View a markdown version of this page

AI 調査エージェント - AWS Security Incident Response ユーザーガイド
概要仕組み前提条件調査エージェントの使用

AI 調査エージェント

概要

AI 搭載の調査エージェントは、お客様や AWS Security Incident Response エンジニアと協力してセキュリティ調査を迅速化します。お客様が AWS がサポートするケースを作成すると、エージェントはセキュリティインシデント対応エンジニアの関与と並行して自動的にアクティブ化され、解決時間が数日から数時間に短縮されます。

お客様からのエスカレーション中に、セキュリティインシデント対応ケースは、ユーザーによって作成されるか、AWS Security Incident Response によってプロアクティブに作成される場合があります。新しい AWS がサポートするケースが作成されると、調査エージェントが自動的にトリガーされます。すべてのケースは、コンソール、API、または Amazon EventBridge 統合を通じて管理できます。

主な利点

  • 並列調査 – エージェントは対応者と同時に活動し、AI による自動化と人間の専門知識の両方を提供します。

  • 自動化された証拠収集 – AWS CloudTrail、IAM、Amazon EC2、および Cost Explorer を自動的にクエリすることで、手動ログ分析を排除します。

  • 自然言語インターフェイス – AWS ログ形式に関する専門知識を必要とせずに、セキュリティ上の懸念を平易な言語で記述します。

  • より迅速な対応 — 調査タブで数分以内に調査概要を確認できます。

  • 完全な監査可能性 – すべてのエージェントアクションは、AWS CloudTrail ロールのもとで AWSServiceRoleForSupport ログとして記録されます。

重要

この機能は、 AWSがサポートするケースでのみ利用可能です。セルフマネージドケースには AI 調査機能は含まれません。

仕組み

AI 調査エージェントは、AWS がサポートするセキュリティケースを分析する際に、構造化されたワークフローに従います:

調査ワークフロー

  1. ケース作成 – お客様は、セキュリティ上の懸念を説明する AWS がサポートするケースをセキュリティインシデント対応コンソールに作成します。

  2. 並列アクティベーション

    • セキュリティインシデント対応エンジニアがケースに関与します。

    • 同時に、AI エージェントは調査ワークフローを開始します。

  3. コンテキストの質問 (オプション) – エージェントは具体的な詳細を収集するため、確認のための質問を行う場合があります。

    • 影響を受けた AWS アカウント ID

    • 関連する IAM プリンシパル (ユーザー、ロール、アクセスキー)

    • 特定のリソース識別子 (S3 バケット、EC2 インスタンス、ARN)

    • 不審な活動の発生時期

  4. 証拠収集 – エージェントは AWS データソースを自動的にクエリします。

    • AWS CloudTrail – インシデントに関連する API 呼び出しおよびアクティビティ

    • IAM – ユーザーとロールのアクセス許可、ポリシーの変更、および新しい ID の作成

    • Amazon EC2 インスタンス API – 関連する場合のコンピューティングリソースに関する情報

    • Cost Explorer – 異常なリソース消費に関するコストと使用状況の指標

  5. 分析と相関 — エージェントはサービス間で証拠を関連付け、パターンを識別し、イベントのタイムラインを構築します。

  6. 概要の生成 – 数分以内に、エージェントは調査タブで包括的な調査概要を提示します。

注記

すべてのフィールドはオプションです。10 分以内に回答がない場合、調査は自動的に開始されます。場合によっては、十分な情報が既に利用可能な場合、エージェントは任意の質問を完全にスキップすることがあります。

調査結果へのアクセス

AI 分析を表示する。

  1. セキュリティインシデント対応コンソールで該当のケースに移動してください。

  2. 調査タブを選択してください。

  3. 調査結果、タイムライン、コンテキストを含む調査概要を確認します。

AI 調査エージェントの概要は、ケースの [コミュニケーション] セクションにコメントとして自動的に投稿されるため、他のケースの更新情報と併せて簡単に確認できます。

データアクセスと許可

AI 調査エージェントは、AWSServiceRoleForSupport サービス関連ロールを使用して AWS リソースにアクセスします。このロールは、証拠収集に必要な読み取り専用アクセス許可を提供します。

エージェントによって実行されたすべてのアクションは AWS CloudTrail に記録されるため、顧客は調査中にアクセスされたデータを正確に監査できます。AWS CloudTrail ログでは、これらのアクションは AWSServiceRoleForSupport に属性付けられます。

前提条件

AI を活用した調査機能を使用する前に、以下の点を確認してください。

必要なセットアップ

  • AWS Security Incident Response有効化済み – サービスは AWS Organizations 管理アカウントを通じて有効化する必要があります。

  • AWS がサポートするケースのタイプ – AI 調査は、AWS がサポートするケースでのみ使用できます (セルフマネージドケースでは使用できません)。

  • AWSServiceRoleForSupport – このサービス関連ロールは自動的に作成され、調査エージェントに必要な権限を提供します。

必要なアクセス許可

AWS がサポートするケースを作成し、調査結果にアクセスするには、IAM プリンシパルに以下のアクセス許可が必要です: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

調査エージェントの使用

AI 調査エージェントは、AWS がサポートするケースを作成するときに自動的に起動します。

AI 調査の進行状況をモニタリングする

  1. AWS Security Incident Response コンソールでケースを開きます。

  2. 調査タブ を選択してください。

  3. 調査ステータス (進行中または完了) を表示します。

  4. 完了後、調査結果、タイムライン、および提言を含む包括的な調査概要を確認してください。

責任ある AI の開示

調査の概要は AWS 生成 AI 機能を使用して生成されます。AI が生成した推奨事項を特定の状況下で評価し、適切な監視メカニズムを導入し、結果を独自に検証し、すべてのセキュリティ決定に対する人間の監視を維持する責任は貴方にあります。

顧客データの使用

「AI 調査エージェント」は、モデルトレーニングに顧客データを使用せず、また、サードパーティーと顧客データを共有しません。