今やAIエージェントがコードを記述しています。単にコーディングを手伝うだけでなく、実際に仕様書の作成、システムの設計、インフラの骨組み作り、さらにはプルリクエストの発行まで行っています。開発者の仕事は、一行一行コードを打つことから、レビューや指示を行うことへと変化しつつあります。
AWS Kiroは、まさにそのために開発されました。
そして、それはある不快な疑問を投げかけます。もしAIエージェントがコードを生成しているとしたら、そのセキュリティを確保する責任は誰にあるのでしょうか?
ここ数年、私たちは Aikido を、開発者が実際に作業する現場(IDE統合、CI/CD 、クラウド環境のセキュリティチェックなど)に組み込むことに注力してきました。ツールチェーンの進化を見守りつつ、どこに注力すべきか慎重に検討を重ねてきました。そして今日、私たちは大きな賭けに出ます。
Aikido Aikidoは、AWSがKiroと共同で展開する世界初のセキュリティISVであり、このパイロットプログラムに選定された当地域初のセキュリティ企業です。
Kiroとは何か(そして、なぜセキュリティを後回しにしてはいけないのか)
Kiroは、AWSが提供する新しいエージェント型開発環境です。これは、IDEに後付けされたコードアシスタントではありません。自律的なシステムであり、ユーザーが目標を指定すると、要件を生成し、システムを設計し、コードを記述し、テストを実行し、ドキュメントを更新します。仕様主導型で、エージェントによって実行されます。
エージェント型開発は強力である一方、攻撃対象領域を拡大してしまう。
コード生成がワークフローの10%を占めていた頃は、レビューの段階でセキュリティ上の問題を検出することができました。しかし、エージェントがコードの約60~70%を生成するようになると(インフラストラクチャの設定、依存関係の選択、API 含む)、「レビューで検出する」という手法はスケールしなくなります。セキュリティ対策を、エージェントがすでに参加しているループの一部として組み込む必要があります。
統合:エージェント・ループにおけるセキュリティ
Aikido は、Kiroのエージェントワークフローに直接統合されます。エージェントが行うあらゆる変更は、自動的に以下の点について分析されます:
- 主要なプログラミング言語およびフレームワーク全般にわたるアプリケーションコードの脆弱性
- コミットされる前に、 シークレット 認証情報が検出される
- 第一線からの、不適切なインフラ構成に対するIaCスキャン
得られるのは、デプロイ後のスキャンではなく、開発環境内で実行される継続的な分析であり、そのセキュリティコンテキストが、エージェントがビルドに使用しているのと同じワークフローにフィードバックされます。
キロのエージェントのフックには、以下のものが含まれるようになりました Aikido セキュリティチェック。その結果、我々が「自己保護型開発環境」と呼んでいるものが実現しました。Kiroが機能を構築し、 Aikido がそれを検証し、保護します。
「エージェント型エンジニアリングは、スタートアップの構築手法を変革しつつあり、セキュリティに対する考え方も一新しています。エージェントが生成する内容を、その生成ペースに合わせて手動でレビューすることは不可能です。Aikido連携Aikido、その問題を根本から解決します。だからこそ、両社は当社が世界規模で共同展開する最初のセキュリティパートナーとなったのです。」
– Siddharth Iyer、エージェント型エンジニアリング GTM 戦略責任者、AWS Startups EMEA
いつ Aikido 何かを発見した際、キロのエージェントはそれに直接対処できる。
セキュア・ベロシティ:トレードオフの解消
従来、セキュリティ対策は開発の足を引っ張るものだと考えられてきました。「まずは素早くリリースし、セキュリティ強化は後回しにしよう。とにかく世に出してから、CVEの対応を考えればいい」。私たちはこうした考え方には賛同したことがありませんが、エージェント型開発によって、その考え方は完全に時代遅れとなりました。
力を合わせれば、 Aikido 合気道とキロが、安全性とスピードの間の葛藤を解消します。両者の長所を兼ね備えた、最高のパフォーマンスを実現します。
Kiroがスピードをもたらします。チームは、コードを1行も書く前に計画段階で要件を明確化することで、開発フェーズの時間を5~7倍短縮できます。
Aikido Aikidoは、コード、クラウド、ランタイム全体にわたる自動スキャンと修正機能を提供し、セキュリティがボトルネックになることを防ぎます(n8nをはじめとする当社の顧客は、これを実際に体験しています)。
これらを組み合わせることで、私たちが「セキュア・ベロシティ」と呼ぶものを実現します。それは、開発のペースに合わせて拡張可能なセキュリティの安全策を組み込みつつ、AIが生成したソフトウェアを全速力でリリースする能力です。
Kiro上で開発を行っているチームにとって、これは何を意味するのか
Kiroを使用してクラウドネイティブアプリケーションを構築している場合、エージェントと同じスピードで動作するセキュリティ対策が利用可能になりました:
- コンテキストの切り替えが不要:セキュリティに関するインサイトが、独立したダッシュボードではなく、開発ワークフロー内に直接表示されます
- 誤検知による疲労なし: Aikido合気道の到達可能性分析は、無関係なアラートを排除し、悪用可能なリスクのみを抽出します
- リリース直前の予期せぬ事態は発生しない:脆弱性はリリース前のセキュリティレビューではなく、開発段階で発見される
- 手間のかかる作業なしでのコンプライアンス対応:SOC2、ISO 27001、PCI、DORA、NIS2、HIPAA などの自動レポート作成
- 迅速な導入:IDE、CI/CD、課題管理ツールとの連携により、開発者は数分で作業を開始できます
Kiroとの提携に期待を寄せる理由
業界は一つの方向へと向かっています。それは、セキュリティはAI主導の開発に最初から組み込まれるべきであり、後付けで追加されるべきではないということです。Kiroと共同で市場展開を行うAWS初のグローバルセキュリティパートナーに選定されたことは、私たちが正しい方向で事業を展開していることを示す証です。
今後5年間で成功を収めるのは、AIエージェントが正しくシステムを構築するために必要なセキュリティの文脈をどのように提供すべきかを理解したチームであり、AIが生成したコードに対して依然として手動でのセキュリティレビューを行っているチームではないだろう。
「かつてセキュリティは開発に追随するものでした。CI/CD、次にIDEへと移行していきました。Kiroでは、セキュリティが直接エージェント、つまりコードを記述する側へと組み込まれます。まさにそこにこそセキュリティが必要なのです。私たちがこのパートナーシップを築いたのは、まさにその目的のためです。」
– ヨハン・デ・クーレナー (パートナーシップ&チャネル責任者)
Kiroで開発されているなら、そのワークフローの中でAikido 、ぜひご覧いただきたいです。まだKiroをご利用でない方も、ぜひ注目してみてください。
もっと詳しく知りたい方は Aikido AI生成コードのセキュリティ対策について詳しく知りたいですか?当社の Kiro連携ページをご覧ください。
