7月17日、Gianmarco Nalinが「AWS Continuum to Enable Agentic Code Security for Enterprises」と題した記事を公開した。AWSが新たに発表した統合セキュリティプラットフォーム「AWS Continuum」は、コードの脆弱性発見から修復までをAIエージェントで自動化する。最大の特徴は、サンドボックス環境で実際にエクスプロイトを構築することで偽陽性を削減する4フェーズアーキテクチャだ。一方で、わずか6ヶ月前にリリースされた「AWS Security Agent」がContinuumにリブランドされた形となり、開発者コミュニティからは製品体系の不透明さを指摘する声も上がっている。
AIエージェントが脆弱性ライフサイクル全体を担う
AWS Continuumは、コードベース・依存関係・アプリケーション全体にわたるセキュリティ問題を自動化するプラットフォームだ。脆弱性ライフサイクル全体をカバーする4つのエージェント機能——ペネトレーションテスト、コードレビュー、脅威モデリング、コード脆弱性管理——を備えて登場した。
AWSのVP(検索・セキュリティ・オブザーバビリティ担当)であるChet Kapoorは「ContinuumはAWSおよびAmazon.comにわたるセキュリティ運用から得た知見をもとに構築された」と述べている。
ペネトレーションテストとコードレビューの2機能は、AWS re:Invent 2025でAWS Security Agentとして先行リリースされたものだ。CI/CDワークフローへの組み込みやオンデマンド実行に対応し、ソースコードの脆弱性特定やコンプライアンス検証を行う。
注目は「コード脆弱性管理」の4フェーズアーキテクチャ
今回の発表で最も実務に直結するのが、コード脆弱性(Code Vulnerabilities)機能だ。単なるスキャンにとどまらず、サンドボックス環境で実際に動作するエクスプロイトを構築して脆弱性の実在を検証するという踏み込んだアプローチが採用されている。インフラ、パーミッション、ネットワークトポロジー、社内ドキュメント、コミュニケーション、ビジネス優先度といった構造化・非構造化データを含む企業全体の環境を横断して推論する点も特徴とされている。
動作は以下の4フェーズで継続的に進む:
ディスカバリー(発見):既存のバックログ全体を評価し、環境全体のスキャンで補完。脆弱性と攻撃パスの包括的なリストを生成する。KapoorはAWS Summit New York City 2026の基調講演で、このフェーズをモデル非依存の原則で実装したと説明した。最新モデルが公開され次第、即座に採用できる設計だという。
優先順位付けと検証:影響を受けるコンポーネントが実際にデプロイ・到達可能かどうかを確認し、ビジネスインパクトを評価する。サンドボックス環境で完全に機能するエクスプロイトを構築することで偽陽性を削減し、問題の実証を行うとAWSは主張している。
緩和と修復:検証済み脆弱性に対して、ネットワーク変更・ポリシー変更・コードパッチといった修正案を提示。さらに変更のブラストラジアス(影響範囲)の可視化や、可能な場合のロールバック戦略も提供する。
段階的トラストモデル:セキュリティチームと製品チームが、ユーザー定義のカテゴリとリスクプロファイルに基づいて、ツールに委譲する自律性のレベルを選択できる。
「また名前が変わった」——コミュニティからの戸惑いの声
一方、コミュニティからは製品ブランドの混乱を指摘する声が上がっている。AWSサーバーレスヒーローのYan Cuiは、LinkedInで次のように述べた。
リリースからわずか6ヶ月で、AWS Security AgentはContinuumのペンテストとコードスキャンとして別製品に組み込まれリブランドされた。
しかしSecurity Agentは今も独自の製品ページを持ち、同じ機能がそこに存在している。先週も「Security Agentに脅威モデリング、KiroパワーとClaude Codeプラグインを追加」と発表があったばかりだ。
つまり同じ機能が2つの製品名で存在し、どちらを使うべきか、将来分岐するのかについての明確な説明がない。これは単純に混乱を招く。
競合との比較
エージェント型セキュリティ修復の領域ではAWS以外も動いている。各社のアプローチは「エコシステムへの統合深度」と「クラウド非依存性」という軸で対比できる。
GoogleはAI Threat Defenseでクラウド非依存の戦略を採り、複数のクラウド環境とアプリケーションへのスキャン対応を優先している。特定クラウドへのロックインを避けたいマルチクラウド企業を主なターゲットとする姿勢が明確だ。
これに対しMicrosoftはMDASHを展開しており、AWSと同様に自社エコシステムへの深い統合を優先するアーキテクチャを選択している。AWSのContinuumもAWSサービス群との連携を前提とした設計であり、この点でMicrosoftと対照的なのはGoogleの立場——すなわち特定クラウドに依存しない水平展開——である。三者はそれぞれ「エコシステム統合深化(AWS・Microsoft)」対「クラウド横断対応(Google)」という異なる戦略軸に分かれていると整理できる。
現時点の提供状況
- ペネトレーションテスト・コードレビュー:一般提供中(料金設定あり)
- 脅威モデリング:プレビュー中
- コード脆弱性管理:ゲーテッドプレビュー(アクセスには申請が必要)
なお、脅威モデリング機能はアプリケーションアーキテクチャを解析し、STRIDEモデル(なりすまし・改ざん・否認・情報漏洩・サービス拒否・特権昇格の6分類)に基づいた脅威の分類と推奨アクションを出力する。
コード脆弱性管理が「ゲーテッドプレビュー」として提供されているのは、今回最も注目度の高い機能でありながら、一般ユーザーがすぐに試せる段階にはないことを意味する。申請ベースのアクセス制限により、当面は限られた企業・チームでの検証フェーズとなる見通しだ。本機能の実力が広く評価されるのは、一般プレビューないし正式リリースへ移行した後になるだろう。
詳細はAWS Continuum to Enable Agentic Code Security for Enterprisesを参照していただきたい。