Amazon InspectorでLinuxインスタンスの脆弱性を確認する方法

Amazon InspectorでLinuxインスタンスの脆弱性を確認する方法

Clock Icon2024.11.05

はじめに

かつまたです。LinuxインスタンスにSSM Agentを導入し、Amazon Inspectorを有効化することでインスタンス内に潜む脆弱性を確認する手順を試してみたので、ご紹介します。

Inspector有効化

利用リージョンにおいて、Inspectorを有効化していない際は、使用にあたって、Inspectorを有効化する必要があります。
1.マネジメントコンソール上でAmazon Inspectorに移動します。

2.「Inspector をアクティブ化」を選択し、アカウントの現在のリージョン内で、Inspectorを有効化します。
スクリーンショット 2024-10-31 18.50.01.png

EC2起動

脆弱性を検知する対象であるLinuxのEC2インスタンスを作成します。Inspectorでインスタンスの脆弱性を検知する際にはインスタンスにSSM Agentが導入されている必要がありますが、AMIによってはSSM Agentがプリインストールされているものもあり、今回はプリインストールされているAmazon Linux 2 AMIを用いてインスタンスを作成します。SSM Agent がプリインストールされている AMIの一覧はこちらをご覧ください。

1.マネジメントコンソール上のEC2ダッシュボードから「インスタンスを起動」を選択し、AMIで「Amazon Linux 2 AMI」を選択します
EC2作成1.png

2.インスタンスの詳細設定は以下画像の通りに設定を行いました、セキュリティグループはSSHのインバウンドアクセスを許可しています。インスタンスを起動します。
EC2作成2.png

ロール作成

EC2インスタンスがSSMサービスを使用するために必要な権限を持つロールを作成し、EC2にアタッチします。
1.「IAM」に移動し、「ロール」→「ロールを作成」を選択します。
スクリーンショット 2024-10-31 19.22.50.png

2.「信頼されたエンティティタイプ」を「AWSのサービス」、「ユースケース」を「EC2」の「EC2 Role dor Systems Manager」と選択します。
IAMロール作成1.png

3.許可ポリシーに「AmazonSSMManagedInstanceCore」が選択されていることを確認します。
IAMロール作成2.png

4.ロール名を記入し、作成します。
IAMロール作成3.png

5.インスタンスに作成したロールをアタッチします。「EC2」で先ほど作成したインスタンスを選択し、右上の「アクション」→「セキュリティ」→「IAMロールを変更」から作成したロール名を選択し、ロールを更新します。
IAMロール変更.png
IAMロール変更.png

脆弱性確認

作成したインスタンスに対するInspectorによる、脆弱性チェックの結果を確認します。
1.マネジメントコンソール上で「Inspector」→「インスタンス別」に移動します。

2.作成したインスタンスIDを選択し、検出されている脆弱性を確認できます。通常では各項目に対して必要な対策を実施します。
脆弱性検出.png

Inspector非有効化

Inspectorを今後利用せず、余分なコストを抑えたい際は、Inspectorの非有効化が有用です。

1.マネジメントコンソール上で「Inspector」に移動し、「全般設定」を選択します。

2.「Amazon Inspector を非アクティブ化」を選択し、Inspectorを非有効化します。
非アクティブ.png

おわりに

Amazon Inspectorを使ってみて、GUIを使って数ステップで評価ターゲットを設定でき、セキュリティ評価を簡単に開始できるInspectorの設定の簡単さを実感できました。ご覧いただきありがとうございました。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.