【Security Hub修復手順】[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECR scanning should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

本コントロールは、Amazon Inspector ECRスキャンが有効になっているかどうかをチェックします。
Inspector ECRスキャンが有効になっていない場合、このコントロールは「失敗」と判定されます。

ECRには基本スキャンと拡張スキャンの2種類があります。
基本スキャンは、コンテナイメージのOSのみがスキャン対象ですが、拡張スキャンではOSとプログラミング言語パッケージの両方の脆弱性をスキャンします。

基本スキャンと拡張スキャンの主な違いを、以下の表にまとめました。

特徴	拡張スキャン	基本スキャン
スキャンエンジン	Amazon Inspector	オープンソースの Clair
スキャン対象	OSとプログラミング言語パッケージ	OSのみ
スキャン頻度	自動継続的スキャン、プッシュ時	プッシュ時
手動スキャン	サポートなし	サポートあり
脆弱性インテリジェンス	詳細なインテリジェンスを提供 (修復バージョンの存在、攻撃が可能か否かなど)	脆弱性に関する基本情報のみを提供
脆弱性スコアリング	CVSS v2、v3	CVSS v2、v3
コスト	有料	無料
AWSサービスとの統合	AWS Security Hub AWS Organizationsなど	なし
新規追加の脆弱性はEventBridgeにイベント発行	される	されない

https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AmazonInspector_0228_v1.pdf

Amazon Inspector ECRスキャンを有効化しない場合、以下のようなセキュリティリスクが生じる可能性があります。代替のソリューションを導入していなければ、有効化しましょう。

• コンテナイメージ内のOSやプログラミング言語パッケージの脆弱性を見逃す可能性がある
• 継続的にスキャンされないので、新たに発見された脆弱性(CVE)に対して迅速に対応が難しい

AWSによる本機能の有効性を示す事例として、2021年に発生したLog4jの脆弱性が挙げられます。
この事例では、既存のワークロードで利用されているパッケージに新たな脆弱性が発見された場合でも、ほぼリアルタイムでスキャンし、検知できることが示されています。

https://aws.amazon.com/jp/blogs/news/using-aws-security-services-to-protect-against-detect-and-respond-to-the-log4j-vulnerability/

東京リージョンでの料金は、以下の通りです。

• プッシュしたコンテナイメージ1つあたり：0.11 USD
• コンテナイメージの自動再スキャン１回あたり： 0.01 USD

https://aws.amazon.com/jp/inspector/pricing/?nc=sn&loc=3

スキャンタイミング

ECRの拡張スキャンを有効化した際、過去30日間にプッシュまたはプルされたイメージをスキャンします。

https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning-troubleshooting.html

また、有効化したのち、ECRのスキャンは、以下のタイミングで行われます。

• 新しいコンテナイメージがプッシュされる場合。
• Inspector CVEがデータベースに新しい一般的な脆弱性と露出 (CVE) 項目を追加し、そのコンテナイメージに関連する場合。

コンテナイメージの自動再スキャンは、イメージのプッシュ日とプル日の両方に設定された再スキャン期間に基づきます。

マルチアカウントの場合

マルチアカウント環境では、このコントロールは委任されたAmazon Inspector管理者アカウントのみが評価されます。

組織内のメンバーアカウントにおけるECRスキャン機能の有効化または無効化は、委任された管理者アカウントのみが実行できます。

Amazon Inspectorのメンバーアカウントは、自身のアカウントからこの設定を変更できません。

修復手順

1 コントロールの確認方法

1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「Inspector.2」を検索し、タイトルを選択します。
   
2. リソースの欄から失敗が確認できます。
   

2 ステークホルダーに確認

ステークホルダー（リソースの作成者や管理している部署などの関係者）に以下の点を確認します。

• Inspector ECRスキャンを有効化してよいか
  • 有効化しない場合は、Security Hubで当該コントロールを「抑制済み」に設定します。

3 有効にする

1. AWSマネジメントコンソールからInspectorサービスページに移動し、「Inspectorをアクティブ化」をクリックします。
   
2. 「Amazon ECR スキャン」が有効化されていれば、作業完了です。
   
3. アクティブ化されていない場合、[アクティブ化]から[Amazon ECRスキャン]を選択し、Submitをクリックすると有効にできます。
   

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

参考

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/scanning-resources.html

https://dev.classmethod.jp/articles/amazon-ecr-enhanced-scanning/