AWS入門ブログリレー2024〜 Amazon Inspector 編〜
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
当エントリは弊社 AWS 事業本部による『AWS 入門ブログリレー 2024』の 8 日目のエントリです。
このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。
AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。
Amazon Inspector とは
Amazon Inspector とは、ソフトウェアの脆弱性や意図しないネットワークの露出を継続的にスキャンする脆弱性管理サービスです。
Classic と v2 について
2021年にそれまでの Amazon Inspector を大幅にアップデートした「Amazon Inspector v2」が発表されました。
「Amazon Inspector v2」は、厳密にはそれまでの Amazon Inspector とは別のサービスと言う位置付けになるため、それまでの Amazon Inspector は「Amazon Inspector Classic」と呼ばれるようになりました。
したがって、現時点においての Amazon Inspector とは多くの場合「Amazon Inspector v2」のことを指しています。 本エントリの内容も「Amazon Inspector v2」についての記載になります。
両者の違いについては以下の記事を参照ください。
脆弱性検出
検出対象
Amazon Inspector は以下のリソースの脆弱性を検出します。
- Amazon EC2 インスタンス
- Amazon Elastic Container Registry (Amazon ECR) のコンテナイメージ
- AWS Lambda 関数
検知できる脆弱性の種類
Amazon Inspector は大きく分けて「パッケージ脆弱性」「コードの脆弱性」「ネットワーク到達可能性」を検知可能です。
パッケージ脆弱性
パッケージ脆弱性の検出結果は、共通脆弱性識別子 (CVE) が露出されている AWS 環境内のソフトウェアパッケージを特定します。
攻撃者が、こうしたパッチが適用されていない脆弱性を利用し、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があるものを検知し、セキュリティ向上に役立てます。
Amazon Inspector ではEC2インスタンス、ECR コンテナイメージ、およびLambda 関数についてパッケージ脆弱性の検出することができます。
コードの脆弱性
コード脆弱性の検出結果は、攻撃者が悪用する可能性のあるコード内の行を特定します。コードの脆弱性には、インジェクションの欠陥、データ漏洩、脆弱な暗号化、コード内の暗号化の欠落などがあります。
Amazon Inspector は、自動推論と機械学習を使用して Lambda 関数のアプリケーションコードを評価することができます。
ネットワーク到達可能性
ネットワーク到達可能性の検出結果は、環境内のEC2インスタンスへのネットワークパスが開いていることを示しています。
インターネットゲートウェイ (Application Load Balancer または Classic Load Balancer の背後にあるインスタンスを含む)、VPC ピアリング接続、または仮想ゲートウェイを介した VPN など、VPC エッジから TCP および UDP ポートに到達可能かどうかを検知します。
CIS ベンチマークの評価
Amazon Inspector では追加の設定をすることで、信頼された業界標準のセキュリティガイドラインであるCIS ベンチマーク(Center for Internet Security Benchmarks)の評価が可能です。
ユースケース
リリース(リプレイス)前の脆弱性検出
システムを新規にAWSで構築する場合や、オンプレミスからAWSに移行する場合に、サーバに脆弱性がないことをあらかじめチェックしておくのに役立ちます。
要件に合わせてCIS ベンチマークの評価も活用できます。
定期的なセキュリティチェック
脆弱性の検出は1回きりで終わるものではありません。日々発見される脆弱性に都度対応していかなくてはなりません。
Amazon Inspector を使うことで定期的に脆弱性を検出できるので、「新たな脆弱性の存在を知らなかった」ということを減らすことができます。
料金
Amazon Inspector の料金はやや複雑ですが、廉価で利用できるのが特徴です。
以下に EC2 インスタンスに対して Amazon Inspector を使用する場合の料金を示します。
EC2 インスタンスのスキャン
EC2 インスタンスの「パッケージ脆弱性」および「ネットワーク到達可能性」のスキャンにかかる一カ月ごとの料金は以下の通りです。
1 か月あたりにスキャンされた Amazon EC2 インスタンスの平均数 * 1.512USD
EC2 インスタンスの CIS ベンチマークの評価
EC2 インスタンスの OS 対する CIS ベンチマークの評価にかかる一カ月ごとの料金は以下の通りです。
1 か月あたりの評価数 * 0.03USD
ECR や Lambda を含む料金の詳細は以下の公式ドキュメントを参照ください。
やってみた
以下のブログで 「Windows OS の EC2 インスタンスに対して Amazon Inspector を有効にする」方法を記載しています。
最後に
以上、『AWS 入門ブログリレー 2024』の8日目のエントリ『Amazon Inspector』編でした。 次回、4/2は弊社なおにしによる『AWS Site-to-Site VPN』編の予定です!