こんにちは。ソリューションアーキテクトの柴田です。

2025 年 11 月 21 日に「Security for App Builders @ Loft #1」イベントを目黒の AWS Startup Loft Tokyo にて開催しました。こちらは AWS 上のアプリケーションそのものや、SDLC (ソフトウェア開発ライフサイクル) におけるセキュリティの考え方にフォーカスした、開発者・セキュリティエンジニアの方向けのイベントです。第一回では特に Coding Agent が生成したコードの安全性の確保という課題に焦点を当てて開催しております。ご参加いただきました皆様には、改めて御礼申し上げます。

本ブログでは、当日の内容を簡単にご紹介しつつ、発表資料を公開いたします。

イベント概要

AI を活用した開発プロセスが浸透するに従い、必ずしもセキュリティに精通したエンジニアが関与できない状況で技術的な判断をする機会が増えつつあります。これにより、時に生成 AI や Coding Agent が生成したコードの安全性をどのように説明するかという点で、多くの開発者が悩みを抱えています。

本イベントは、こうした課題を抱えるアプリケーション開発者向けに、セキュリティの原理原則とプラクティスを学んでいただくことを目的にセッションを実施いたしました。セキュリティ組織の方々にとっても、開発現場とのコミュニケーションを円滑にするための知見を得られる内容となっています。また、セッション終了後はネットワーキングということで、各社プロダクトのセキュリティに関心を持つ方同士での情報交換も行われました。

以下、各セッションの概要と当日の様子を紹介いたします。

セッションの紹介

Opening Session : なぜ今アプリケーションセキュリティなのか

アマゾン ウェブ サービス ジャパン 合同会社 技術統括本部 デジタルサービス技術本部 ISV/SaaS ソリューション部 部長 大場 崇令

イベントの冒頭では、大場より、AI がコードを書く時代における新たなセキュリティ課題について解説しました。イベント直前に RC1 が公開された OWASP Top10:2025 をピックアップし、アプリケーションセキュリティにおいては、アクセスコントロールの欠陥、設計上の欠陥、サプライチェーン攻撃など、考慮すべき要素が時代と共に変化していることにも触れつつ、AWS 上でセキュアに開発を行うための考え方について全体感を説明しました。

セッション資料

ビルダーのための脅威モデリング

アマゾン ウェブ サービス ジャパン 合同会社 技術統括本部 エンタープライズ技術本部 ソリューションアーキテクト 泉 航

SDLC では不具合の修正は早いほどコストが低いと言われています。本セッションでは設計フェーズにおいて構造的欠陥を見つけ出す手段である脅威モデリングについて、どのような流れで進めるのか、効果的なアプローチや進めるためのフレームワークについて泉より解説しました。EC サイトに対する脅威を例に、STRIDE フレームワークによる脅威モデリングの進め方をご案内すると共に、これまで労力のかかっていた脅威モデリングの取り組みについても Kiro を用いることでより少ない準備時間でも脅威モデリングが実施できることを紹介しました。

セッション資料

セキュリティのシフトレフト

アマゾン ウェブ サービス ジャパン 合同会社 技術統括本部 デジタルサービス技術本部 ソリューションアーキテクト 吉田 裕貴

吉田からは、SDLC の各フェーズにおけるセキュリティの実践について、その重要性とどのようなツールが利用できるかを解説しました。DevSecOps の登場当時は一定の対応難易度の高さがあったものの、2025 年時点においては SAST / DAST などのツールが検出した結果を元に AI と対話しながら開発者自身で理解を進めることができるようになっています。こうした時代において、改めて Amazon Q Developer を用いた静的レビュー、パイプライン上での SCA、デプロイ後の監視など複数のツールを組み合わせて開発チームとしてシフトレフトの仕組みを実現する方法を紹介しました。

セッション資料

マネージドサービスによるアプリケーションセキュリティの実装

アマゾン ウェブ サービス ジャパン 合同会社 技術統括本部 デジタルサービス技術本部 シニアソリューションアーキテクト 柴田 龍平

最後のセッションでは、柴田より AI Coding 時代に求められる開発チームとセキュリティチーム間のコラボレーションについて触れ、「セキュリティガーディアン」と呼ばれる AWS 内部のプログラムをご紹介しながら、どのようにセキュリティを確保しながら AI による開発をスケールさせるかというお話をしました。セッションの後半では、認証や認可を例に可能な限りマネージドサービスを活用することで、Undeferenciated Heavy Lifting を減らすというお話をしました。本番稼働させるアプリケーションにおいては、安全性のため、そして将来のメンテナンス時のコンテキストのためにも、全てを AI に作り込ませず、可能な限りマネージドサービスや、スタンダードな技術を活用するよう Agent をコントロールしていくことの重要性をお伝えしました。

セッション資料

まとめ

本イベントではセッション後はネットワーキングの場もあり、参加された方からも「今回のセッションは意識付け、仕組みの導入など自社に必要なものが多く参加してよかった」「脅威モデリングを社内に広めていきたい」「セキュリティについて特別な対策はなく、今まで通りの考え方が重要であることが改めて理解できて良かった」とポジティブなフィードバックをいただきました。

本イベントをきっかけに、多くの開発者の皆様に AI Agent を活用しながらより安全で信頼性の高いアプリケーションを構築するためのヒントを得ていただければ幸いです。本文内へリンクされた各セッション資料も是非ご参考ください。各セッションでセキュリティ改善にも AI 自体を活用する、という点に触れておりましたが、12月に行われた re:Invent 2025 では SDLC 全体のアプリケーション保護を行うためのフロンティアエージェントとして AWS Security Agent もプレビューとして発表されておりますので、ぜひこちらもご確認ください。今後も、お客様のアプリケーション開発におけるセキュリティ向上を支援するため、このようなイベントを継続的に企画・開催してまいります。AWS のサービスを利用することをご検討いただいているお客様がいらっしゃいましたら、無料で個別相談会を開催しておりますので、こちらのリンクからぜひお申し込みください。

アマゾン ウェブ サービス ジャパン ソリューションアーキテクト 柴田 龍平