
【大阪開催】 AWS re:Inforce 2025 振り返り勉強会にて「Amazon InspectorとAmazon Verified Permissionsのアップデート & 現地情報の紹介」というタイトルで登壇しました! #reInforce_osaka
はじめに
こんにちは、コンサル部の神野です。
2025年7月2日に開催された 【大阪開催】AWS re:Inforce 2025 振り返り勉強会 にて、 「Amazon InspectorとAmazon Verified Permissionsのアップデート & 現地情報の紹介」 というタイトルで登壇しましたー!
最初はAmazon Inspectorのアップデートを中心に取り上げようと思ったのですが、
他拠点でも同じアップデートについては多く語られているので、それぞれのアップデート情報少なめにして現地の情報とAmazon Verified Permissionsのアップデートは誰も取り上げられていなかったので盛り込もう!!と思い、盛り込んで発表してきました!
東京や札幌で開催されたre:Inforce振り返り勉強会でのAmazon Inspectorのアップデートに関する登壇は下記となります!ぜひ合わせてご参照ください!
登壇資料
Amazon Inspectorのアップデート
早速アップデート紹介
Amazon InspectorでアプリケーションコードとIaC (Infrastructure as Code) コードの静的解析がサポートされるようになりました!
これまで、ソフトウェアライブラリに含まれる脆弱性を検査するSCA (Software Composition Analysis) はサポートされていましたが、SAST (Static Application Security Testing) はAmazon CodeGuru Securityのみでサポートされており、使い分けが必要でした。今回のアップデートにより、InspectorでもSASTおよびIaCコードの静的解析がサポートされました!
GitHubと連携して、プッシュやPRが行われたタイミングで静的解析が行われるのは嬉しいですね。
試してみる
早速試してみます!
脆弱性を大量に含んだリポジトリを作成し、Code Securityでスキャンする例を見てみましょう。
仮にこんなアプリケーションが存在したら怖いですよね・・・
下記のように設定が可能です。
- ソースコードを変更したタイミングでScanするかどうか
- 定期的にScanするかどうか
- ScanのトリガーはPR、Pushなど
- SAST、IaC、SCAなどのScanを有効にするかどうか
GitHubとの接続を作成し、権限を許可すればスキャン可能な状態となります。
接続できたら、下記のようにCode repositriesにレポジトリが追加されています。
早速On-demand Scanを実行してみます。
スキャン結果として、脆弱性が検出されます。
めちゃくちゃ検出されていますね。仕込んだ甲斐がありました。
確認してみる1 (SAST)
まずはSASTに対応可能となったアップデートなので、SASTから確認してみます。下記の検出結果は認証情報をハードコードしている箇所に対するものです。
関連するCWEやAmazon Q Detector Libraryを参照して違反したルールを検出し、検出された脆弱性に対しては修正案も提示されます。
修正方針まで分かるのはありがたいですね。
補足:Amazon Q Detector Libraryとは
Amazon Q Detector Libraryは、Amazon Q Developerがコードレビュー機能(/review
)でセキュリティ脆弱性やコード品質問題を検出する際に使用するディテクターの詳細情報と修正方法を提供するドキュメントリソースです。
確認してみる2 (IaCコード)
次にIaCコードの検出結果を確認してみましょう。セキュリティグループを開放してしまっている例です。
こちらも同様にAmazon Q Detector Libraryを参照して違反したルールを検出し、修正案や何が問題なのかを説明してくれます。
不用意な設定をした場合に検知できるので良いですね。また修正方針の提示もありがたいです。
確認してみる3 (SCA)
SCAの検出結果も見てみましょう。
CVEのIDや対策も記述されており、requirements.txt
に記載されたパッケージ情報をしっかりと検知してくれます。
料金
Amazon Inspector Code Securityの料金体系は以下の通りです(東京リージョン)。
基本料金
- リポジトリあたり、スキャンタイプ(SAST、SCA、IaC)ごとに $0.18/スキャン
- 10MBを超えるリポジトリは複数リポジトリとしてカウントされます
- 例:100MBのリポジトリは10リポジトリとして課金
料金計算例
500リポジトリで週1回の定期スキャン(SAST、SCA、IaC)を設定した場合
- 初回スキャン:500リポジトリ × $0.18 × 3スキャンタイプ = $270
- 定期スキャン(月4回):500 × 4 × $0.18 × 3 = $1,080
- 月額合計:$1,350
詳細な料金情報はAmazon Inspector料金ページをご確認ください。(日本語だと料金がまだ反映されていないので英語でご確認ください・・・!)
その他・注意点
現状、Amazon Inspector Code Securityはデフォルトブランチ(main
ブランチなど)しかチェックされません。そのため、仮にデフォルトブランチをmain
ブランチとした場合、PRをmain
ブランチにマージする運用だと、チェックされるタイミングが遅くなる可能性があります。
より早期にチェックする場合は、Amazon Q DeveloperやCodeGuru Securityも活用する必要があります。ただし、CodeGuru Securityとの棲み分けや、どのタイミングでチェックするかを運用として考える必要があります。
まとめ (Amazon Inspector)
今回のアップデートでSASTとIaCコードの静的解析もサポートされ、脆弱性検出が一元化されました!GitHubとシームレスに連携して、修正案まで提示してくれるので対応もしやすくて便利です。ただし現状はデフォルトブランチのみのチェックなので、より早い段階でチェックしたい場合はAmazon Q DeveloperやCodeGuru Securityとの併用も検討が必要かと思います。
Amazon Verified Permissionsのアップデート
Amazon Verified Permissionsにも新しいアップデートがありました。
早速アップデート紹介
Amazon Verified PermissionsのExpress.js統合ライブラリがリリースされました!
これにより、以下の機能が提供されます。
- OpenAPIスキーマからの自動生成: APIの定義から自動的にCedarスキーマを生成し、エンドポイントとアクションの自動マッピングが可能になります。
- Express.jsミドルウェアの提供: わずか数行のコードで統合可能で、リクエストの自動解析と認可判定を行い、トークンベースの認証とも連携します。
自前でコードを書く量が減って良さそうなアップデートですね!!
ただ、そもそもAmazon Verified Permissionsとは・・・?となりませんか?
会場では知っている人・使っている人はいますかと問いかけたのですが、誰も手が上がりませんでした・・・
今後積極的に発信した認知を広げていきたいですね。
Amazon Verified Permissionsとは?
Amazon Verified Permissionsは、認可機能をマネージドなサービスとしてオフロードできるサービスです。Cedar言語という直感的な言語を活用して、権限をコントロールできます。
Cedar言語とは
Cedarは、AWSが開発した認可専用の言語で、以下の4つの設計原則に基づいて設計されています。直感的な書き方でわかりやすいですね。
なぜ認可を外部に切り出すのか
認可ロジックは最初はシンプルですが、要件が複雑化してロジックが肥大化しやすい印象があります。そこをマネージドサービスである、Amazon Verified Permissionsでオフロードしようといった考え方です。
実装するとどういったアーキテクチャになるか
例えばこれまでEC2で認可ロジックを行っていたものを、Amazon Verified Permissionsにオフロードする形となります。
今回のアップデートによって、Express.js上でクライアントとMiddlewareを作成して使用するだけで認可をオフロードできるようになりました。便利ですね!
ただし、事前にやらないといけないこともあります。Amazon Verified PermissionsにスキーマやポリシーをOpenAPIスキーマから変換して登録しておく必要があります。リリース当初のAWSブログで紹介されていたやり方だと上手く変換されなかったケースもあったため、もし詰まった場合はやってみたブログを参照してください。
現状はExpress.jsしか対応していないため、他のWebフレームワークでも統合ライブラリリリースして欲しいですね!Honoとか!!!
まとめ (Amazon Verified Permissions)
Cedar言語を使って認可機能をマネージドサービスにオフロードできるのがAmazon Verified Permissionsです。今回Express.js統合ライブラリがリリースされ、わずか数行のコードで認可をオフロードできるようになりました!他のWebフレームワークでも対応してほしいですね!
現地体験 (re:Inforce 2025)
re:Inforce 2025に現地参加してきました!控えめに言って最高すぎました!!!
スケジュール
ジャパンツアーで6/15~6/21まで移動込みでNY・フィラデルフィアに行っていました。
- 6/15: 11時に羽田発、11時にNY着、フィラデルフィア観光、ジャパンナイト
- 6/16~6/18: レジストレーション、セッション、Keynote、ご飯配布、クロージングパーティ
- 6/19: NY軽く観光、AWS NYオフィス見学、国連ツアー、NY観光
- 6/20: ホテルで朝ごはん、13時にNY発
初日は移動 & フィラデルフィア観光を行いました。私は海外初心者なので入国審査で英語も自信がなかったので、入国審査で心臓が止まるほど緊張しました。
あらかじめ聞かれそうなことを調べてまとめていたおかげでことなきを得てほっとした記憶があります。
いよいよ6/16からはre:Inforceが始まりました!
参加者多数でレジストレーションに40分並びましたが、会場自体は広すぎずコンパクトに色々と回れました。Builder's SessionやLTなど面白いセッションに参加したらSWAGを入手したりと最高でした。
開発面でのセキュリティ、生成AIに関するセキュリティみたいな話も多く面白いセッションばかりでした。参加したいセッションが大量にあったのですが、時間の関係で聞けなかったセッションもあるのが悔しいです涙
最近のホットトピックであるVibe Codingの話題も聞いてきました!
各メンバーが参加したセッションブログの一覧も参照可能です!
面白いセッションばかりなので、ぜひ興味があれば見てみてくださいー!!
6/17はKeynoteで多くのサービスがアップデート発表されて、テンションが上がりました。自分が知っているサービスがこんな大きい会場で新機能の発表されると何やらグッとくるものがありますし、すぐに検証してみたくなりますよね。
最終日はAWS NY オフィスを見学およびツアーの皆様と交流、終了後はNY観光(国連ツアー)しました!
国連ツアーの手荷物検査が厳しくて、何度もツッコミを喰らってあたふたして大変でした・・・
特に印象的だったのはAWS NY オフィスのBuilder Studioで、こんな風にAWSサービスを活用して面白いソリューションができるだと刺激になりました。
1日の流れは弊社あしざわのブログが参考になるので、ぜひ興味があれば見てみてください!
まとめ (現地体験)
海外カンファレンスは初めてでしたが、現地でセッションを受けるのは大変勉強になりました!また、現地でブログを書くことで最速でアップデート情報をキャッチアップして発信できるのは何よりも楽しく、嬉しい体験で最高でしたー!!
おわりに
アップデート情報および現地体験の話はいかがだったでしょうか。
少しでも皆さんにとって刺激をお伝えできる発表でしたら何よりです!
最後までご覧いただきありがとうございましたー!!