AWS ではインフラ全体のネットワーク構成を自動で可視化し、設定ミスを検知し、さらに生成 AI に修正まで手伝ってもらえる時代になりました。
本記事では、AWS Shield Network Security Director と Amazon Q Developer を使って、ネットワークセキュリティの可視化から修正までをどこまで簡単にできるのかを紹介します。
1. 元ネタ
AWS re:Invent 2025 で参加した Builder's session です。
Strengthen your network security with generative AI (SEC318)
セッション説明 (原文)
Transform how you manage network security using the power of generative AI. See how Amazon Q Developer helps you explore AWS Shield Network Security Director findings through natural language conversations. Learn to quickly identify misconfigured resources, understand security issues, and implement guided fixes across your AWS environment.
セッション説明 (日本語訳)
生成AIの力を活用してネットワークセキュリティ管理を変革しましょう。Amazon Q Developerが、AWS Shield Network Security Directorの分析結果を自然言語会話で探索する方法を紹介します。設定ミスのあるリソースを迅速に特定し、セキュリティ問題を理解し、AWS環境全体でガイド付き修正を実施する方法を学びましょう。
2. AWS Shield Network Security Director とは
AWS Shield の機能の 1 つである Network Security Director をご存知でしょうか?
2025 年 6 月の AWS re:Inforce 2025 で発表された、インフラのネットワーク構成を可視化する新しい機能です。
AWS Shield というと、有効化すると月額 $2,000 が発生する Shield Advanced のイメージがあるかもしれません。
ですが環境のネットワークを分かりやすく確認できる、毛色の異なる機能もあるのです。
2025 年 12 月時点でプレビュー版です。
つまり今なら無料で使い放題です。
各種 AWS サービスのネットワークトポロジーを把握でき、EC2、ELB、CloudFront、WAF、API Gateway など主要なサービスに対応しています。
また EC2 のセキュリティグループがパブリックに公開されていないかなど、リスクの高いネットワーク設定を視覚的に発見することができます。
さらに発見したリスクを優先順位付けし、対応方法の提示までしてくれます。
なかなか親切な機能ですね。
AWS Security Hub とキャラ被ってない?と思われたそこの鋭いあなた。
その通りで、現在はリスクの発見や対応管理が重複する可能性がある状況です。
どちらを見て対応したら良いのやら、となってしまいそうですね。
しかし Security Hub との連携は既にロードマップにあり、これから統合していく予定とのことでした。
Network Security Director の各機能について
今回のワークショップでは、各種ネットワークリソースが大公開されている環境を直していくものでした。
WAF & Shield のメニューの AWS Shield Network Security Director から、以下の機能が確認できます。
Dashboard
どんなリソースタイプにどのくらいのリスクがあるかを把握できます。
画像からは EC2 インスタンスに重大なリスクが 1 つあることが読み取れます。
Amazon Q がやたら主張していますね。
Findings
発見されたリスクごとに、具体的にどの AWS リソースが関わっているかを確認できます。
画像では、CloudFront を経由せずに直接アクセスできてしまう構成が指摘されており、対象の ELB と EC2 が表示されています。
Network Topology
そして対象リソースをクリックすると、ネットワークトポロジーが表示されます。
画像では CloudFront - WAF - ELB - EC2 の構成であることが表現されています。
ここの並び方や関連性の可視化については、まだ改善の余地がありそうですね。
そして、どのリソースがどの重要度のリスクを持っているかが一目で分かります。
3. Amazon Q Developer で爆速解決
ここからが本題です。
Network Security Director に Amazon Q を掛け合わせると激しくパワーアップするというものです。
まず AWS コンソール右上の方の Amazon Q のアイコンをクリックして Amazon Q を起動し、
「Network Security の重要な Findings を教えて」
と言ったら主要なものを説明してくれます。
「Finding の CloudFront Origin Bypass について詳しく教えて」
と言えば、どのリソースが対象か、どんなリスクがあるか、どう直したら良いか、など並べてくれます。
「CloudFront からのアクセスだけを許可するセキュリティグループを作って、ALB にアタッチする CloudShell コマンドを教えて」
と言うとコマンドを出してくれます。
そして [Run in CloudShell] のボタンが出てくるので、内容をチェックの上クリックすると、CloudShell が立ち上がってコマンドを実行してくれます。
出力結果を見てポチッとするだけ、、!
セキュリティグループ作成・関連付けといった、普段なら 10 ~ 15 分かかる作業が、実質 1 クリックで終わるのは衝撃でした。
この要領で他のリスクもどんどん直していけます。
CloudShell のコマンドは各ステップで実行する必要はなく、オールインワンのコマンドを生成してくれます。
今回の例だと、ポチッとすると以下を全てやってくれます。
凄すぎ、そして簡単すぎ、、
- 環境変数設定
- セキュリティグループ作成
- インバウンドルールやアウトバウンドルールの追加
- ALB へのアタッチ
- 設定状況チェック
さらには、セキュリティグループの修正や、切り戻しのコマンドまで用意してくれるので、何かあっても安心です。
まとめ
以上、Network Security Director と Amazon Q を組み合わせたら、ネットワーク設定のリスクチェックから修正までをあっという間に完了するという話でした。
今回は AWS コンソールで Amazon Q を操作しましたが、Amazon Q Developer をローカルで扱える Kiro CLI でも同様のことが可能です。
この便利さを目の当たりにして、
「セキュリティエンジニアの仕事はもうないね、、」
「もう出力のレビューだけしてればいいね、、」
と隣の人と顔を見合わせるのでした。
今日も小さな学びを。