AWSが発表した「AWS Continuum」——コードだけでなくインフラとビジネスコンテキストまで読む脆弱性推論の意味
コードスキャンは既にあった。AWS Continuumが加えたのは「そのコードが本番のどこに存在し、悪用されたらビジネスにどう響くか」という推論の層だ。
出典: AWS、コードだけでなくインフラ構成とビジネスコンテキストも理解した上で脆弱性を推論する「AWS Contiuum」発表。特定のAIモデルに依存せず
要点 (事実のみ)
- AWSは「AWS Continuum for code vulnerabilities」を発表。コードスキャンに加え、インフラ構成・アクセス許可・ネットワークトポロジー・ビジネス上の優先事項・非構造化ドキュメントをコンテキストとして活用し、脆弱性を推論・優先順位付けする
- 既存サービス「AWS Security Agent」はAWS Continuumの一部となり、「Continuum for penetration testing」および「Continuum for code scanning」に統合される
- 設計ドキュメントやソースコードから脅威モデルをSTRIDE形式で自動生成する「Continuum for threat modeling」もプレビューで提供開始
- サンドボックス環境で実際にエクスプロイト例を構築し、再現可能な証拠を提供する設計
- 特定のAIモデルに依存しない設計で、複数の最新モデルを領域ごとに使い分け、新モデルを取り込めるよう構築されている
徐 聖博の見解
私がこの発表で最も注目したのは、「インフラ構成とビジネスコンテキストをコンテキストとして活用する」という設計方針だ。従来のSASTやDASTは、コードや通信パターン単体を見て脆弱性を列挙する。その結果として現場に積み上がるのは大量のアラートで、優先順位付けにエンジニアの工数が吸い込まれてきた。Continuumはその優先順位付けをアーキテクチャとビジネス優先度の情報を使って自動化しようとしている。アプローチとしては筋が通っている。
ただし、「作る側」の目で見ると、ここで鍵になるのはビジネスコンテキストをどのように構造化してシステムに渡すかという入力設計だ。インフラ構成はコードとして取得できるが、「このサービスが本番でどれだけ重要か」という優先事項は非構造化ドキュメントやオーナーの判断の中にある。精度が実務に耐えるかどうかは、この非構造化データの読み取り品質に強く依存する。現時点では「プレビュー」段階の機能も含まれており、プロダクション環境での再現性は引き続き検証が必要だろう。
発注側・中小企業の観点でも意味のある変化だと思う。これまでセキュリティ診断は外部の専門業者に委託するか、大手企業だけが内製できるものだった。Continuumのようなサービスが成熟すれば、開発チームが日常的なサイクルの中でリスク優先度付きの診断結果を受け取れるようになる。開発支援の現場でもセキュリティを「後工程で別途発注」ではなく「CI/CDに組み込む常時監視」として提案しやすくなる。特定AIモデルに依存しない設計は、モデルの陳腐化リスクを下げる運用上の配慮としても評価できる。
(編集レンズ: 実装・運用視点 / 発注側・中小企業・開発実務への含意 / AIを「作る側」の目線)