Amazon Web Services ブログ

株式会社デジナーレが Strands Agents と AgentCore で実現した脆弱性情報収集の完全自動化

本ブログは 株式会社デジナーレ 様と Amazon Web Services Japan 合同会社が共同で執筆いたしました。

みなさん、こんにちは。ソリューションアーキテクト 伊勢田氷琴です。

セキュリティ脆弱性への対応は、現代のソフトウェア開発において避けて通れない重要な業務です。しかし、日々公開される膨大な脆弱性情報を収集し、自社システムへの影響を分析する作業は、多くの企業にとって大きな負担となっています。この記事では、株式会社デジナーレ様が Amazon BedrockStrands AgentsAmazon Bedrock AgentCore Runtime を活用して、脆弱性情報の収集から分析、レポート作成までを完全自動化したシステムを構築した事例をご紹介します。

多くの企業が直面するセキュリティ脆弱性管理の課題

株式会社デジナーレは、新サービス・UI 企画開発、UI プロトタイピング、自社事業展開を手がける企業です。同社では、自社で開発・運用するシステムのセキュリティを維持するため、日々公開される脆弱性情報を継続的に監視する必要がありました。

従来の脆弱性管理プロセスでは、エンジニアが複数の脆弱性情報サイトを手動で巡回し、関連する情報を収集・分析していました。この作業には毎日数時間が必要で、特に重要な脆弱性が公開された際には、迅速な対応が求められるため、担当者の負担は大きなものでした。また、情報の見落としや分析の遅れが、セキュリティリスクの増大につながる可能性もありました。

デジナーレ様が構築した脆弱性情報自動収集システムは、これらの課題を解決し、エンジニアが本来の開発業務に集中できる環境を実現しました。

生成 AI エージェントによる自動化を選択した理由

デジナーレ様は、この課題を解決するために、生成 AI エージェント技術の活用を検討しました。AWS を選択した理由は以下の通りです。

まず、Amazon Bedrock が提供する高性能な基盤モデルにより、複雑な脆弱性情報の理解と分析が可能になると判断しました。特に Claude などのモデルは、技術文書の読解と要約に優れた性能を発揮します。

次に、Strands Agents フレームワークの存在が大きな決め手となりました。Strands Agents は、複雑なエージェントループやツール利用の実装を抽象化し、開発者が本質的なビジネスロジックに集中できる環境を提供します。特に Agent Workflows 機能により、複数のエージェントを協調させた段階的な処理を簡潔に実装できる点が魅力的でした。

さらに、AgentCore Runtime により、開発したエージェントを AWS クラウド上に迅速かつセキュアにデプロイできることも重要なポイントでした。サーバーレスアーキテクチャにより、運用負荷を最小限に抑えながら、スケーラブルなシステムを構築できます。

ソリューションの概要

デジナーレ様が構築したシステムは、脆弱性情報の自動収集エージェントを中心に、フロントエンドとバックエンドで構成されています。

システム全体は、AWS LambdaAmazon DynamoDBAmazon CognitoAmazon S3Amazon CloudFrontAmazon API Gateway で構成されています。フロントエンドは S3 と CloudFront から配信され、バックエンドは Lambda 関数と API Gateway で構成されます。過去の調査ログやレポートは DynamoDB に保存され、いつでも参照可能です。

図1: 脆弱性情報収集システムのアーキテクチャ

Strands Agents で実装したエージェントは AgentCore Runtime にデプロイされており、定時実行により前日に公開された脆弱性情報を自動的に収集・分析します。

協調する 3 つの AI エージェントによる段階的処理

脆弱性情報収集エージェントは、Strands Agents の Agent Workflows 機能を使用して実装された 3 段階のワークフローで構成されています。この設計により、脆弱性調査という定型作業を再現性のある「決定的なワークフロー(Deterministic Workflow)」に迅速に落とし込むことができました。


図2: 調査、執筆、校正の3段階で構成されるエージェントワークフロー

図2に示すように、システムは以下の3つのエージェントで構成されています。

第1段階:調査エージェント

エントリーポイントとなる調査エージェントは、以下の3つのツールを持っています。

  1. RSS ツール:複数の脆弱性公表サイトを RSS として登録し、最新情報を取得
  2. 脆弱性対応状況検索ツール:各脆弱性への対応状況を調査
  3. Web 検索ツール:関連情報を補完的に取得

これらのツールを組み合わせることで、脆弱性情報を体系的に調査します。

第2段階:執筆エージェント

調査結果は、次の執筆エージェントにコンテキストとして渡されます。執筆エージェントはファイル編集ツールを持った編集特化のエージェントであり、指定された形式で読みやすいレポート記事を作成します。

第3段階:校正エージェント

最後に、執筆エージェントの出力を校正エージェントが確認します。事前に指定した要件に合致しているかを判定し、例えば報告内容の脆弱性が既に対応済みであったり、古い情報を参照している場合には、調査エージェントにフィードバックして再調査・再作成を行います。

このフィードバックループにより、常に最新かつ正確な情報がレポートに含まれることが保証されます。

調査業務の完全自動化による業務変革

このシステムの導入により、デジナーレ様は大きな成果を得ることができました。

開発者の業務効率化

最も顕著な効果は、脆弱性情報の調査にかかる時間の削減です。Strands Agents と AgentCore Runtime により、従来は担当者が毎日数時間を費やしていた調査作業が、事実上ゼロ時間になりました。エンジニアは、システムが自動生成したレポートを確認し、必要な対応を判断するだけで済むようになったのです。

また、情報収集の網羅性と即時性も向上しました。人手による巡回では見落としの可能性がありましたが、自動化により複数のソースから漏れなく情報を収集できるようになりました。さらに、定時実行により、毎朝最新の脆弱性情報がレポートとして用意されているため、迅速な対応判断が可能になりました。

生成されるレポートの品質

システムが自動生成するレポートは、セキュリティ担当者が必要とする情報を網羅的かつ簡潔にまとめています。

図3: システムが自動生成した脆弱性情報レポートのサンプル

図3に示すように、生成されるレポートには以下の特徴があります。

  • 脆弱性の詳細情報:CVE 番号、影響を受けるバージョン、公開日などの基本情報が明確に記載
  • 影響範囲の可視化:リスクの説明が色分けにより強調され、一目で重要度を把握可能
  • 対応方針の明示:SDK のアップデート手順など、具体的な解決策がチェックリスト形式で提示
  • 一次情報へのアクセス:参照リンクが記載されており、詳細な技術情報への導線を確保

このように構造化された情報提示により、セキュリティ担当者は必要な情報に素早くアクセスし、適切な対応判断を下すことができます。

システムによる価値提供

レポート品質の向上は、Strands Agents の複数の特性が複合的に作用した結果です。エージェントの動作を完全に制御でき、カスタムツール(RSS、Web検索、ファイル編集など)を確実に統合でき、基盤モデルを各段階に最適なものに選択できるという特性により、3段階のワークフローで情報の収集、整理、検証が体系的に行われ、常に一定の品質を保ったレポートが生成されるようになりました。

組織への展開と影響

このソリューションは、デジナーレ様のグループ会社にも展開され、セキュリティ担当者を中心に約 10 名のメンバーに活用されています。各社のセキュリティ担当者が同じフォーマットのレポートを参照することで、グループ全体でのセキュリティ対応の標準化と効率化が実現されました。

生成 AI エージェント活用の今後の展開

デジナーレ様は、今回の成功を踏まえて、生成 AI エージェント技術のさらなる活用を検討しています。

脆弱性情報収集システムについては、現在は取得する一次情報のソースが固定化されているため、特定の情報が取得できないケースがあります。今後は、アカウント単位で取得元をカスタマイズできる機能の実装を予定しています。また、デフォルトの一次情報取得元を増やすとともに、より広範なネットワーク検索を行う仕組みの実装も検討しています。

Strands Agents と AgentCore Runtime の組み合わせにより、エージェント開発から本番運用までのサイクルが短縮されたことで、新しいアイデアを迅速に試すことができる環境が整いました。

お客様の声

本システムの開発を主導した安原氏(役職 x)は、今回の開発を振り返り次のようにコメントしています。

「Strands Agents を使用したシステムの構築を初めて行いましたが、様々な可能性を感じています。Strands Tools やオリジナルのツールを使って AI エージェントの動作を担保できる点が、今までとは違います。ワークフローでそれぞれのエージェントに専門性を持たせることによって、より精度の高いものが出来上がっていると感じました。」

まとめ

デジナーレ様の事例は、Strands Agents と AgentCore Runtime を活用することで、複雑な業務プロセスを効果的に自動化できることを示しています。

特に注目すべき点は、Agent Workflows による段階的な処理の実装により、調査、執筆、校正という明確な役割分担を持つエージェント群を構築できたことです。これにより、各エージェントの責務が明確になり、保守性の高いシステムを実現しています。

脆弱性管理をはじめとするセキュリティ業務の自動化は、多くの企業にとって重要な課題です。生成 AI エージェント技術は、こうした課題に対する有力な解決策となり得ます。

株式会社デジナーレ:CTO 津村 忠助様(左)、SE 安原 大喜様 様(右)

ソリューションアーキテクト 伊勢田氷琴