【AWS re:Invent 2025】Amazon Bedrockを使用した生成 AIセキュリティランブックの構築ワークショップ参加レポート

生成AIセキュリティランブックについて

Amazon Bedrockを使用した生成AIセキュリティランブックとは、大規模言語モデル（LLM）である Claude Sonnet などの生成AIをコアエンジンとして組み込み、AWS Security Hubなどのセキュリティツールから得られた検出結果（Finding）に対して、自動的な分析、修復ガイダンスの生成、そして実際の修復コードの生成/実行 を行う一連のワークフローです。

AIによるセキュリティ自動化の4つのステップ

ワークショップは、以下の4つのStepで構成され、段階的にAIエージェントの能力を拡張していくプロセスを体験しました。

Step1.検出結果の要約と修復

AWS Security Hubから取得した具体的な検出結果（例： ポート22が0.0.0.0/0に開いているEC2セキュリティグループの検出）のJSONデータを、システムプロンプトとXMLタグを使ってClaude Sonnetに渡し、アクション可能な次のステップを自然言語で返させます。
検出結果を修復するため（例: ポート22へのインバウンドアクセスを削除）のPython関数の作成をClaude Sonnetに指示し、コードを生成させました。

Step2.ツールを使用したリアルタイムデータ取得

特定の重大度（CRITICAL, HIGH, MEDIUM）の検出結果を取得する ツールとしてget_findings_by_severity 関数を JSONスキーマオブジェクト で定義し、Claude Sonnetに渡します。 ユーザーが質問をすると、Claude Sonnetは自身で回答せず、定義されたツールを呼び出すためのパラメータを出力して一時停止（プランニング）します。
AWS APIを呼び出して得られた結果をClaude Sonnetに再び入力すると、Claudeはそのリアルタイムデータに基づいて最終的な回答を生成します。

Step3.ヒューマンインザループの実装

Step4.Amazon Bedrock ナレッジベースの使用

組織のカスタムパスワードポリシーを記述したファイルをS3にアップロードし、Amazon Bedrock ナレッジベース を作成します。
「IAMパスワードポリシーが弱い」という検出結果に対し、ナレッジベースをコンテキストとしてClaude Sonnetに質問します。Claude Sonnetは、検出結果とナレッジベースの情報を照合し、組織固有の要件を満たす 更新用のPythonコードを生成します。

まとめ

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

もし「このサービスについて知りたい」「AWS環境の構築、移行」などのリクエストがございましたら、弊社お問合せフォームまでお気軽にご連絡ください。 複雑な内容に関するお問い合わせの場合には直接営業からご連絡を差し上げます。 また、よろしければ以下のリンクもご覧ください！
＜QES関連ソリューション/ブログ＞

＜QESが参画しているAWSのセキュリティ推進コンソーシアムがホワイトペーパーを公開しました＞

※Amazon Web Services、”Powered by Amazon Web Services”ロゴ、およびブログで使用されるその他のAWS商標は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。