Amazon Inspectorとは
まずは恒例の公式サイトチェックです。AWSサイトによると「大規模な自動化された継続的な脆弱性管理」とありました。これはわかりやすいパターン。脆弱性管理を自動化できる……とそのままですね。対象はAmazon EC2とAmazon Elastic Container Registry(ECR)。Amazon ECRはDockerコンテナの保存・管理・デプロイまでを実現するマネージド型のサービスで、つまりDockerコンテナも脆弱性診断の対象にできる、と理解しました。
実はAmazon Inspector、AWS re:Invent 2021で新バージョンが発表され、大きく機能が変わりました。以前は自分でどんな脆弱性診断をするかのテンプレートを選んで、定期実行なども実装しなければならなかったのですが、新しいAmazon Inspectorではなんと有効化するだけで、「すべてのワークロードを自動的に検出し」「継続的にスキャン」してくれるという!たとえば、新しい脆弱性が発見されたときなども、自動で診断してくれると。これまでは、定期実行のタイミングまで待つか、自分で新しい脆弱性に気づいて実行する必要があったのを、自動で診断してくれる=検出タイミングが早くなる、となりますよね。相当すごい気がします。
しかも、今回の新バージョンではAmazon InspectorはSSMエージェントに対応。つまり、AWS Systems Managerのエージェントをインストールした「マネージドインスタンス」は、自動ですべてスキャン対象になります。どれを脆弱性診断の対象にするのか、とひとつずつ管理する必要がなくなるのもなかなかうれしいポイントのように思います。
どんな脆弱性を診断するのか?
脆弱性を検出する、といっても、脆弱性にはいろいろありますが、Amazon Inspectorでは「外部ネットワークやソフトウェアの脆弱性への意図しないエクスポージャが検出および評価」とされています。ネットワークについて問題がないか、対象となるインスタンス上のソフトウェアに脆弱性がないかの両方をスキャンします。
脆弱性情報としては、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)など50以上の情報を集めているとのこと。ちなみに、CVEは米国の非営利団体MITER社が個別製品の脆弱性に対して採番している識別子で、OSSも含むIT製品やソフトウェアに脆弱性が見つかるとCVEで番号が振られていきます。そしてAmazon InspectorはCVEなどで新しい情報が公開されたら(=新しい脆弱性が見つかったら)、影響を受ける可能性があるものを自動でスキャンすると。頼もしい限りです。
Amazon Inspectorのメリットと料金
メリットは「脆弱性診断を手軽にできる」に尽きるでしょう。自動でスキャンしてくれるし、新しい脆弱性が見つかったら、それもすぐスキャンしてくれる。なんてありがたい!
……となると気になるのは料金ですが、これもかなりお手頃です。
Amazon EC2の場合、は下記のとおり。
1ヶ月にスキャンされたAmazon EC2インスタンスの平均数:インスタンスごとに1.512USD
※東京リージョン、2022年7月7日現在
EC2インスタンスの平均数とは……と、うっかり遠い目をしたくなりますが、「スキャン対象のインスタンスが1ヶ月に稼働した合計時間を1ヶ月の合計時間(30日だと720時間)で割ったもの」になります。つまり、360時間稼働したインスタンスと、350時間稼働したインスタンスと、10時間稼働したインスタンスが1つずつあった場合、合計で720時間稼働、平均数が「1」となります。これで1ヶ月だいたい1.5ドル、というのはかなりお値打ちなのではないでしょうか。
ほかのセキュリティサービスと組み合わせて、さらなる対策も
Amazon Inspectorは脆弱性を早期に検出することで、セキュリティを強化するサービスですが、このほかにもAWSではさまざまなセキュリティ系サービスを提供しています。
たとえば、「Amazon GuardDuty」はAWSが提供する脅威検知サービスで、自社のAWS環境に対する脅威を機械学習で検知してくれるもの。AWSのベストプラクティスでも全リージョンでの有効化が推奨されており、使わない手はありません。ほかにも、「AWS Security Hub」といって、利用している環境がAWSのベストプラクティスに則っているかをチェックしてくれるサービスもあります。AWS Security Hubについてはエンジニアコラムでも解説しております。ちなみに、このコラムを書いたのはセキュリティパッケージのインタビューでもお世話になった濱田さん。ぜひこちらもご覧ください!
さておき、こういったサービスをうまく組み合わせて使うことで、より強固なセキュリティを実現できる、というわけですね。
やっぱりAWSのセキュリティ対策はハードル高い……と思ったら
Amazon Inspectorはじめ、便利で心強いサービスが多いAWSですが、難点は「知らないと使えない」ことですね……。AWSは結構、「ベストプラクティスでは有効化が推奨」というものが多くて、それなら最初から有効にしておいてくれよという気持ちになりますが、とりあえず今のところは自分でなんとかするしかありません。
そんなわけで!「AWSのセキュリティ、よくわからないし、なんか不安」という方のために、AWSにおけるセキュリティの考え方や、セキュリティ関連サービスを解説したホワイトペーパーをご用意しました。気になる方はぜひこちらからダウンロードを!
また、ソニービズネットワークスではAWSのセキュリティ強化をおこなうパッケージも提供。必要性の高いものを6つのパッケージで展開していまして、AWSサービスを組み合わせて実装し、短期間に・手軽に・効率的に、しかも運用しやすい形でセキュリティ対策を強化できます。脆弱性対策をサポートするパッケージもありますので、お気軽にお問い合わせください。
さらに「AWSなんでも相談室」では、そもそもどこからセキュリティ対策に手を付ければよいかわからない、自社のセキュリティポリシーにあわせて対策したいなど、個別のご相談もいつでも受け付けておりますので、ぜひご活用ください!
以上、シイノキでした。
- AWSセキュリティ強化支援サービス
-
AWSのセキュリティが不安な方へ 運用負荷をおさえた効果的な対策強化を支援します
- AWS運用管理・自動化ツール「クラウドポータル」
-
「はじめてでも運用できる」 「もっと使いこなせる」 独自開発ツール
- マネージドクラウド with AWS
-
はじめてのAWSから 一歩進んだ活用までトータルサポート
お役立ち資料をダウンロード
「AWS セキュリティ対策ガイド」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。
