Amazon Inspector
EC2 インスタンス、Lambda 関数、コンテナイメージの脆弱性を自動的かつ継続的にスキャンするセキュリティ評価サービス
概要
Amazon Inspector は、AWS ワークロードのソフトウェア脆弱性とネットワーク露出を自動的に検出するセキュリティサービスです。EC2 インスタンスの OS パッケージ、Lambda 関数の依存ライブラリ、ECR コンテナイメージのパッケージに含まれる CVE (Common Vulnerabilities and Exposures) を継続的にスキャンします。新しい CVE が公開されると、既存のリソースを自動的に再スキャンし、影響を受けるリソースを即座に特定します。検出結果は重大度 (Critical、High、Medium、Low) で分類され、Security Hub に集約して一元管理できます。
EC2・Lambda・ECR の 3 つのスキャン対象と検出の仕組み
Inspector のスキャンは 3 つの対象に分かれます。EC2 スキャンは SSM Agent 経由でインスタンスの OS パッケージ情報を収集し、CVE データベースと照合します。エージェントレススキャンも利用可能で、EBS スナップショットを分析することで SSM Agent がインストールされていないインスタンスもスキャンできます。Lambda スキャンは関数のデプロイパッケージに含まれる依存ライブラリ (Python の pip、Node.js の npm など) の脆弱性を検出します。この Lambda スキャンは Inspector 固有の強みで、Azure の Microsoft Defender for Cloud にはサーバーレス関数の脆弱性スキャンに相当する機能がありません。ECR スキャンはコンテナイメージの push 時と新規 CVE 公開時に自動実行されます。Inspector は有効化するだけで対象リソースを自動検出し、スキャンを開始するため、個別のスキャン設定は不要です。新しい CVE が公開されると既存リソースを自動的に再スキャンし、影響を受けるリソースを即座に特定します。
CI/CD パイプラインへの統合と検出結果のトリアージ
Inspector の実務活用で最も効果的なのは、CI/CD パイプラインへの統合です。ECR にイメージを push した時点で Inspector が自動スキャンし、Critical または High の脆弱性が検出された場合は EventBridge 経由でパイプラインを停止する構成が推奨されます。検出結果は重大度 (Critical、High、Medium、Low) で分類されるため、トリアージの優先順位が明確です。検出結果の抑制ルールを設定すると、既知の誤検知や対応不要な脆弱性 (EOL だが隔離されたインスタンスなど) をフィルタリングでき、運用チームのアラート疲れを防げます。料金は EC2 インスタンスあたり月額約 1.25 ドル、Lambda 関数あたり月額 0.30 ドルの従量課金で、スキャン対象のリソース数に応じてコストが決まります。脆弱性管理の関連書籍 (Amazon) も参考になります。
Security Hub 連携と Organizations による組織全体の脆弱性管理
Inspector の検出結果を Security Hub に集約すると、GuardDuty や Config の検出結果と合わせてセキュリティ状況を一元的に把握できます。Security Hub のダッシュボードで重大度別の検出件数を可視化し、AWS Chatbot 経由で Slack に通知する構成が一般的です。Organizations 連携で全アカウントの Inspector を委任管理者アカウントから一元管理でき、新規アカウントが組織に追加された際にも自動的にスキャンが有効化されます。委任管理者は組織全体の検出結果を横断的に確認できるため、特定のアカウントに脆弱性が集中していないか、パッチ適用が遅れているアカウントがないかを監視できます。Inspector の SBOM (Software Bill of Materials) エクスポート機能を使えば、組織全体のソフトウェア構成を S3 に出力し、サプライチェーンセキュリティの可視化にも活用できます。