【東京開催】 AWS re:Inforce 2025 振り返り勉強会にて「アプリケーションコードもIaCコードもまとめてチェック!Amazon InspcetorのCode Securityを試してみる!」というタイトルで登壇しました

【東京開催】 AWS re:Inforce 2025 振り返り勉強会にて「アプリケーションコードもIaCコードもまとめてチェック!Amazon InspcetorのCode Securityを試してみる!」というタイトルで登壇しました

こんにちは!クラウド事業本部の枡川です。
先日下記イベントで登壇してきました。

https://classmethod.connpass.com/event/357989/

登壇資料

https://speakerdeck.com/masukawa/re-inforce2025zhen-rifan-rimian-qiang-hui-ahurikesiyonkotomoiackotomomatometetietuku-amazon-inspcetornocode-securitywoshi-sitemiru

登壇資料に関する補足

Inspector Code Security は GitHub などのソースコード管理ツールと連携して、SAST(Static Application Security Testing) や SCA(Software Composition Analysis)、IaC テンプレートの静的スキャンなどを行うことができる機能になります。
リポジトリ側でチェックするため、実際にデプロイする前に検知しやすいことが特徴です。

reinforce-inspector-1.png

今までも Lambda 上のコードであれば、アプリケーションの脆弱性もチェック可能でした。
今回のアップデートで、コードが GitHub などに上がってさえいれば、ワークロードに関係無くチェックできるようになりました。

lambda-inspector.png

現れる概念は下記 4 つしかなく、かなりシンプルです。

  • Code Repository
  • Configuration
  • Finding
  • Integration

reinforce-inspector-3.png

reinforce-inspector-2.png

スキャンタイミングとどのスキャン (SAST, SCA, IaC Scan) を行うかを選択可能です。
デフォルトブランチへの PR 作成時と週次で 3 種類全てのスキャンを行う設定が推奨のようです。
スキャン回数とどのスキャンを行うかはコストに響いてくるので、コストを最適化したければ細かく設定する形になります。

reinforce-inspector-4.png

GitHub との連携時は、リポジトリ内のコンテンツに対する読み取り権限と PR に対するコメント権限が必要です。
PR 作成時に内容を確認して、コメントさせるようなこともできます!

reinforce-inspector-5.png

実際の検知画面は下記のようになります。
脆弱性の場所もわかりやすく示してくれていますね。
今回は ECS タスクに付与した権限が広すぎないかと指摘されています。

reinforce-inspector-6.png

検知した際、ディテクター名が表示され、リンクを踏むと Amazon Q Detector Library に遷移します。
Amazon Q Developer のレビュー機能や Lambda のコードスキャン同様、こちらを元にチェックを行っているようです。

reinforce-inspector-7.png

Amazon Q Detector Library の話ですが、TypeScript という括りの中にアプリケーション実装に関わる脆弱性や CDK 実装時の確認観点などが混ざって格納されているのが AWS に最適化されているように感じて面白いなと感じました。

reinforce-inspector-8.png

今回、脆弱性を備えた PR を作成してみたのですが、上手く検知させられなかったです。
DB のパスワードもアプリケーションコードに埋め込んだし、Amazon Q Detector Library から SQL Injection が含まれるサンプルコードを引っ張ってきたんですけどね...
精度に関してはこれから上がってくると思いますし、私の使い方の問題もあるかもしれないので、引き続き検証して発信したいと思います。

reinforce-inspector-9.png

reinforce-inspector-10.png

仕様上の制約として、デフォルトブランチだけしか対象に取らないというものがあります。
main ブランチへ PR を作るタイミングが遅いブランチ運用にはあまり向いていないかもしれません。

reinforce-inspector-11.png

また、シフトレフトの文脈ではありますが、PR 作成時点で気づくのは少し遅いという話もあります。
都度ローカルで実行しやすい Q Developer review 機能や CI に組み込みやすい CodeGuru Security なども併用していくと良いかなと思いました。
特に CodeGuru Security との使い分けは難しい所ですけどね...

reinforce-inspector-12.png

Inspector ということで、Security Hub との連携は本当に楽で大きなメリットです。
何も考えなくても勝手に連携されている感じです。
新しくなった Security Hub の画面を見れば、Security Hub CSPM の検出結果などと合わせてアプリケーションコードの脆弱性を確認できるのはすごく体験が良かったです。

reinforce-inspector-13.png

料金はリポジトリ数と、スキャン回数、利用している機能数で決まってきます。
従量課金でスモールスタートしやすいです。

reinforce-inspector-14.png

以前から Lambda 上のコードであればアプリケーション側の脆弱性もチェックできましたが、GitHub などと連携さえすれば、どんなワークロードでもアプリケーションコードの脆弱性をスキャンできるようになりました。
AWS というプラットフォームの中で従量課金で使えるというのはかなり始めやすく、非常に大きなメリットだと思います。
機能が強化された Security Hub への連携しやすいのもとても良いですね!

reinforce-inspector-17.png

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.