コード脆弱性向けAWS Continuumは、脆弱性の発見から修正に至るライフサイクル全体を管理するシステムです。現在、限定プレビューとして提供が開始されました。顧客の環境を推論分析し、発見された内容の真偽を確認したうえで、解決に向けて取り組みます。特定のモデルに依存しない設計で、複数のフロンティアモデルを活用し、それぞれが最も得意とする作業に割り当てます。AWSは、新しいモデルが登場した際にも取り込めるよう設計しています。
「テレメトリ、コンテキスト、推論、そしてアクション——私たちは新しい世界へと移行する必要があります。成果を生み出すアプローチが求められています。最新のサイバーセキュリティ向けフロンティアモデルは、この移行をさらに急務なものにしました。Claude Mythosのようなモデルは、ソフトウェアの脆弱性を発見し、複雑な攻撃経路をマシンスピードで推論できるため、脆弱性のバックログが指数関数的に増大しています」と、AWSのSearch、Security、ObservabilityのVP、Chet Kapoor氏は説明しています。
4つの運用フェーズ
コード脆弱性向けContinuumは、4つの継続的なフェーズで動作します。
「発見」フェーズでは、顧客の既存バックログを取り込んだうえで環境の独自スキャンを実行し、脆弱性とそれに関連する攻撃経路を幅広く把握します。
「優先順位付け」フェーズでは、影響を受けるコンポーネントがデプロイされているか、外部から到達可能か、本番環境のパス上に存在するか、悪用された場合のビジネスへの影響はどの程度かといったコンテキストと照らし合わせて各発見事項を評価します。出力は証拠に基づいた優先順位リストです。
「検証」フェーズでは、誤検知を除外し、サンドボックス環境内で実際に機能するエクスプロイトの例を構築することで、各問題の再現可能な証拠を提供します。
「緩和と修復」フェーズでは、確認済みの問題に対する既存の防御策(ブロッキングコントロール、補完コントロール、検知メカニズム)を検証します。そのうえで、ネットワーク変更、ポリシー変更、またはコードパッチを推奨します。パッチの推奨内容は、脆弱性を確認したのと同じ検証システムを経由します。また、可能な範囲で影響範囲(ブラストラジウス)の可視化とロールバック経路も提供します。
このシステムは、構造化データと非構造化データの両方を推論の対象とします。構造化入力にはインフラ、権限、ネットワークトポロジー、コードが含まれます。非構造化入力には、組織の運営方法やリスクの所在を示す文書、通信記録、ビジネス優先事項が含まれます。
段階的な自動化と追加機能
Continuumは「学習モード」から始まり、人間がその作業を確認します。すべての推奨事項には、その背後にある推論が添付されます。顧客は「実施モード」に移行することができ、自らが定義したカテゴリとリスクプロファイルに従って修復が段階的に自動化されます。
AWSは複数の既存ツールをこの製品に統合しました。AWS Security Agentのペネトレーションテストおよびコードスキャン機能は、それぞれ「Continuumペネトレーションテスト」と「Continuumコードスキャン」として動作するようになりました。いずれもプレビュー段階です。また、設計ドキュメントやソースコードからSTRIDEフォーマットの脅威モデルを生成する「Continuum脅威モデリング」もプレビューとして公開されました。これらの機能は、発見・優先順位付け・検証・修復というContinuumの大きなループに検知・分析の情報を供給します。
翻訳元: https://www.helpnetsecurity.com/2026/06/18/aws-continuum-for-code-vulnerabilities/
