Amazon Inspectorとは? AWSの脆弱性管理サービスについて概要や特徴や料金について解説
システムにおける脆弱性は重大なセキュリティ事故につながりかねない問題です。AWS環境においても、迅速に脆弱性を検知し対応することが求められます。このような脆弱性の対策に役立つサービスが、AWSが提供するAmazon Inspectorです。
本記事では、Amazon Inspectorの概要や特徴、注意点、料金などについて解説します。同じくAWSにおけるセキュリティサービスAmazon GuardDutyとの違いも解説しますので、ぜひ参考にしてください。
この記事の目次
Amazon Inspectorとは
Amazon Inspectorとは、Amazon EC2インスタンスやコンテナなどのワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出がないか継続的にスキャンする脆弱性管理サービスです。
Amazon Inspectorは管理コンソールから簡単に有効化でき、組織にとって重大な脅威となる脆弱性を自動的に検知・可視化して、一元的な管理を実現します。従来はEC2のみ対象でしたが、2021年に新たなバージョンのAmazon Inspector v2が発表され、現在ではAmazon ECR(Elastic Container Registry)やAWS Lambda関数も対象になっています。
Amazon Inspectorの検出結果のタイプ
Amazon Inspectorは以下の3種類の脆弱性を検知します。
パッケージの脆弱性
Amazon EC2インスタンスやAmazon ECRコンテナイメージ、Lambda関数にインストールされているソフトウェアパッケージをスキャンし、検出されたものです。このスキャンでは、既知の共通脆弱性識別子(CVE)を持つパッケージを特定します。これにより、システムがどの脆弱性に対してリスクがあるかわかります。
ネットワーク到達性
Amazon EC2インスタンスが外部からアクセス可能かどうかについて24時間ごとにスキャンし、検出されたものです。ネットワークパスをスキャンして、インターネットゲートウェイ、ロードバランサー、VPCピアリング接続、仮想ゲートウェイを介してアクセスできるかを評価します。この情報は、セキュリティグループやネットワークACLの設定が適切か判断する際に役立ちます。
コードの脆弱性
AWS Lambda関数で使用されるコードをスキャンして、セキュリティの問題がある際に検出されるものです。これには、コード内で見つかる一般的なセキュリティ上の欠陥や、悪用されやすいプログラミングミスが含まれます。
Amazon Inspectorの特徴
Amazon Inspectorの特徴は以下のとおりです。
脆弱性の自動検出と継続的スキャン
対象となるリソースを自動的に検出して、不正アクセスの原因となるソフトウェアの脆弱性やネットワークの露出がないか、以下のタイミングでスキャンをします。
- 有効化直後
- 対象リソースへの新たなソフトウェアやパッチのインストールをした時
- 対象リソースへ影響を与える共通脆弱性識別子(情報セキュリティにおける脆弱性について、それぞれ固有の名前や番号を付与したリスト)が公開された時
このように、Amazon Inspectorは有効にするだけで自動的にスキャンを行うので、手動での脆弱性スキャンやスケジュール設定は不要です。
脆弱性の可視化と一元的な管理
検出された脆弱性情報は、ダッシュボードに集約され可視化されます。適用範囲や各リソースの脆弱性情報を一箇所で確認できるため、運用担当者の管理負荷を軽減できます。
リスクスコアの算出と優先順位付け
CVEの情報とリソースの状況を関連付けることで独自のリスクスコアを算出し、対応の優先順位を可視化します。コンテキストを考慮するため、実用的な優先順位の把握に役立ちます。
抑制ルールの使用
抑制ルールとは、Amazon Inspectorで検出された脆弱性の検出結果の中で、セキュリティリスクが低い、または管理上不要と判断されたものを隠す機能です。抑制ルールは管理するシステムに合わせてカスタマイズできすることができます。これにより、担当者は重要な脆弱性の対応に集中でき、リソースを効率的に配分することが可能になります。
検出した脆弱性の管理
Amazon Inspectorは検出した脆弱性を自動的に追跡・保存を行うために、ステータス管理を行います。各ステータスに関しては以下の通りです。
active
対応していない脆弱性
suppressed
抑制ルールの対象となる脆弱性
closed
対応済み脆弱性
対応が完了するまでactiveのものは全て保存されますが、closedにステータスが変わったものは7日後に削除されます。
他サービスとの連携
他のAWSサービスと連携することにより、Amazon Inspectorでの検出結果をさらに効果的に活用できます。たとえば次のような連携が可能です。
- 検出結果をAWS Security Hub(さまざまな製品からセキュリティデータを収集し、傾向を分析して最も優先度の高いセキュリティ問題を特定するサービス)へ送信する
- Amazon EventBridge(イベントを使用してさまざまなAWSサービス同士をつなげるサービス)と連携することでイベントパターンによって後続処理を行う
例:重要度がMedium以上の場合はメールで通知する
Amazon Inspectorの注意点
Amazon Inspectorの対象となるリソースはAmazon EC2、Amazon ECR、AWS Lambda関数です。その他のAWSリソースや他社クラウドサービスの脆弱性は検知できないことに注意しましょう。
Amazon InspectorはSSM(AWS Systems Manager)と SSM エージェントを使用して EC2 インスタンスに関する情報を収集します。そのため Amazon Inspector がスキャンできるのはSSMがサポートするOS内のソフトウェアのみです。つまりスキャンしたいインスタンスへのSSMの関連付けおよびSSMエージェントのインストールが必要になります。
また、Amazon Inspectorは脆弱性の修正までは行わない点にも注意が必要です。Amazon Inspectorが行うのは、ホストやネットワークに対するセキュリティリスクの検知・評価や、検出した脆弱性に対する修正方法の提案までです。実際に脆弱性を修正するには、ユーザー自身でパッケージの更新やコードの修正、設定の変更を行うか、前章で紹介したように他サービスと連携させて実行する必要があります。
Amazon GuardDutyとの違い
Amazon GuardDutyは、Amazon Inspectorと同じくAWSから提供されているセキュリティサービスです。AWSアカウントとワークロードのログを継続的にモニタリングすることで悪意のあるアクティビティや異常な動作を検出します。これら2つは似ているように感じるかもしれませんが、大きな違いがあります。
Amazon InspectorとAmazon GuardDutyの違いを簡単にまとめると以下のようになります。
| 項目 | Amazon Inspector | Amazon GuardDuty |
| 目的 | AWSリソースの脆弱性評価 | AWS環境全体の脅威検出と監視 |
| 機能 | ソフトウェア脆弱性のスキャン、ベストプラクティスからの逸脱の検出、セキュリティ評価の自動化 | 悪意のあるアクティビティや異常な行動の検出、データソースからの継続的な監視、リアルタイムアラート |
| データソース | スキャン対象のリソース自体 | AWSのログデータ(CloudTrail、VPCフローログ、DNSログ) |
Amazon Inspectorは、AWSリソースの脆弱性を早期に発見することが目的です。一方でAmazon GuardDutyは、セキュリティの潜在的な脅威についてAWS環境全体を分析すること、そしてセキュリティインシデントの早期検知を目的としています。
Amazon Inspectorは今後発生する可能性のあるリスクを定期的なスキャンにより検出するためのもので、Amazon GuardDutyは実際に発生しているリスクをリアルタイムで検知するためのものという違いがあります。そのため、これら2つを組み合わせることでセキュリティをより強化できます。
Amazon Inspectorの料金
Amazon Inspectorの料金は、スキャンする対象によってそれぞれ設定されています。
- Amazon EC2インスタンススキャン:スキャンされたインスタンスの平均数により算出される。
- Amazon ECRコンテナイメージスキャン:初回にスキャンされたイメージの数と、再スキャンされた回数の組み合わせにより算出される。
- AWS Lambda 標準スキャン:スキャンされたLambda関数の平均数により算出される。
- AWS Lambda コードスキャン:スキャンされた機能に対する合計サービス時間により算出される。
詳しい料金体系は以下を参考にしてください。
Amazon Inspectorの料金
まとめ
Amazon Inspectorは、AWS環境内のEC2インスタンスやコンテナなどを自動的に検出して、ソフトウェアの脆弱性や意図しないネットワーク露出などのセキュリティリスクがないか継続的にスキャンする脆弱性管理サービスです。
脆弱性情報はダッシュボードで一元的に可視化されるため、大規模なシステムでも管理負荷が軽減されます。他のAWSサービスと連携してより便利に利用することもできるため、ぜひAmazon Inspectorの活用を検討してみてください。
