2026年3月31日、AWSはフロンティアAIエージェント「AWS Security Agent」のオンデマンドペネトレーションテスト機能を一般提供（GA）開始しました。従来2〜6週間かかっていたペネトレーションテストをわずか1〜2日に短縮できるこのサービスは、セキュリティ検証の在り方を大きく変えるものです。本記事では、AWS Security Agentの概要・仕組み・料金体系・セットアップ手順・活用方法を詳しく解説します。

AWS Security Agent とは

AWS Security Agentは、アプリケーション開発ライフサイクル全体を通じてプロアクティブにセキュリティを強化するフロンティアAIエージェントです。AWSが「フロンティアエージェント」と呼ぶこの新カテゴリは、個別のプロンプトに応答するのではなく、目標を達成するために自律的に動作する点が特徴です。

AWS Security Agentは以下の3つのフェーズでアプリケーションを保護します。

• 設計フェーズ：アーキテクチャ文書・設計ドキュメントに対するリアルタイムのセキュリティフィードバック
• 開発フェーズ：プルリクエスト時の自動コードセキュリティレビュー
• テストフェーズ：デプロイ前のオンデマンドペネトレーションテスト

対応環境はAWS単体にとどまらず、Azure・GCP・その他クラウドプロバイダーおよびオンプレミス環境でも動作するマルチクラウド対応が実現されています。組織はセキュリティ標準を一元的に定義し、全アプリケーションにわたって自動的に検証・適用することができます。

2026年3月31日のGA時点では、以下の6リージョンで利用可能です。

• 米国東部（バージニア北部）
• 米国西部（オレゴン）
• 欧州（アイルランド）
• 欧州（フランクフルト）
• アジア太平洋（シドニー）
• アジア太平洋（東京）

東京リージョンも含まれているため、日本国内のAWSユーザーも低レイテンシで利用を開始できます。

オンデマンドペネトレーションテストの仕組み

従来の脆弱性スキャナーは「脆弱性の候補リスト」を出力するだけで、実際に悪用可能かどうかの検証は人間の専門家に委ねられていました。AWS Security Agentはこの課題を根本から解決します。

エージェントは潜在的な脆弱性を特定した後、ターゲットを絞ったペイロードと攻撃チェーンを使って実際に悪用を試みます。これにより、本当にセキュリティリスクとなる脆弱性のみを「検証済み」として報告するため、偽陽性を大幅に削減できます。

テストに際してエージェントは以下の情報を取り込み、コンテキスト認識型の分析を行います。

• 設計ドキュメント・アーキテクチャ図
• インフラストラクチャ・アズ・コード（IaC）
• ソースコード
• ユーザーストーリー・脅威モデル

これらの情報を統合することで、個々の脆弱性だけでなく、複数の弱点を組み合わせた高深刻度の攻撃パスも特定できます。SAST（静的アプリケーションセキュリティテスト）・DAST（動的アプリケーションセキュリティテスト）・ペネトレーションテストの3つを単一のコンテキスト認識エージェントに統合している点が、他のツールとの大きな差別化ポイントです。

テスト結果として出力されるレポートには以下が含まれます。

• CVSSリスクスコア
• アプリケーション固有の深刻度評価
• 再現可能な悪用経路（Reproducible Exploit Paths）
• すぐに実装できる修正コード・ガイダンス

2FA/MFAログインやクロスアカウントVPCにも対応しており、実際の本番環境に近いテスト条件を設定することも可能です。

料金体系とコスト感

AWS Security Agentは初期費用・最低利用料なしの完全従量課金制を採用しています。課金単位は「タスクアワー」で、エージェントが実際にペネトレーションテストを実行している時間のみ料金が発生します。

単価：$50/タスクアワー（秒単位の比例課金）

規模別のコスト目安は次のとおりです。

従来の人間による手動ペネトレーションテストは、スコープにもよりますが数十〜数百万円規模のコストがかかることが一般的です。AWS Security Agentを利用することで、コストを大幅に抑えながらより短期間でテストを完了できます。

また、新規ユーザー向けに2ヶ月間の無料トライアルが提供されています。初回のペネトレーションテスト実行日を起点として2ヶ月間、毎月最大200タスクアワー（通常価格で最大$10,000相当）が無料で利用できます。無料トライアル期間中も完全なレポート機能と修正コードの生成が含まれるため、サービスの価値を本格的に評価することができます。

セットアップと利用開始の手順

AWS Security Agentの利用開始は、AWSマネジメントコンソールから手軽に行えます。基本的な手順は次のとおりです。

1. AWSコンソールにアクセスする
   AWS Security Agentのサービスページにアクセスします。対応リージョン（東京リージョンを含む6リージョン）を選択してください。
2. テストスコープを定義する
   コンソール上で「何をテストしてよいか」のスコープ（対象ドメイン・エンドポイント・アカウントなど）を設定します。これにより、エージェントがテスト可能な範囲が明確になります。
3. ペネトレーションテストを実行する
   AWS Security AgentのWebアプリから、定義済みスコープ内で具体的なペネトレーションテストを開始します。テスト対象のアプリケーション情報（ソースコード、アーキテクチャ図など）を提供することで、より精度の高いコンテキスト認識型テストが実現します。
4. 結果レポートを確認・エクスポートする
   テスト完了後、CVSSスコア付きの詳細レポートが生成されます。レポートはエクスポートして関係者に共有することも可能です。
5. CI/CDパイプラインに統合する（任意）
   フルAPIサポートを活用して、GitHub ActionsやAWS CodePipelineなどのCI/CDパイプラインにペネトレーションテストを組み込むことができます。これにより、デプロイのたびに自動的にセキュリティ検証が実行される環境を構築できます。

2FA/MFAログインや、クロスアカウントVPCを用いたプライベートネットワーク環境のテストにも対応しているため、セキュリティ要件が厳しい本番環境に近い条件での検証も可能です。詳細な設定方法は公式ユーザーガイドを参照してください。

主なメリットとユースケース

AWS Security Agentを活用することで得られる主なメリットと、想定されるユースケースを紹介します。

テスト期間の大幅短縮

従来のペネトレーションテストは、業者への依頼・スケジュール調整・実施・レポート納品まで2〜6週間を要するのが一般的でした。AWS Security Agentではこれを1〜2日に短縮できます。ユーザーによっては90%以上の期間削減を報告しており、リリーススピードを落とさずにセキュリティ検証を組み込めるようになります。

DevSecOpsへのシームレスな統合

フルAPIサポートにより、既存のCI/CDパイプラインへの統合が容易です。プルリクエストごとに自動コードレビュー、デプロイ前にオンデマンドのペネトレーションテストを実行するワークフローを構築することで、セキュリティをDevOpsプロセスの一部として自然に組み込めます。日本企業に多い「セキュリティは後工程で実施する」という文化からの転換を、比較的低コストで実現できます。

アプリケーションポートフォリオ全体への展開

組織全体のセキュリティ標準を一元定義し、全アプリケーションに自動適用できます。従来は専門家のリソースが限られているためペネトレーションテストを受けられないアプリケーションが多数存在していましたが、AWS Security Agentにより全アプリを網羅的に検証することが可能になります。

具体的なユースケース例

• SaaS系スタートアップ：毎週のリリースサイクルに合わせて自動ペネトレーションテストを実行し、セキュリティ品質を担保しながらリリース速度を維持する
• 金融・医療系エンタープライズ：定期的な脆弱性診断の義務付けに対応しつつ、コスト・期間を大幅削減する
• マルチクラウド環境：AWS・Azure・GCPにまたがるシステムを一元的にセキュリティ検証する
• 内製開発チーム：専任セキュリティエンジニアが不在でも、開発者がセルフサービスでペネトレーションテストを実行できる

まとめ

AWS Security Agentのオンデマンドペネトレーションテストは、これまで専門家に依存していたセキュリティ検証をAIエージェントで自律化・高速化する画期的なサービスです。2〜6週間から1〜2日へのテスト期間短縮、$50/タスクアワーの透明な料金体系、2ヶ月間の無料トライアル、東京リージョンでの提供開始と、日本のAWSユーザーにとっても今すぐ試せる環境が整っています。

サイバー攻撃が増加の一途をたどる現在、セキュリティ検証をDevOpsのボトルネックから解放することが求められています。AWS Security Agentは、そのための具体的な解決策の一つとなるでしょう。まずは2ヶ月間の無料トライアルで、既存のアプリケーションに対してペネトレーションテストを試してみることをお勧めします。