AIエージェントがアクセスできるドメインを制御する
Amazon AWS AI Blog / 2026/4/2
💬 オピニオンDeveloper Stack & InfrastructureTools & Practical Usage
要点
- この記事では、AWS Network Firewall を設定して AgentCore リソースを承認済みのインターネットドメインの allowlist に制限する方法を説明します。
- 防御のための多層化(defense-in-depth)の制御として、SNI(Server Name Indication)検査によるドメイン単位のフィルタリングに焦点を当てています。
- このアプローチは、外部エンドポイントに対して AI エージェントが到達できる範囲を減らすための、より包括的なセキュリティ戦略における最初の層として位置付けられています。
- アウトバウンドのドメインアクセスを制限することで、組織は、エージェントのワークフローに関連するデータの持ち出し(exfiltration)や危険なブラウジングのリスクをより適切に管理し、軽減できます。
この投稿では、AWS Network Firewall を構成して、AgentCore のリソースを承認済みのインターネットドメインの許可リストに制限する方法を示します。本投稿では、defense-in-depth(多層防御)のアプローチの最初の層である、SNI インスペクションを用いたドメイン単位のフィルタリングに焦点を当てます。
