【東京開催】 AWS re:Inforce 2025 振り返り勉強会にて「アプリケーションコードもIaCコードもまとめてチェック!Amazon InspcetorのCode Securityを試してみる!」というタイトルで登壇しました
2025.07.01こんにちは!クラウド事業本部の枡川です。
先日下記イベントで登壇してきました。
登壇資料
登壇資料に関する補足
Inspector Code Security は GitHub などのソースコード管理ツールと連携して、SAST(Static Application Security Testing) や SCA(Software Composition Analysis)、IaC テンプレートの静的スキャンなどを行うことができる機能になります。
リポジトリ側でチェックするため、実際にデプロイする前に検知しやすいことが特徴です。
今までも Lambda 上のコードであれば、アプリケーションの脆弱性もチェック可能でした。
今回のアップデートで、コードが GitHub などに上がってさえいれば、ワークロードに関係無くチェックできるようになりました。
現れる概念は下記 4 つしかなく、かなりシンプルです。
- Code Repository
- Configuration
- Finding
- Integration
スキャンタイミングとどのスキャン (SAST, SCA, IaC Scan) を行うかを選択可能です。
デフォルトブランチへの PR 作成時と週次で 3 種類全てのスキャンを行う設定が推奨のようです。
スキャン回数とどのスキャンを行うかはコストに響いてくるので、コストを最適化したければ細かく設定する形になります。
GitHub との連携時は、リポジトリ内のコンテンツに対する読み取り権限と PR に対するコメント権限が必要です。
PR 作成時に内容を確認して、コメントさせるようなこともできます!
実際の検知画面は下記のようになります。
脆弱性の場所もわかりやすく示してくれていますね。
今回は ECS タスクに付与した権限が広すぎないかと指摘されています。
検知した際、ディテクター名が表示され、リンクを踏むと Amazon Q Detector Library に遷移します。
Amazon Q Developer のレビュー機能や Lambda のコードスキャン同様、こちらを元にチェックを行っているようです。
Amazon Q Detector Library の話ですが、TypeScript という括りの中にアプリケーション実装に関わる脆弱性や CDK 実装時の確認観点などが混ざって格納されているのが AWS に最適化されているように感じて面白いなと感じました。
今回、脆弱性を備えた PR を作成してみたのですが、上手く検知させられなかったです。
DB のパスワードもアプリケーションコードに埋め込んだし、Amazon Q Detector Library から SQL Injection が含まれるサンプルコードを引っ張ってきたんですけどね...
精度に関してはこれから上がってくると思いますし、私の使い方の問題もあるかもしれないので、引き続き検証して発信したいと思います。
仕様上の制約として、デフォルトブランチだけしか対象に取らないというものがあります。
main ブランチへ PR を作るタイミングが遅いブランチ運用にはあまり向いていないかもしれません。
また、シフトレフトの文脈ではありますが、PR 作成時点で気づくのは少し遅いという話もあります。
都度ローカルで実行しやすい Q Developer review 機能や CI に組み込みやすい CodeGuru Security なども併用していくと良いかなと思いました。
特に CodeGuru Security との使い分けは難しい所ですけどね...
Inspector ということで、Security Hub との連携は本当に楽で大きなメリットです。
何も考えなくても勝手に連携されている感じです。
新しくなった Security Hub の画面を見れば、Security Hub CSPM の検出結果などと合わせてアプリケーションコードの脆弱性を確認できるのはすごく体験が良かったです。
料金はリポジトリ数と、スキャン回数、利用している機能数で決まってきます。
従量課金でスモールスタートしやすいです。
以前から Lambda 上のコードであればアプリケーション側の脆弱性もチェックできましたが、GitHub などと連携さえすれば、どんなワークロードでもアプリケーションコードの脆弱性をスキャンできるようになりました。
AWS というプラットフォームの中で従量課金で使えるというのはかなり始めやすく、非常に大きなメリットだと思います。
機能が強化された Security Hub への連携しやすいのもとても良いですね!
![[セッションレポート]ソフトウェア開発サイクルを生成AIを使ってセキュアにするアプローチについて聴講しました #AWSSummit](https://images.ctfassets.net/ct0aopd36mqt/IpyxwdJt9befE2LRbgxQg/028ee4834e885c77086d6c53a87f1c10/eyecatch_awssummitjapan2025_sessionj_1200x630.jpg)
![[待望の機能]新しいAWS Security HubでExposureを検出してアタックパスの可視化を実際にやってみた #AWSreInforce](https://devio2024-media.developers.io/image/upload/v1750239612/user-gen-eyecatch/f6aqhbgtzovsnvsetijl.jpg)
![[プレビュー]AWS Security Hubが機能分離され統合セキュリティソリューションに生まれ変わりました #AWSreInforce](https://devio2024-media.developers.io/image/upload/v1750182741/user-gen-eyecatch/qkcx7ur7lucwpwcit7rv.jpg)
