズオンとして、第 3 回では Amazon Inspector による脆弱性管理とパッチ運用の自動化を、第 4 回では AWS Security Agent による設計レビュー・コードレビュー・自動ペネトレーションテストを通じた AI エージェントによるプロアクティブなセキュリティ評価を体験いただきました。

Claude Mythos 時代のサイバーセキュリティ

Claude Mythos 時代のサイバーセキュリティ

第 3 回: Amazon Inspector で実現する脆弱性管理(2026 年 6 月 12 日)

Amazon Inspector とは

Amazon Inspector は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、コンテナイメージ、AWS Lambda 関数などのワークロードやコードリポジトリを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかスキャンする脆弱性管理サービスです。

ハンズオン概要

参加者一人ひとりにワークショップ専用の AWS サンドボックス環境が払い出されます。この環境には複数の Amazon EC2 インスタンス、コンテナイメージ、Lambda 関数があらかじめデプロイされており、Amazon Inspector が継続的にスキャンし脆弱性を検出しています。参加者はセキュリティ担当者の立場で、検出(Detect)→ 優先順位付け(Prioritize)→ 修復(Remediate)の一連の流れを体験します。

ハンズオンは「基礎・検出」「修復・自動化」の 2 パートで構成されています。

前半の基礎・検出パートでは、Amazon Inspector ダッシュボードでカバレッジと脆弱性の全体像を把握し、検出結果の重大度・影響リソースの読み方を学びます。抑制ルールによるノイズ削減や、CVE 脆弱性データベースでの CVSS スコアの調査も行います。

後半の修復・自動化パートでは、AWS Systems Manager Patch Manager を使い、Amazon Inspector が検出した脆弱性に対してフリート全体でパッチを一括適用します。パッチベースラインの定義から、Run Command による Amazon EC2 インスタンスのスキャンと不足パッチのインストール、パッチポリシーによるスケジュール設定まで実施いただきました。そして、パッチ適用後に Amazon Inspector が再スキャンし、検出結果が自動的にクローズされる継続的な脆弱性管理の流れを体験いただきました。さらに、Lambda 関数のコードスキャンで検出された脆弱性を修正して Amazon Inspector で修復を確認するサーバーレスの脆弱性管理や、Amazon Inspector SBOM Generator と Inspector Scan API を組み合わせた CI/CD パイプラインへの脆弱性スキャン統合にも取り組みました。

「Amazon Inspector を有効にしたが、検出結果の優先順位付けや実際のパッチ適用プロセスをどう自動化すればよいかわからない」という方にとって、開発ライフサイクル全体(コード → ビルド → デプロイ → 実行)での脆弱性管理を安全な環境で体験できる内容です。ワークショップ教材は「アプリケーションセキュリティワークショップ」として公開しています。

Amazon Inspector ワークショップ環境の概要

Amazon Inspector ワークショップ環境の概要

第 4 回: セキュリティ運用を支援する AWS Security Agent(2026 年 7 月 2 日)

AWS Security Agent とは

AWS Security Agent は、すべての環境における開発ライフサイクル全体でアプリケーションを積極的に保護するフロンティアエージェントです。お客様のアプリケーションに合わせたオンデマンドのペネトレーションテストを実施し、確認済みのセキュリティリスクを発見して報告します。また、お客様の要件に合わせてカスタマイズされた自動セキュリティレビューを実施し、設計からデプロイまでセキュリティを統合することで、脆弱性を早期かつ大規模に防ぐのに役立ちます。

ハンズオン概要

第 3 回と同様に参加者ごとにサンドボックス環境が払い出されます。この環境には、学習用に意図的に脆弱性を持たせた架空の Web サイト Juice ShopAWS Fargate 上にデプロイされており、AWS Security Agent が設計・コード・本番環境をそれぞれ検証できる状態になっています。参加者はセキュリティ担当者の立場で、要件定義(Requirements)→ 設計レビュー(Design Review)→ コードレビュー(Code Review)→ ペネトレーションテスト(Pentest)の一連の流れを体験します。

ハンズオンは 4 つのモジュールで構成されています。

  • Module 1(セキュリティ要件): AWS Security Agent がレビュー時に適用するセキュリティ基準を定義します。業界標準とベストプラクティスに基づき AWS が提供・維持するマネージドセキュリティ要件に加え、組織固有のポリシーに対応するカスタムセキュリティ要件(JWT 認証のベストプラクティス、FTP/SFTP によるファイルホスティングの禁止など)を作成しました。
  • Module 2(設計レビュー): Juice Shop アプリケーションの詳細な設計ドキュメントをアップロードし、Module 1 で定義したセキュリティ要件と照らし合わせた設計レビューを実施します。コードを書く前の段階で JWT 実装の問題などアーキテクチャ上のセキュリティ課題を発見できることを体験いただきました。
  • Module 3(コードレビュー): リポジトリ全体を対象としたコードスキャンと、GitHub プルリクエストに対する自動分析の 2 種類のコードレビューを実施しました。設計レビューで指摘された JWT の問題をコードで修正し、PR を作成して AWS Security Agent からのフィードバックを確認しました。
  • Module 4(ペネトレーションテスト): AWS Security Agent が Juice Shop に対して自律的に実行した自動ペネトレーションテストの結果を調査します。SQL インジェクションなどの確認済み脆弱性を AWS CloudShell から実際に再現し、検出結果の信頼性を確認しました。

「ペネトレーションテストを実施したいが、人手やコストの制約でなかなか実施できない」「開発ライフサイクル全体でアプリケーションを積極的に保護したい」という方にとって、AI エージェントを活用したセキュリティ運用の実践を体験できる内容です。ワークショップ教材は「AWS Security Agent ハンズオン: プロアクティブな AppSec と自律型ペネトレーションテスト」として公開しています。

AWS Security Agent ワークショップ環境の概要

AWS Security Agent ワークショップ環境の概要

参加者からのフィードバック

第 3 回は計 122 名、第 4 回は 59名 の方にご参加いただき、ご好評をいただきました。官公庁・教育・医療など幅広い組織からご参加いただいています。「とても分かりやすい座学・ハンズオンだった」「自組織での活用イメージが湧いた」「Inspector を利用してみたい」など、日々の運用に直結する学びを得られたというフィードバックをいただきました。

まとめと今後の取り組み

本ワークショップシリーズは、皆様のご要望に応じて今後も継続的に開催予定です。第 5 回(2026 年 8 月 21 日)は「耐障害性ライフサイクル実践ワークショップ ― FlyWheel で回す継続的なレジリエンス強化」をテーマに、たこ焼き注文システムを題材にした耐障害性ライフサイクルの各ステージを実践いただきます。ご関心のある方は担当の AWS アカウントチームまでお気軽にお声がけください。

ワークショップで学んだ内容を次のアクションにつなげるために、AWS では以下のようなセキュリティ支援を提供しています。

  • AWS セキュリティ成熟度モデル: 組織のセキュリティ対策の現在地を把握し、次に取り組むべき施策を明確にするフレームワークです。脆弱性管理やポスチャ管理が自組織ではどの段階にあるのか、確認してみてはいかがでしょうか。
  • 脅威モデリングワークショップ: 設計段階からセキュリティを組み込みたい方に向けて、サンプルシステムを対象としたワークショップ形式のほか、実際のワークロードを対象とした個別支援も実施しています。
  • Security Health Improvement Program (SHIP): お客様のセキュリティ状況を可視化し、改善に向けた具体的なアクションプランの策定と実行を継続的に支援するプログラムです。自組織のセキュリティを体系的に強化したい方におすすめです。詳しくは「AI 時代におけるセキュリティ体制の強化」もあわせてご覧ください。

上記の支援にご興味がある方は、担当の AWS アカウントチームまでお気軽にお声がけください。

著者

武松 未来 (Mirai Takematsu) — AWS Japan, Public Sector, Associate Solutions Architect
今井 真宏 (Masahiro Imai) — AWS Japan, Public Sector, Solutions Architect