Amazon Inspectorは、AWSリソースの脆弱性のスキャンと評価を自動化するセキュリティ評価サービスです。導入が簡単で使いやすく、重要度の高い脆弱性を効率的に発見できるため、AWSユーザーに広く利用されています。本記事では、Amazon Inspectorの概要や特徴について解説します。1、Amazon Inspectorとは?Amazon Inspectorとは、Amazon EC2、AWS Lambda関数、Amazon ECRのコンテナイメージに対して、継続的に脆弱性を自動スキャンし検知することによって、脆弱性を管理するサービスです。脆弱性はセキュリティホールと呼ばれ、OSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となり発生するセキュリティ上の欠陥を指します。(1)Amazon Inspectorは何ができるサービス?どんな時に使う?Amazon Inspectorは50以上の脆弱性インテリジェンスソースを利用することで、オペレーティングシステムに対して継続的に自動スキャンを行うため、リアルタイムで脆弱性を検知することが可能です。ユースケースとしては、TTRの短縮や、脆弱性管理の効率化が考えられます。また、Amazon Inspectorの調査結果をパッチ管理のオートメーションプロセスの一部として組み込むことで、パッチ管理の効率化も考えられます。(2)Amazon Inspector対象のオペレーティングシステムAmazon Inspectorの対象オペレーティングシステムは、Amazon EC2、Amazon ECRのコンテナイメージ、Lambda関数になります。EC2やECRに関しては、スキャンをサポートしているOSが指定されているため、注意が必要です。Lambdaに関しては、サードパーティー製ソフトウェアパッケージの脆弱性に対する「標準スキャン」と、コードの脆弱性に対する「コードスキャン」が提供されています。(3)Amazon Inspectorの料金体系料金は、従量課金制を採用しており、主に「ネットワークの到達可能性ルールパッケージ料金」と「ホスト評価のルールパッケージ料金」に分かれています。以下は2024年4月時点の利用料金となりますので、最新の料金や、料金体系に関する注意事項は公式ドキュメントの「Amazon Inspector の料金表」をご確認ください。公式情報のサマリーは下記となります。サマリー・SSM エージェントベースのスキャンを使用して 1か月あたりにスキャンされた Amazon EC2 インスタンスの平均数 インスタンスごとに 1.512USD・エージェントレスベースのスキャン (プレビュー中) を使用して 1か月あたりにスキャンされた Amazon EC2 インスタンスの平均数 インスタンスごとに 2.0808USD・1か月あたりのEC2 インスタンスのオペレーティングシステムの CIS ベンチマーク評価数 0.03USD 1 インスタンスあたりのアセスメント・1か月あたりの Amazon ECR へのプッシュ時に最初にスキャンされたコンテナイメージの数 イメージごとに 0.11USD・1か月あたりの連続スキャン用に設定された Amazon ECR のコンテナイメージの自動再スキャンの数 リスキャンごとに 0.01USD・スキャンされたコンテナイメージの数 イメージごとに 0.03USD・Lambda 標準スキャンのみで、1か月あたりにスキャンされたAWS Lambda 関数の平均数 0.36USD per Lambda 関数・Lambda スタンダードとコードスキャンの両方で 1か月あたりにスキャンされた AWS Lambda 関数の平均数 0.36USD + 0.65USD per Lambda 関数2、Amazon Inspectorの特徴Amazon Inspectorは簡単に導入できるだけではなく、機能面においても様々なメリットがあります。(1)セキュリティチェックの自動化セキュリティチェックを自動で行うことで、開発等の本来実施すべき作業にリソースを割り当てることが可能です。通常、脆弱性の診断は、1ヵ月ペース等で定期的に実施する必要があり、開発業務等を兼任する担当者にとっては、セキュリティチェックにリソースを割かれてしまい大きな負担となります。そのため、自動でセキュリティチェックが可能になるということは、作業効率とセキュリティの両方が向上する効果が期待できます。(2)脆弱性・セキュリティリスクの早期発見Amazon Inspectorは、スケジュール設定に基づいて自動でスキャンを行います。Amazon EC2、Amazon ECRのコンテナイメージ、Lambda関数などをスケジュールに従って定期的に自動スキャンするだけでなく、新しいリソースが起動した際にもスキャンを自動で実行することが可能です。常にリアルタイムでセキュリティリスクを把握でき、脆弱性の早期発見と対策に役立ちます。また、リスクが高い項目から優先的に対処することができ、サイバー攻撃のリスクを最小限に抑えることができます。(3)ダッシュボード可視化Amazon Inspectorは直感的なダッシュボードで脆弱性やセキュリティリスクが可視化されるため、リアルタイムのメトリクスを確認でき、アカウント全体の状況を一目で把握できます。さらに、リソース名やタグでフィルタリングをすることができ、ターゲットを絞って確認することが可能です。このダッシュボードによって大規模な環境においても効率的に脆弱性を特定することができます。3、Amazon Inspectorの2つの評価Amazon Inspectorには主に2つの評価方法が存在します。(1)ネットワーク評価ネットワーク評価は、ネットワーク到達可能性を評価します。EC2インスタンスへのネットワークパスへ到達できることを示すため、インターネットゲートウェイ、VPCピアリング接続、仮想ゲートウェイを介したVPN等、VPCエッジからTCPおよびUDPポートへ到達できることを検出・評価・提示することが可能です。ネットワーク到達可能性は、24時間ごとにスキャンが実行されます。(2)ホスト評価ホスト評価は、共有脆弱性識別子、CISベンチマーク、Amazin Inspectorのセキュリティベストプラクティス、実行時の動作の分析を評価します。Amazon EC2、Amazon ECR、AWS Lambda関数のソフトウェアパッケージを対象にスキャンを行い、脆弱性を検出・評価・提示します。4、Amazon Inspectorの注意点Amazon Inspectorを利用する際に注意すべき点を紹介します。(1)セキュリティ対処は行われないAmazon Inspectorは、あくまで検出・評価・提示を行うのみで、実際に脆弱性に対して対処を行うサービスではありません。そのため、検知された脆弱性に対する対処作業に関しては、別途行う必要があります。(2)抑制ルールの設定Amazon Inspectorでは、抑制ルールを設定することによって、意図的に無視したい脆弱性問題を、ダッシュボード上から抑制することができます。単なるフィルター機能として利用する場合は、セキュリティリスクが高まる可能性があるため以下のような注意が必要です。脆弱性問題を抑制しても問題が無いか、慎重に検討を行うフィルター範囲が広すぎる場合、意図しない抑制が発生してしまう可能性があり、必要な脆弱性問題を見落としてしまう恐れがあるため、フィルター設定は細かく行う必要がある定期的にルールの見直しを行う機会を設ける5、Amazon Inspectorを活用して重要度の高い脆弱性を効率的に見つけるには?弊社では、ダッシュボード上でログを一元管理することで、効率的なログ監視を行うことができる「srest」というサービスを提供しております。弊社が提供する「srest」基盤を導入頂くことによって、効率的なログ監視だけではなく、クライアントのサービスに対してもAmazon Inspectorを含めたセキュリティ対策が適用されるため、脆弱性管理といったセキュリティ運用の効率化も行うことが可能となります。また、複数サービスのログ監視においても、サービスを横断した柔軟なログの検索、SLO計測値等の可視化が可能となっており、アカウント切替の時間の効率化や、監視漏れ等といった複数サービス特有の課題も解決します。「srest」導入によって、ログ監視・確認の効率化、セキュリティ運用の効率化が行われ、よりサービスの開発に専念して頂けるような環境をご提供致します。(1)脆弱性を一元管理イベントログはもちろん、脆弱性の問題も、複数サービスを跨いで一元的に管理することが可能です。検索機能には、ソート機能や日付フィルタ機能が備わっており、サービスを横断した柔軟な検索が可能なため、様々な条件に合わせて一元的に脆弱性を管理することができます。(2)リアルタイムで脆弱性を可視化脆弱性に対して、詳細なアラート条件を設定することで、条件を満たす脆弱性問題が発生した際は、自動的にSlackやメール等のコミュニケーションチャネルを通じて通知されます。更に、現在発生中の脆弱性問題の情報をダッシュボード上で一元的にリアルタイムで可視化することが可能となり、脆弱性の見落とし防止をサポートします。まとめ本記事では、Amazon Inspectorの概要から、特徴、評価方法、注意点をご紹介させて頂きました。AWS環境を利用されているのであれば、AWSセキュリティリスクを測定するために、ぜひ利用を推奨するサービスとなります。