Amazon Inspector
EC2 インスタンスやコンテナイメージの脆弱性を自動的に検出するセキュリティ評価サービス
何ができるか
Amazon Inspector は、AWS 上のワークロードに潜むソフトウェアの脆弱性やネットワーク設定の問題を自動的に検出するセキュリティ評価サービスです。EC2 インスタンス、ECR のコンテナイメージ、Lambda 関数を継続的にスキャンし、CVE (共通脆弱性識別子) データベースと照合して脆弱性を特定します。検出結果にはリスクスコアが付与され、修正の優先順位付けを支援します。
どのような場面で使うか
本番環境の EC2 インスタンスに対する定期的な脆弱性スキャン、CI/CD パイプラインでのコンテナイメージのセキュリティチェック、Lambda 関数の依存ライブラリの脆弱性検出、コンプライアンス要件に基づくセキュリティ評価レポートの生成など、継続的なセキュリティ監視が求められる場面で活用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
建物の安全点検に例えるとわかりやすいでしょう。建物 (サーバーやアプリケーション) は時間が経つと、壁のひび割れや配管の劣化 (脆弱性) が発生します。Inspector は、専門の点検業者が定期的に建物を巡回し、危険箇所を見つけて報告書を作成してくれるサービスです。危険度の高い箇所から優先的に修繕できるよう、リスクの評価も行います。
Inspector とは
Amazon Inspector は、AWS 環境のセキュリティ態勢を継続的に評価するフルマネージドサービスです。従来の脆弱性スキャンでは、スキャンツールのインストール、スキャンスケジュールの設定、結果の集約と分析など、多くの手作業が必要でした。Inspector はこれらを自動化し、AWS アカウントで有効化するだけで、対象リソースの検出からスキャン、結果の通知までを一貫して行います。新しい CVE が公開されると自動的に再スキャンが実行されるため、常に最新の脅威に対応できます。
スキャン対象と検出内容
Inspector は、EC2 インスタンスの OS パッケージとアプリケーションパッケージ、ECR に格納されたコンテナイメージのレイヤー、Lambda 関数のデプロイパッケージと依存ライブラリを対象にスキャンします。検出される脆弱性には、既知の CVE に基づくソフトウェアの脆弱性、ネットワーク到達可能性の問題 (意図しないポートの公開など) が含まれます。各検出結果には Inspector スコアが付与され、CVSS スコアに加えてネットワーク到達可能性やエクスプロイトの有無を考慮した実践的なリスク評価が提供されます。
統合と運用
Inspector の検出結果は AWS Security Hub に自動的に集約され、他のセキュリティサービスの検出結果と一元的に管理できます。EventBridge との統合により、重大な脆弱性が検出された際に SNS 通知や Lambda 関数による自動修復を実行することも可能です。AWS Organizations との統合により、マルチアカウント環境でも一括で Inspector を有効化し、組織全体のセキュリティ態勢を可視化できます。検出結果は S3 にエクスポートでき、長期的なトレンド分析やコンプライアンス監査にも活用できます。
Azure・オンプレミスとの比較
AWS の優位点
- AWS アカウントで有効化するだけでエージェントレスのスキャンが開始され、スキャナーのインストールやスキャンスケジュールの設定が不要なため、導入の手間を大幅に削減できる
- 新しい CVE が公開されると対象リソースが自動的に再スキャンされるため、手動でのスキャン実行を待たずに最新の脅威を検出できる
- Security Hub、EventBridge、Organizations との統合により、マルチアカウント環境での一元管理と自動修復ワークフローの構築が容易に実現できる
注意点
- Inspector はエージェントレスでスキャンを実行するため、EC2 インスタンスへのエージェントインストールは不要だが、SSM Agent が稼働している必要がある
- 検出結果のリスクスコアは CVSS スコアだけでなく、ネットワーク到達可能性やエクスプロイトの存在も考慮しているため、実際のリスクに即した優先順位付けが可能
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。