Amazon Inspector Classic と Amazon Inspector v2 の違いをまとめてみた

和田響

2024.03.21

はじめに

こんにちは。AWS事業本部コンサルティング部に所属している和田響です。

re:Invent2021で「Amazon Inspector v2」としてリニューアルされたAmazon Inspectorですが、それ以前のAmazon Inspectorは「Amazon Inspector Classic」として現在も使用可能です。

この記事では「Amazon Inspector Classic」と「Amazon Inspector v2」の違いをまとめてみました。

どなたかのお役に立てれば幸いです。

前提

前述の通りre:Invent2021で「Amazon Inspector v2」が発表され、それまでのAmazon Inspectorは「Amazon Inspector Classic」と呼ばれることになりました。

したがって、現時点においてのAmazon Inspectorとは多くの場合「Amazon Inspector v2」のことを指していることを理解しておきましょう。

両者の違い

前提として「Amazon Inspector Classic」と「Amazon Inspector v2」かなり差分があるので、この記事における比較はあくまでも重要な部分を比較するものであることをご理解いただければと思います。

先にまとめ

	Classic	v2
検出対象	EC2インスタンス	EC2 インスタンス ECRリポジトリのコンテナイメージ Lambda 関数
検出結果タイプ	一般的な脆弱性とその危険性ネットワーク到達可能性セキュリティのベストプラクティス(linux) CISベンチマーク	パッケージ脆弱性コードの脆弱性ネットワーク到達可能性 CISベンチマーク
エージェント	Amazon Inspector Classic エージェント	SSM エージェント
料金体系	基本的に評価数によって課金	基本的にリソース数に応じて課金
Inspector スコア	なし	あり

検出対象のリソース

Classic	v2
EC2インスタンス	EC2 インスタンス ECRリポジトリのコンテナイメージ Lambda 関数

ClassicではEC2インスタンスのみでしたが、v2の登場以降はECRリポジトリのコンテナイメージおよびLambda 関数が検出対象になりました。

検出結果タイプ

Classic	v2
一般的な脆弱性とその危険性ネットワーク到達可能性セキュリティのベストプラクティス(linux) CISベンチマーク	パッケージ脆弱性コードの脆弱性ネットワーク到達可能性 CISベンチマーク

v2の登場以降はLambda 関数が検出対象になったことにより、コードの脆弱性を評価してくれるようになりました。
一方でClassicでLinuxのみ評価対象だったセキュリティのベストプラクティスは、v2では評価の対象ではないようです。(Security Hubと役割が被るからでしょうか？)

インストールが必要なエージェント

Classic	v2
Amazon Inspector Classic エージェント	SSM エージェント

ClassicではAmazon Inspector専用のエージェントをインストールする必要がありましたが、v2ではSSM エージェントに変更されました。
SSM エージェントはSystemsManagerの機能を使う上でも必要になるため、結果的にSSM エージェントの対応範囲が広がった形になりました。

料金体系

Classic	v2
基本的に評価数によって課金	基本的にリソース数に応じて課金

Classicでは基本的にインスタンス評価数によって課金されていましたが、v2ではインスタンスごとに月額で費用がかかりす。
Classicの場合

月額	インスタンス評価ごと
最初の 250 件のインスタンス評価	$0.15
最初の 750 件のインスタンス評価	$0.13
最初の 4,000 件のインスタンス評価	$0.10
最初の 45,000 件のインスタンス評価	$0.07
他のすべてのインスタンス評価	$0.04

v2の場合
「1 か月あたりにスキャンされた Amazon EC2 インスタンスの平均数」 * 1.512USD

詳しくは各料金表を参照ください。

Inspector スコア

Classic	v2
なし	あり

v2からの機能でInspectorスコアというのもが実装されました。
ベンダーのスコアとAWSの環境をもとに集計してくれるようで、個別の環境に応じたスコアリングが可能になりました。

Amazon Inspector スコアは、Amazon Inspector が各 EC2 インスタンス検出結果ごとに作成される、状況に応じたスコアです。Amazon Inspector スコアは、CVSS v3.1 の基本スコア情報を、ネットワーク到達可能性の結果や悪用可能性データなど、スキャン中にコンピューティング環境から収集された情報と関連付けることによって決定されます。たとえば、脆弱性がネットワーク上で悪用可能であるのに、Amazon Inspector が脆弱なインスタンスへのオープンネットワークパスがインターネットから利用できないと判断した場合、検出結果の Amazon Inspector スコアは基本スコアよりも低くなる可能性があります。

サポートOS

Classicとv2ではサポートされているOSの種類、ディストリビューション及びバージョンが異なります。
サポートOSの種類は以下の差があり、v2ではLinuxとWinsows Serverに加えてmacOSをサポートしています。

Classic	v2
Linux	Linux
Windows Server	Windows Server
	macOS

サポートされているLinuxディストリビューションの種類は以下の差があり、v2の方が多くのディストリビューションをサポートしています。

Classic	v2
Amazon Linux	Amazon Linux
Ubuntu	Ubuntu
Debian	Debian
RHEL	RHEL
CentOS	CentOS
	Bottlerocket
	Fedora
	openSUSE
	Oracle Linux
	Rocky Linux
	SUSE Linux

サポートされているOSのバージョンもClassicとv2で差があり、基本的にはv2の方が新しいバージョンをサポートしています。
以下にWIndows Serverの例を挙げます。

Classic	v2
Windows Server 2008 R2	Windows Server 2016
Windows Server 2012	Windows Server 2019
Windows Server 2012 R2	Windows Server 2022
Windows Server 2016
Windows Server 2019

どちらを使うべきか

ここまで「Amazon Inspector Classic」と「Amazon Inspector v2」の違いについてまとめてきましたが、「結局どっちを使えば良いのか？」と疑問を持たれると思います。
これに対する回答としては、「新規でAmazon Inspectorを使用する場合は基本的にv2を使用すべき」といえます。

前述の通りAmazon Inspector v2はAmazon Inspector Classicに比べて対応範囲が広くなり、非常に使い勝手が良くなりました。反対に現在ではAmazon Inspector ClassicではできたけどAmazon Inspector v2ではできないことはほとんどありません。
したがって、新規でAmazon Inspectorを利用する場合はAmazon Inspector v2を使用することをお勧めします。

Classicからv2へ移行すべきか

現在Amazon Inspector Classicを使っているがAmazon Inspector v2に切り替えるべきかという疑問も湧くはずです。
これに対する回答としては、「急務ではないが長期的にみてv2に移行した方が良い」といえます。

Amazon Inspector v2の登場でかなり便利にはなったものの、Amazon Inspector Classicが利用できなくなったわけではないので、Amazon Inspector Classicを利用している方は引き続き利用可能です。そのため、急いでAmazon Inspector v2に移行する必要があるわけではありません。
しかしながら、将来的にECRやLambdaを利用する可能性や、Amazon Inspector v2のアップデートでより使い勝手が良くなる可能性を考えると、可能であればAmazon Inspector v2に移行すべきだと思います。