クラウド 元SEママの情シスなりきりAWS奮闘記

脆弱性対策を簡単に実現できる!Amazon Inspectorがすごすぎる

2022年7月22日掲載

こんにちは。シイノキです。最近、ピアノを習いはじめました。子どもではなく、私が、です。実に20年以上ぶり!思った以上に弾けないのは仕方がないですが、大人の習いごと、楽しいですね。私自身が高校生のころ、母の“ママ友”がピアノを習いはじめたと聞いて「大人が?」と疑問に思っていましたが、今なら気持ちが分かります。

さて、基本を学びなおそうシリーズもここでひと段落となりますが、今回は「Amazon Inspector」を取り上げます。ここまではAWS IAM、AWS Config、AWS Systems Managerと運用系の基本的なサービスを解説してきましたが、Amazon Inspectorは脆弱性診断をおこなうものなので、セキュリティですね。

脆弱性対策……やらなきゃいけないのは当然とはいえ、テストがものすごく面倒なんですよね……。私がエンジニアをしていたのはかれこれ15年近く前なので、やり方も内容も変わって、うまいことできるようになっているのかもしれませんが、脆弱性は日々新しいものが見つかるので、それにちゃんと対応して、定期的に検査して、というのはやっぱり大変なはず。そのあたりを効率化できるのが、Amazon Inspectorです。では詳細を見ていきましょう。

Amazon Inspectorとは

まずは恒例の公式サイトチェックです。AWSサイトによると「大規模な自動化された継続的な脆弱性管理」とありました。これはわかりやすいパターン。脆弱性管理を自動化できる……とそのままですね。対象はAmazon EC2とAmazon Elastic Container Registry(ECR)。Amazon ECRはDockerコンテナの保存・管理・デプロイまでを実現するマネージド型のサービスで、つまりDockerコンテナも脆弱性診断の対象にできる、と理解しました。

実はAmazon Inspector、AWS re:Invent 2021で新バージョンが発表され、大きく機能が変わりました。以前は自分でどんな脆弱性診断をするかのテンプレートを選んで、定期実行なども実装しなければならなかったのですが、新しいAmazon Inspectorではなんと有効化するだけで、「すべてのワークロードを自動的に検出し」「継続的にスキャン」してくれるという!たとえば、新しい脆弱性が発見されたときなども、自動で診断してくれると。これまでは、定期実行のタイミングまで待つか、自分で新しい脆弱性に気づいて実行する必要があったのを、自動で診断してくれる=検出タイミングが早くなる、となりますよね。相当すごい気がします。

しかも、今回の新バージョンではAmazon InspectorはSSMエージェントに対応。つまり、AWS Systems Managerのエージェントをインストールした「マネージドインスタンス」は、自動ですべてスキャン対象になります。どれを脆弱性診断の対象にするのか、とひとつずつ管理する必要がなくなるのもなかなかうれしいポイントのように思います。

どんな脆弱性を診断するのか?

脆弱性を検出する、といっても、脆弱性にはいろいろありますが、Amazon Inspectorでは「外部ネットワークやソフトウェアの脆弱性への意図しないエクスポージャが検出および評価」とされています。ネットワークについて問題がないか、対象となるインスタンス上のソフトウェアに脆弱性がないかの両方をスキャンします。

脆弱性情報としては、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)など50以上の情報を集めているとのこと。ちなみに、CVEは米国の非営利団体MITER社が個別製品の脆弱性に対して採番している識別子で、OSSも含むIT製品やソフトウェアに脆弱性が見つかるとCVEで番号が振られていきます。そしてAmazon InspectorはCVEなどで新しい情報が公開されたら(=新しい脆弱性が見つかったら)、影響を受ける可能性があるものを自動でスキャンすると。頼もしい限りです。

Amazon Inspectorのメリットと料金

メリットは「脆弱性診断を手軽にできる」に尽きるでしょう。自動でスキャンしてくれるし、新しい脆弱性が見つかったら、それもすぐスキャンしてくれる。なんてありがたい!

……となると気になるのは料金ですが、これもかなりお手頃です。

Amazon EC2の場合、は下記のとおり。

1ヶ月にスキャンされたAmazon EC2インスタンスの平均数:インスタンスごとに1.512USD

※東京リージョン、2022年7月7日現在

EC2インスタンスの平均数とは……と、うっかり遠い目をしたくなりますが、「スキャン対象のインスタンスが1ヶ月に稼働した合計時間を1ヶ月の合計時間(30日だと720時間)で割ったもの」になります。つまり、360時間稼働したインスタンスと、350時間稼働したインスタンスと、10時間稼働したインスタンスが1つずつあった場合、合計で720時間稼働、平均数が「1」となります。これで1ヶ月だいたい1.5ドル、というのはかなりお値打ちなのではないでしょうか。

ほかのセキュリティサービスと組み合わせて、さらなる対策も

Amazon Inspectorは脆弱性を早期に検出することで、セキュリティを強化するサービスですが、このほかにもAWSではさまざまなセキュリティ系サービスを提供しています。

たとえば、「Amazon GuardDuty」はAWSが提供する脅威検知サービスで、自社のAWS環境に対する脅威を機械学習で検知してくれるもの。AWSのベストプラクティスでも全リージョンでの有効化が推奨されており、使わない手はありません。ほかにも、「AWS Security Hub」といって、利用している環境がAWSのベストプラクティスに則っているかをチェックしてくれるサービスもあります。AWS Security Hubについてはエンジニアコラムでも解説しております。ちなみに、このコラムを書いたのはセキュリティパッケージのインタビューでもお世話になった濱田さん。ぜひこちらもご覧ください!

さておき、こういったサービスをうまく組み合わせて使うことで、より強固なセキュリティを実現できる、というわけですね。

やっぱりAWSのセキュリティ対策はハードル高い……と思ったら 

Amazon Inspectorはじめ、便利で心強いサービスが多いAWSですが、難点は「知らないと使えない」ことですね……。AWSは結構、「ベストプラクティスでは有効化が推奨」というものが多くて、それなら最初から有効にしておいてくれよという気持ちになりますが、とりあえず今のところは自分でなんとかするしかありません。

そんなわけで!「AWSのセキュリティ、よくわからないし、なんか不安」という方のために、AWSにおけるセキュリティの考え方や、セキュリティ関連サービスを解説したホワイトペーパーをご用意しました。気になる方はぜひこちらからダウンロードを

また、ソニービズネットワークスではAWSのセキュリティ強化をおこなうパッケージも提供。必要性の高いものを6つのパッケージで展開していまして、AWSサービスを組み合わせて実装し、短期間に・手軽に・効率的に、しかも運用しやすい形でセキュリティ対策を強化できます。脆弱性対策をサポートするパッケージもありますので、お気軽にお問い合わせください。

さらに「AWSなんでも相談室」では、そもそもどこからセキュリティ対策に手を付ければよいかわからない、自社のセキュリティポリシーにあわせて対策したいなど、個別のご相談もいつでも受け付けておりますので、ぜひご活用ください!

以上、シイノキでした。

AWSセキュリティ強化支援サービス

AWSのセキュリティが不安な方へ 運用負荷をおさえた効果的な対策強化を支援します

AWS運用管理・自動化ツール「クラウドポータル」

「はじめてでも運用できる」 「もっと使いこなせる」 独自開発ツール

マネージドクラウド with AWS

はじめてのAWSから 一歩進んだ活用までトータルサポート

パンフレットをダウンロード

AWS セキュリティ対策ガイド

「AWS セキュリティ対策ガイド」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。

関連コラム

このコラムに関連する製品

  • AWSセキュリティ強化支援サービス

    AWSのセキュリティが不安な方へ
    運用負荷をおさえた効果的な対策強化を支援します

    詳細はこちら

  • AWS運用管理・自動化ツール「クラウドポータル」

    「はじめてでも運用できる」
    「もっと使いこなせる」
    独自開発ツール

    詳細はこちら

  • マネージドクラウド with AWS

    はじめてのAWSから
    一歩進んだ活用までトータルサポート

    詳細はこちら

このコラムに関連する
導入事例

脆弱性対策を簡単に実現できる!Amazon Inspectorがすごすぎる

SHARE
シェアシェア ポストポスト
脆弱性対策を簡単に実現できる!Amazon Inspectorがすごすぎる
SHARE
ポスト シェア