【Security Hub修復手順】[Inspector.3] Amazon Inspector の Lambda コードスキャンを有効にする必要があります

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

平井裕二

2024.08.19

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda code scanning should be enabled

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

本コントロールは、Amazon Inspector Lambda コードスキャンが有効になっているかどうかをチェックします。
Lambda コードスキャンが無効の場合、コントロールは「失敗」と判定されます。

Lambda コードスキャンは、Amazon CodeGuruを活用したAWSセキュリティベストプラクティスに基づき、カスタムコードをスキャンします。

サポートされているプログラミング言語には、以下があります。詳細

Lambda コードスキャンを有効化しない場合、以下のようなセキュリティリスクが生じる可能性があります。代替のソリューションを導入していない場合は、有効化をお勧めします。

なお、Lambda コードスキャンを有効化する際は、Lambda 標準スキャンも同時に有効化する必要があります。

東京リージョンでの料金は、以下の通りです。1ヶ月間でLambda関数1つあたり、0.65 USDかかります。

Lambda コードスキャンで、1か月あたりにスキャンされた AWS Lambda 関数の平均数： 0.65 USD per Lambda 関数
- Lambda 関数の平均数 = (Lambda 関数に対する Amazon Inspector のカバー時間の合計)/(1ヶ月、つまり720時間)

Lambda コードスキャンを有効化すると、過去90日間に呼び出されたか更新されたすべての Lambda 関数がスキャンの対象となります。

また、以下のタイミングでLambda関数がスキャンされます。

AWSが示す本機能の有効性の一例として、Lambda 関数内にハードコードされたアクセスキーの検出が挙げられます。
この事例は、デプロイされたLambdaに脆弱性が発見された場合、スキャンし検知できることを示しています。

マルチアカウント環境では、このコントロールは委任された Amazon Inspector 管理者アカウントでのみ評価されます。

組織内のメンバーアカウントにおけるLambda コードスキャン機能の有効化または無効化は、委任された管理者アカウントのみが実行できます。

メンバーアカウントは、自身のアカウントからこの機能の設定を変更することはできません。

AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「Inspector.3」を検索し、タイトルを選択します。
リソースの欄から失敗が確認できます。

ステークホルダー（リソースの作成者や管理している部署などの関係者）に以下の点を確認します。

Inspector Lambda コードスキャンを有効化してよいか
- 有効化しない場合は、Security Hubで当該コントロールを「抑制済み」に設定します。

AWSマネジメントコンソールからInspectorサービスページに移動し、「Inspectorをアクティブ化」をクリックします。
「AWS Lambda（標準 + コード）」が有効化されていれば、作業は完了です。
アクティブ化されていない場合、[アクティブ化] から [AWS Lambda 標準スキャン + AWS Lambda コードスキャン] を選択し、[Submit] をクリックすることで有効化できます。