Inspectorの抑制ルールを使ってみる

こんにちは、コンサルティング部の南です。
皆さんInspectorを活用していますか？
Inspector V2ではInspector Classicではなかった新しい機能として「抑制ルール」という機能があります。

抑制ルールとは?

抑制ルールは、AWS Inspectorが検出した特定の脆弱性やセキュリティリスクを一時的に抑制する設定です。

Inspector V2ではInspector Classicと違い、評価ターゲットを設定して特定のインスタンスのみに限定したり、評価テンプレートで特定のルールパッケージのみに限定することが出来ません。その為全ての診断結果がダッシュボード上に表示されてしまいます。

抑制ルールを設定することで、現在対処できない問題や意図的に無視したい問題を、ダッシュボードから除外することができます。
具体的な適用例として以下の場合も考えられるでしょう。

• 開発/テストマシンなど脆弱性を認識しているが、対応の優先度が低い場合
• 既知のセキュリティリスクがあるが、ビジネス上の理由で直ちに修正できない場合
• Inspectorで検知はされているが、対象外の脆弱性である場合
• 脆弱性の数が多い為、脆弱性スコアが低く優先度の低い問題を一時的に抑制したい場合

抑制ルールの適用により、関心を持つべき問題に焦点を絞り、効率的な対応が可能になります。

抑制ルールの仕様について

Inspectorの仕様で抑制された調査結果は、SecurityHubではFindingsとして連携はされますが、EventBridgeへは連携されません。
例えばInspectorの検知結果をSNSを利用してメール通知する場合、SecurityHubで一度集約してからEventBridgeを利用するパターンとInspectorから直接EventBridgeを利用するパターンがあります。 その為、抑制ルールの影響を考慮した運用が必要です。

抑制方法

マネジメントコンソールから設定する方法を紹介します。

左側のナビゲーションパネルで「抑制ルール」をクリックします。 「抑制ルールの作成」ボタンをクリックし、ルール名と説明、抑制ルールのフィルターを設定します フィルターは複数選択可能であり、選択された複数のフィルターはAND条件でフィルタリングされます。
「このルールによって抑制された検出結果」の部分に実際に抑制される検出結果一覧が表示されます。

注意点

Inspectorで脆弱性管理を行う際は抑制ルールは便利な機能ですが、単なるフィルター機能として利用するとセキュリティリスクが高まる可能性があります。

その為以下のことに注意して利用する必要があります。

抑制ルールの設定前

問題が本当に無視できるものか慎重に検討/調査を行なって下さい。

抑制ルールを設定する際

フィルターを細かく設定し、ルールの適用範囲を限定して下さい。
フィルターの範囲が広すぎる場合、意図しない抑制を行なってしまい脆弱性を見落とす可能性もあります。

また、「説明」に抑制理由を記載したり、抑制ルールの適用状況や変更履歴を管理して適切な情報共有が行われるようにしてください。

抑制ルールを設定後

抑制ルールはあくまでも一時的な措置として利用し、問題が解決できるタイミングが来たらルールを削除/見直しを行なってしてください。

最後に

AWS Inspectorの「抑制ルール」機能は、現在対処できない問題や意図的に無視したい問題から一時的に抑制するために役立ちます。
ただし、単なるフィルター機能として利用せずに、ルールや運用の見直しを適宜行い、適切に活用してください！