DevOpsエンジニアがいない深夜でも、本番インシデントの原因を特定して修復案を出してくれる——AWSが2026年3月末に正式公開した自律AIエージェント2種は、その実現を目指したサービスです。

この記事でわかること:
– AWS DevOps AgentとSecurity Agentが何をどこまで自動化するか
– 5ヶ月のプレビューで報告されたMTTR削減・ペネトレ期間短縮の実績
– 料金の仕組みと無料枠の内容
– AzureのSRE Agentとの違いと現時点の制約

AWSが「フロンティアエージェント」と位置づける理由

https://aws.amazon.com/devops-agent/

AWSはDevOps AgentとSecurity Agentを「フロンティアエージェント」と呼びます。従来のAIアシスタントが1つのプロンプトに1つの回答を返すのに対し、フロンティアエージェントは目標を自律的に追求し、複数のステップにわたって判断を重ね、完了まで数時間から数日動き続けます。チームへの継続的な指示なしに、複雑な作業を最後まで完結させるのが特徴です。

2025年11月のre:InventでAWSが発表し、5ヶ月のプレビュー期間を経て2026年3月末に正式公開(GA)されました。

DevOps Agent — 障害の原因を自律で特定する

DevOps Agentは常時稼働のSRE(サイトリライアビリティエンジニア)として機能します。アラートが上がった瞬間から調査を開始し、CloudWatch・Datadog・Dynatrace・New Relic・Splunkなどの監視ツールからテレメトリを収集します。コードやデプロイ履歴と突き合わせて根本原因を特定し、対応手順(ランブック)を生成します。

Western Governor’s University(WGU)のSREチームは、本番サービスの障害解析にDevOps Agentを投入し、推定2時間かかるはずだった対応を28分で完了しました(77%削減)。Lambda関数の設定に起因する問題で、社内の未発見ドキュメントに埋もれていた情報をエージェントが発掘して解決につなげたケースです。

プレビュー全体を通じたデータでは、MTTR最大75%削減、調査速度80%向上、根本原因特定精度94%が報告されています。

マルチクラウドにも対応しており、AWSだけでなくAzureやオンプレミス環境の調査も行えます。Model Context Protocol(MCP)経由でカスタム統合が可能で、GitHub・GitLab・Azure DevOpsのリポジトリやCI/CDパイプラインとも連携します。

Security Agent — ペネトレーションテストをオンデマンドに実施

https://aws.amazon.com/security/security-agent/

Security Agentは自律型ペネトレーション(侵入)テストを提供します。通常、ペネトレーションテストは専門会社に外注するため、1回あたり数十万〜数百万円、数週間かかります。多くの組織では主要システムだけに絞らざるを得ず、残りのポートフォリオはテストの合間に無防備な状態が続きます。

Security Agentはソースコード・アーキテクチャ図・設計ドキュメントを読み込んでアプリケーションの設計を理解した上で攻撃パターンを自動生成します。単独の脆弱性だけでなく、複数の脆弱性を連鎖させた攻撃チェーンを発見できる点が従来の静的・動的スキャナとの違いです。

HENNGE K.K.は「テスト期間を90%以上短縮した」と報告しており、Bamboo Healthは「他のツールでは発見できなかった脆弱性を検出した」とコメントしています。AWS・Azure・Google Cloud・オンプレミスをまたいだテストに対応しています。

料金の仕組みと無料枠

DevOps Agentの料金はエージェントが稼働した時間に応じた従量課金で、1分あたり約50セント(秒単位課金)です。

新規ユーザー向けに2ヶ月間の無料トライアルがあり、エージェントスペース10個・インシデント調査20時間・予防評価15時間・オンデマンドSREタスク20時間が含まれます。AWS Freeティアの対象にもなっています。

AWSサポートプランを契約している企業はサポート料金に応じたクレジットを受け取れます(Unified Operations: 100%、Enterprise Support: 75%、Business Support+: 30%)。

Security Agentは1タスクアワーあたり50ドルで、24時間の評価で最大1,200ドルかかります。AWSは「従来のペネトレーションテストと比べて70〜90%のコスト削減」を実績として示しています。

AzureのSRE Agentとの違い

インシデント対応エージェントの分野ではMicrosoft Azureが先行しており、Azure SRE AgentはDevOps Agentより3週間早い2026年3月10日にGAしています。Microsoftは社内で1,300以上のエージェントを稼働させ、35,000件以上のインシデントを解決したと公表しています。

Google Cloudは同等のファーストパーティエージェントをまだ出しておらず、Gemini Cloud AssistやAgent Development Kitを提供するにとどまります。自律型エージェントの製品提供ではAWS・Azureが先行している状況です。

セキュリティ面ではAWSが独自の優位性を持ちます。自律型ペネトレーションテストを製品として提供しているハイパースケーラーは現時点でAWSのみです。

現時点の制約と注意点

導入前に確認すべき制約があります。DevOps Agentはインシデントの診断と根本原因の特定を行いますが、インフラの変更やデプロイを直接実行する権限は持ちません。修復の実装は引き続き人間のエンジニアが担います。

Security Agentは自律型ペネトレーションテストとして先進的ですが、コンプライアンス要件の厳しい業界では、有資格の専門家が行うテストが引き続き必要なケースがあります。

また、両エージェントとも現在6リージョンでのみ提供されており、DevOps Agentはリクエストの処理に米国リージョンを使用します。データ所在地に関する規制がある組織は事前に確認が必要です。カスタムMCPサーバー経由の接続はプロンプトインジェクションリスクが新たに発生する点も、AWSが公式に認めています。

まとめ

AWS DevOps AgentとSecurity Agentは、障害対応とセキュリティテストという現場が長年抱えてきた工数の問題に、コスト面でも技術面でも現実的な回答を出したサービスです。インフラへの直接変更権限がないこと、対応リージョンの制限、データ所在地の考慮が必要なことを踏まえた上で、2ヶ月の無料トライアルから試すのが現実的な第一歩です。