JAWS-UG 神戸 #12 CTF に Kiro と参戦してみた

• URL: https://dev.classmethod.jp/articles/jawsug-kobe-12-ctf-with-kiro/

• 日付: 2026-06-14

• Tier: Tier 2

• 要旨: 「アクセスキーが流出したていで遊ぼう」というインシデント対応テーマの CTF に Kiro CLI を使って参戦。事前準備（サービス別 recon.sh・CTF 専用サブエージェント・CloudTrail ローカル集約）が効いて序盤10分でトップ近くに到達。最終課題の提出フォーマット問題で順位を落としたが事後の学びが多かった。

詳細

• 最も効果的な事前準備: S3 配信済み CloudTrail ログを aws s3 sync でローカルに全取得し、jq で分析する手法。LookupEvents（50件/ページ・2req/秒の制限あり、データイベント非対応）より速く柔軟に分析できる。
• サブエージェント構成: 担当サービス別エージェントが findings.md に記録 → リード役エージェントが progress.md に集約・次の調査を提示。ヘッドレス実行のラッパースクリプト経由で並行実行。
• モデル選定: Kiro CLI に Sonnet 4.6 を指定し kiro-cli chat -a（ツール確認省略）で高速化。CTF の隔離環境限定の設定。
• AWSセキュリティの学び: ネットワーク境界より IAM 権限設計と API レベル認可が重要。CloudTrail の追跡可能性（誰が・いつ・どの API 操作を実行）がインシデント対応で決定的。