AWS、文脈ごと脆弱性を推論
AWSの新ツール「Continuum」は、コード単体でなくインフラ構成とビジネス文脈を重ねて脆弱性を評価する。特定AIモデルへの依存もない。
01 従来スキャナの限界
コードを読んでも、文脈は読めなかった
従来の脆弱性スキャナは、コードの静的解析を主軸としていました。SQLインジェクションやバッファオーバーフローといったパターンをコード上で検出するアプローチは成熟していますが、「このサービスが本番環境でインターネットに公開されているかどうか」「この脆弱性が実際のビジネスリスクとして重大かどうか」といった問いに答える手段がありませんでした。
結果として、セキュリティチームは大量の誤検知(False Positive)に追われ、真に重大な脆弱性の優先順位付けに時間がかかりました。インフラ構成(IaCファイルやデプロイ設定)は別のツールで個別にスキャンするか、人手で確認するしかなかったのです。
02 Continuumが変えること
3層入力 + モデル非依存の推論
AWSが発表したContinuumは、脆弱性の評価に3種類の入力を組み合わせます。アプリケーションコード、インフラ構成ファイル(TerraformやCloudFormationなど)、そしてビジネスインパクトの分類情報です。これら3層を統合して推論することで、「このコードの脆弱性は、インターネット公開されているサービスの決済フロー上にある」といった文脈付き評価が可能になります。
さらに、Continuumは特定のAIモデルに依存しない設計となっています。背後の推論エンジンを交換可能にすることで、AWSは特定ベンダーのモデル変更や廃止に左右されないセキュリティツールを提供しようとしています。この「モデル非依存」設計は、長期利用を前提とするエンタープライズ環境では重要な特性です。
03 恩恵を受けるのは誰か
大規模AWSインフラ vs. 小規模構成
Continuumの設計が最も威力を発揮するのは、Terraformファイルが数百に及び、マイクロサービスが複数のVPCとAZにまたがるような複雑なAWS環境です。こうした環境では、単一コードベースのスキャンだけではインフラ起因のリスクが見えないため、文脈を統合したContinuumのアプローチが誤検知を減らし、対応優先度の精度を高めます。
一方、Terraformファイルが5〜10本程度のシンプルな構成や、AWS利用が最小限のスタートアップには、Continuumの文脈推論の恩恵は限定的です。既存のコードスキャナで十分カバーできる範囲に、複雑なツールを追加導入するコストは見合わない可能性があります。
大規模なIaCを持つチームほど効果が高い。5ファイル規模のTerraformには過剰な場合がある。
情報源: AWS公式発表および技術ドキュメント(2026年6月)。本記事はAI Navigate編集部が要約・分析したものです。