AWS re:Inforce 2025: アプリケーションセキュリティ

本ブログは 2025 年 5 月 28 日に公開された Blog “Application security at re:Inforce 2025” を翻訳したものです。

カンファレンスパスの料金は 1,099 ドルです。今すぐ登録して、コード flashsale150 を使用すると、数量限定で 150 ドルの割引が受けられます。

訳注) 日本からご参加いただくお客様が利用できるカンファレンスパスのディスカウントコードをご用意しました。コード JAPbHNlXWaI2 を利用することで 500 USD の割引を受けることができます。数に限りがございますので、お早めにご登録ください！

2025 年 6 月 16 日～18 日、フィラデルフィアで開催される AWS re:Inforce にぜひご参加ください。クラウドセキュリティ、コンプライアンス、ID、プライバシーに関するスキルと自信を高めることができます。参加者は、数百の技術的・非技術的セッション、Amazon Web Services (AWS) の専門家と AWS セキュリティコンピテンシーパートナーが出展する展示会、業界リーダーによる基調講演にアクセスできます。AWS re:Inforce では、アプリケーションセキュリティ (AppSec) を含む主要なセキュリティ分野に包括的に焦点を当てています。

2025 年の AppSec の主要テーマ

AppSec トラックでは、開発ライフサイクル全体を通じてアプリケーションを保護するためのベストプラクティスを理解し実装するのに役立ちます。2025 年は、いくつかの重要なテーマに焦点を当てています：

迅速かつセキュアにリリースするための組織戦略

セキュリティのオーナーシップ、DevSecOps などのパートナーシップ、包括的なアプリケーションセキュリティプログラム、アプリケーションセキュリティの専門知識を開発チームへの展開する方法について学びましょう。これらのセッションでは、スピードを犠牲にすることなく、組織がセキュリティを開発プロセスに組み込む方法を探り、セキュリティ責任を効果的に委譲させる実践的なアプローチに焦点を当てています。

設計段階からのセキュリティ

ソフトウェアアーキテクチャと設計の初期段階にセキュリティ原則を組み込むことで、脆弱性を早期に軽減し、リスクを最小限に抑え、セキュリティをコアビジネス要件として認識します。先進的な組織がセキュリティをアドオンではなく基盤要素として実装する方法を学びましょう。

パイプラインのセキュリティ

パイプラインのセキュリティには、Supply chain Levels for Software Artifacts (SLSA)、Supply Chain Integrity, Transparency, and Trust (SCITT)、コード署名を含むパイプラインを保護するためのツール、リファレンスアーキテクチャ、ベストプラクティスが含まれます。アプリケーションを構築・デプロイするシステムとプロセスを保護する方法を発見しましょう。

パイプライン内のセキュリティ

パイプライン内のセキュリティは、静的解析、動的解析、責任ある AI テスト、ソフトウェアコンポジション分析、形式手法 (自動推論)、依存関係追跡などのテスト手法によって部分的に実現されます。これらのセッションでは、開発ライフサイクル全体に包括的なセキュリティテストを統合する方法を紹介します。

以下のセクションでは、今年の AppSec トラックで行われる最も興味深いセッションの一部をご紹介します。完全なリストは、re:Inforce 2025 カタログをご覧ください。

ブレイクアウトセッション、チョークトーク、ライトニングトーク、コードトーク

APS204 | ブレイクアウトセッション | Scaling security with Sportsbet’s Security Guardians program (Sportsbet のセキュリティガーディアンプログラムによるセキュリティのスケーリング)
セキュリティガーディアンプログラムは、セキュリティ専門知識を構築し埋め込むことで、アプリケーションチーム全体でセキュリティをスケールするのに役立ちます。Sportsbet のプログラムを詳しく掘り下げ、始め方、考慮すべき主要フェーズ、新しいガーディアンの最初の学習ステップについて学びます。得られた教訓、一般的な課題、長期的な成功のためにプログラムを改良する方法を発見しましょう。アプリケーションチームに早期にセキュリティを統合することで、Sportsbet は共有責任の文化を育み、開発速度を落とすことなくセキュリティポスチャを向上させています。セキュリティガーディアンプログラムを立ち上げ、発展させて組織全体に実際の影響を与えるための実践的な洞察を提供します。

APS301 | ブレイクアウトセッション | Improve code quality with Amazon Q Developer (Amazon Q Developer によるコード品質の向上)
Amazon Q Developer は、コード作成だけでなく、ドキュメントの改善、ユニットテストの生成、コードレビューの自動化も可能な生成 AI アシスタントです。このセッションでは、ソフトウェアコンポジション分析 (SCA)、静的アプリケーションセキュリティテスト (SAST) などを使用してセキュリティ問題を検出するために、Amazon Q Developer をソフトウェア開発ライフサイクルに統合する方法を発見します。統合開発環境 (IDE) と DevSecOps ツール内で Amazon Q Developer の機能を使用してコードベースの品質を向上させる方法を学びましょう。

APS401 | ブレイクアウトセッション | Build verifiable apps using automated reasoning and generative AI (自動推論と生成 AI を使用した検証可能なアプリの構築)
大規模言語モデル (LLM) は創造的なソリューションの生成に優れており、自動推論ツールは厳密な検証を可能にします。このセッションでは、より信頼性の高い AI システムを作成するために、これらの相補的な強みを組み合わせる方法論を探ります。このセッションでは、自動推論を紹介し、形式手法が生成 AI をどのようにガイドし制約できるかを実演します。確率的アプローチと記号的アプローチを組み合わせることで、創造的能力を維持しながら検証可能な出力を確保するハイブリッドシステムの構築方法を示します。Amazon Q Developer と Amazon Bedrock ガードレール が自動推論を使用して、ハルシネーションのない安全で論理的に正しい出力を生成する方法をデモンストレーションします。

APS431 | チョークトーク | DevSecOps in action with Visual Studio Code & AWS IAM Access Analyzer (Visual Studio Code と AWS IAM Access Analyzer による DevSecOps の実践)
組織は AWS Identity and Access Management (IAM) ポリシーを管理する際、開発者の生産性とセキュリティコンプライアンスのバランスという重要な課題に直面しています。このセッションでは、AWS IAM Access Analyzer を Visual Studio Code と統合することで、開発者が開発中に安全な IAM ポリシーを作成できるようにする方法を発見します。過度に許容的な権限を早期に検出し、組織の標準に対して検証し、リアルタイムのフィードバックを提供する自動ポリシーチェックの実装方法を学びましょう。このプロアクティブなアプローチは、セキュリティチームが制御を維持しながら開発者に必要な自律性を与え、最終的にデプロイリスクを軽減し、貴重な開発時間を節約するのに役立ちます。

APS341 | コードトーク | Move fast and stay secure: Lessons learned from the AWS prototyping team (迅速に進みながらセキュリティを確保する: AWS プロトタイピングチームから学ぶ教訓)
生成 AI やサーバーレスなどのテクノロジーを使用してプロトタイプやアプリケーションを構築する際、迅速かつ安全に進めることが重要です。このコードトークでは、AWS プロトタイピングチームがこれらの目標をどのようにバランスよく達成しているかを学びます。ユーザーの需要に応えるため、AWS は短期間でプロトタイプを構築しながら、高いセキュリティ基準を満たしています。脅威モデリングから AWS Cloud Development Kit (AWS CDK) の機能、カスタムコンストラクト、ブループリントの活用まで、インフラストラクチャのセキュリティを強化し生産性を向上させるためのポイント、ヒント、テクニックを学びましょう。

APS441 | コードトーク | Supercharge IaC security with AI: From commit to auto-remediation (AI で IaC セキュリティを強化: コミットから自動修復まで)
Git コミット署名、静的解析、生成 AI を組み合わせた自動セキュリティフィードバックループの構築について詳しく学びます。このセッションでは、ライブコーディングを通じて、Amazon Q Developer と Amazon Bedrock を使用して Infrastructure as Code (IaC) テンプレートを分析し、問題を自動的に検出・解決し、状況に応じた修正推奨事項を生成する方法を紹介します。セキュリティ検出結果のコミットベースの追跡方法、問題の自動作成方法、CI/CD パイプラインとの統合方法を学びましょう。脆弱性の検出から修復までの時間を数日から数分に短縮する完全なシステムの構築をご覧ください。

APS442 | コードトーク | Create memory safe applications using open source verification tools (オープンソース検証ツールを使用したメモリ安全なアプリケーションの作成)
メモリ安全性のエラーは、さまざまな攻撃ベクトルを可能にする重大なセキュリティリスクをもたらします。AWS では、顧客データやプロセスを扱う非管理コードのメモリ安全性を優先しています。このトークでは、Rust と C コードのメモリ安全性エラーを削減するための 2 つの取り組みを紹介します。どちらの取り組みも、Rust と C コードのメモリ安全性を大規模に検証するための検証ツールの開発を含み、皆さんが利用できるものです。最初の取り組みでは、何百万人もの開発者が使用する中核的なソフトウェアリソースである Rust 標準ライブラリを検証します。2 つ目の取り組みでは、C モデルチェッカーを使用して C コードの安全性と正確性を検証します。

APS221 | ライトニングトーク | Building secure development into Amazon stores (Amazon ストアにセキュアな開発を組み込む)
Amazon.com は長い間、顧客データを保護するための堅牢なセキュリティ対策への投資の最前線にいました。デジタル環境が進化するにつれて、私たちの戦略も進化しています。このセッションでは、AWS サービスを使用してソフトウェア開発ライフサイクル全体にセキュリティを統合することに焦点を当て、セキュリティプラクティスの継続的な改善の旅を探ります。Amazon.com が開発の各段階にセキュリティを組み込むために使用している最先端の方法を共有し、成功事例と学びについて議論します。開発者と顧客のニーズの変化に対応するために戦術をどのように適応させてきたか、そして顧客データ保護への取り組みをこれまで以上に強化する方法を発見するためにご参加ください。

APS222 | ライトニングトーク | Transform threat modeling using generative AI (生成 AI を活用した脅威モデリングの変革)
インドの最大級のフィンテック企業の一つである CRED が、生成 AI を活用してアプリケーション全体の脅威モデリングを自動化した方法をご紹介します。CRED がセキュリティ分析をスケールし、リスク識別を改善し、意思決定を強化するために活用したアーキテクチャパターンを学びましょう。Amazon Bedrock を使用してセキュリティモデリングワークフローに AI を統合する実践的な例をご覧ください。

SEC221 | ライトニングトーク | Raising the tide: How AWS is shaping the future of secure AI for all (潮位を上げる: AWS が全ての人のためのセキュアな AI の未来を形作る方法)
AI セキュリティは AWS の最優先事項です。設計段階からセキュアな AI ソリューションを構築することで、AWS は新たな脅威を軽減しながら、自信を持って迅速にイノベーションを実現できるよう支援します。しかし、AI のセキュリティ確保は個々の組織を超えた、業界全体の標準とベストプラクティスを必要とします。AWS は、AI 技術の安全性、回復力、信頼性を確保するために、Secure AI Coalition (CoSAI) などの業界標準団体への参加を含め、グローバルな AI セキュリティの取り組みに積極的に貢献しています。このセッションでは、AWS が AI セキュリティのイノベーションをリードし、顧客を保護し、業界全体の AI セキュリティの未来を形作るために協力している方法を探ります。

ワークショップとビルダーセッション

APS351 | Securing generative AI agents using AWS Well-Architected Framework (AWS Well-Architected フレームワークを使用した生成 AI エージェントのセキュリティ確保)
AWS Well-Architected フレームワーク生成 AI レンズ のセキュリティベストプラクティスに従って、セキュアな生成 AI エージェントソリューションを構築する方法を実践的に学びます。エンドポイントセキュリティ、プロンプトエンジニアリングガードレール、監視システム、過剰なエージェンシーからの保護の実践的な実装を通じて、本番環境に対応した生成 AI エージェントを構築します。ハンズオン演習を通じて、Amazon Bedrock、Amazon CloudWatch、IAM などを使用して、これらのコントロールを組み込んだセキュアな生成 AI エージェントソリューションを AWS 上に構築します。参加にはノートパソコンをご持参ください。

APS353 | Red-teaming your LLM security at scale (LLM セキュリティのスケールに応じたレッドチーム演習)
GenAI レッドチームチャレンジで AI を活用したレッドチーム攻撃者の立場を体験してください。この集中ワークショップでは、AI セキュリティエージェントを展開して、プロンプトインジェクションから境界テストまで、生成 AI アプリケーションに対する高度な攻撃チェーンを体系的に発見・悪用しながら、自動化されたセキュリティテストワークフローをマスターします。さらに、プロンプトテンプレートからガードレールまでの対策の適用方法を学びます。このハンズオン形式のゲーム化された体験は、脅威アクターのように考える助けとなり、LLM ベースのアプリケーションに対する MITRE や OWASP の一般的な脆弱性に対する自動化された脆弱性テストとリスク軽減の実践的なスキルを身につけることができます。参加にはノートパソコンをご持参ください。

APS354 | Secure your application using AWS services and open source tooling (AWS サービスとオープンソースツールを使用してアプリケーションを保護する)
AWS、オープンソース、およびパートナーツールが連携して、ソフトウェア開発ライフサイクルを加速します。オープンソースのアプリケーションセキュリティツールである Automated Security Helper (ASH) を使用して、さまざまなセキュリティテストツールをソフトウェアのビルドおよびデプロイフローに迅速に統合する方法を学びましょう。AWS のエキスパートが、ローカルマシンでのセキュリティテストと、サンプルの生成 AI アプリケーションを使用したシミュレーションパイプライン内でのテストプロセスをガイドします。静的解析、ソフトウェアコンポジション分析、およびインフラストラクチャ・アズ・コードテストを通じてアプリケーションの潜在的なセキュリティ問題を特定し、Amazon Q Developer を使用して結果を確認し、修復策を生成する方法を発見しましょう。参加するにはラップトップを持参する必要があります。

APS271 | Threat modeling for builders (ビルダーのための脅威モデリング)
このワークショップでは、脅威モデリングの中核概念と、一連のグループ演習を通じてそれらを適用する方法を学びます。主要なトピックには、脅威モデリングのペルソナ、主要フェーズ、データフロー図、STRIDE (なりすまし、改ざん、否認、情報漏洩、サービス拒否、および権限昇格)、およびリスク対応戦略が含まれます。脅威文法ルールと関連ツールを紹介します。演習では、脅威モデリングのペルソナそれぞれの視点から脅威と緩和策を特定します。グループに分かれて導入事例を検討します。AWS の脅威モデリングの専門家がガイドとフィードバックを提供します。参加するにはラップトップを持参する必要があります。

APS371 | Securing your generative AI applications on AWS (AWS での生成 AI アプリケーションのセキュリティ確保)
このワークショップでは、AWS サービスと機能を使用して生成 AI アプリケーションを保護する方法を発見します。脆弱性のあるサンプルの生成 AI アプリケーションをデプロイし、セキュリティコントロールを層状に適用してセキュリティ問題から保護、検出、対応する方法を探ります。組織内の生成 AI アプリケーションに同様のコントロールを適用する方法を学びましょう。参加するにはラップトップを持参する必要があります。

APS471 | Boost developer productivity with Amazon Q Developer and Amazon Bedrock (Amazon Q Developer と Amazon Bedrock で開発者の生産性を向上させる)
Amazon Q Developer と Amazon Bedrock で開発を加速しイノベーションを推進しましょう。AI を活用した自動化とインテリジェントなコード支援が、摩擦を減らし、開発サイクルを短縮し、コード品質を向上させる方法を発見します。AI 駆動のコードレビュー、自動テスト、スマートなドキュメント生成などの実際のユースケースを探ります。これらのツールをワークフローにシームレスに統合して効率性を高め、コラボレーションを強化し、セキュリティとコンプライアンスを確保しながら開発者エクスペリエンスを向上させる方法を学びましょう。既存のプロセスを最適化する場合でも、初めて AI を採用する場合でも、このセッションは開発チームを強化するための実用的な洞察を提供します。参加するにはラップトップを持参する必要があります。

まとめ

この投稿では、今後開催される AWS re:Inforce 2025 カンファレンスで利用可能な AppSec セッションの一部をご紹介しました。これらのトピックに興味がある方は、AWS re:Inforce 2025 に登録して、これらのセッションや他のセキュリティドメイントラックの多くのセッションに参加することをお勧めします。すべてのセキュリティトラックにわたるセッションの全範囲を確認するには、AWS re:Inforce カタログをご覧ください。

この記事に関する質問がある場合は、AWS サポートにお問い合わせください。