AWSは、コードの脆弱性をマシンスピードで検出・検証・修復するための新たなセキュリティ機能「Continuum」を発表しました。従来のテレメトリ主体のセキュリティモデルから、自動化されたコンテキスト駆動型の修復へのシフトを示す取り組みです。
2026年6月17日に限定プレビューとして発表されたAWS Continuumは、最先端のAIモデルを活用し、現代の開発環境やフロンティアAIシステムが生み出す増大する脆弱性の問題に対処します。
AWSは、ログの収集やデータセットのクエリ、ダッシュボードの監視を中心とした従来のアプローチでは、AIを活用した分析ツールがもたらす脆弱性発見の急増にもはや対応できないと指摘しています。
AWS Continuumの発表
Continuumは脆弱性のライフサイクル全体にわたって機能するよう設計されており、発見・優先順位付け・検証・修復を継続的なループとして統合しています。
静的スキャンツールとは異なり、本プラットフォームはAWSインフラ・権限・ネットワークトポロジーといった構造化データと、内部ドキュメントやビジネス上の優先事項などの非構造化コンテキストの両方を横断的に推論します。
これにより、Continuumは脆弱性の存在を確認するだけでなく、実際の環境での悪用可能性やビジネスオペレーションへの影響も評価できます。
本システムはモデル非依存型のアーキテクチャを採用しており、タスクに応じて複数のフロンティアAIモデルを使い分け、新たなモデルが登場しても柔軟に進化できます。
AWSはこの柔軟性の重要性を強調しています。AIシステムが複雑な攻撃経路や従来は検出されていなかった脆弱性を大規模に発見するようになり、セキュリティチームの運用上のボトルネックが深刻化しているためです。
Continuumは4つの主要フェーズで動作します。発見フェーズでは、既存の脆弱性バックログを取り込み、独立したスキャンを実施して包括的なリスクインベントリを構築します。
主要機能
| 機能 | 説明 |
|---|---|
| Continuum Discovery | 既存の脆弱性を集約し、環境全体のスキャンを実施 |
| コンテキスト型優先順位付け | 悪用可能性・露出度・ビジネスへの影響に基づき脆弱性をランク付け |
| エクスプロイト検証 | サンドボックス環境でPoCエクスプロイトを生成し、誤検知を排除 |
| 自動修復 | パッチ・設定変更・コントロールの推奨と検証 |
| 段階的信頼モデル | ヒューマン・イン・ザ・ループと完全自動適用モードをサポート |
| 脅威モデリング | コードや設計成果物からSTRIDEベースの脅威モデルを自動生成 |
| モデル非依存型AI | セキュリティタスクに応じて最適化された複数のAIモデルを使用 |
優先順位付けフェーズでは、悪用可能性・本番環境への露出・ビジネスへの影響といった要素を評価し、発見事項をランク付けします。検証フェーズでは、サンドボックス環境で再現可能なエクスプロイトシナリオを生成することで、誤検知の削減を図ります。
最後の緩和・修復フェーズでは、コードパッチ・設定更新・補完的コントロールを含む修正案の推奨と検証を行うとともに、影響範囲の分析やロールバックオプションも提供します。
注目すべき機能が「段階的信頼(graduated trust)」モデルです。当初、Continuumはヒューマン・イン・ザ・ループモードで動作し、各推奨事項について透明性のある根拠を提示します。その後、組織は自動適用モードへと移行でき、事前に定義したリスクのしきい値やポリシーに基づいてシステムが自動的に修正を適用できるようになります。
コード脆弱性管理に加え、AWSは既存の機能をContinuumフレームワークに統合しています。具体的には、AWS Security Agentによるペネトレーションテストやコードスキャン、さらにアプリケーションコードや設計ドキュメントからSTRIDEベースのモデルを自動生成する新たな脅威モデリング機能などが含まれます。これらのコンポーネントは広範なContinuumパイプラインへと統合され、検出能力とコンテキスト分析を強化します。
翻訳元: https://gbhackers.com/aws-launches-continuum-to-detect-and-fix-code-vulnerabilities/
