AWS Security Agent に脅威モデリング機能が追加され、設計ドキュメントやソースコードから STRIDE ベースの脅威分析を自動生成できるようになりました

• URL: https://dev.classmethod.jp/articles/aws-security-agent-threat-modeling
• 日付: 2026-06-19
• Tier: Tier 2
• 要旨: AWS Security Agent（AWS Continuum の一部）にパブリックプレビューとして脅威モデリング機能が追加された。設計ドキュメント（Markdown 1.15KB）を投入するだけで STRIDE の 6 カテゴリにわたる脅威が自動分析され、45 ページの PDF レポートが生成された。分析は約 28 分で完了し、プレビュー期間中は追加料金なし。

詳細

入力は「スコープドキュメント（設計書・API 仕様書）」と「ソースコード（GitHub/GitLab/Bitbucket/S3 連携）」の2種類。どちらか片方だけでも実行可能で、コードが存在しない設計フェーズにも使える。

内部処理パイプライン（Logs タブで追跡可能）：

1. document_ingestor → 2. document_analyzer → 3. architecture_merge → 4. trace_identify → 5. scope_resolver（各データフローを1件ずつ評価、21秒）→ 6. posture_prioritizer → 7. 各 Posture * タスク → 8. 各 Trace Threats * タスク → 9. threats_summarizer

API Gateway + Lambda + DynamoDB + Cognito + S3 のサーバーレス REST API 設計書に対して 15 件の脅威が検出（High: 11件、Medium: 4件）。検出例：DynamoDB バックアップ（PITR）未設定・CDK 削除ポリシー DESTROY のデータ消失リスク、API Gateway 認証が外れた場合の権限昇格リスク。

System Overview は Trust Boundaries（Public Internet / AWS Public-Facing / AWS Private Backend）・Data Flows・Security Posture・Sensitive Assets・Key Assumptions まで自動生成される。レポートは英語のみ。