目次

Amazon Inspectorとは?

Amazon Inspectorとは、Amazon EC2、AWS Lambda関数、Amazon ECRなどのAWSソフトウェアの脆弱性を自動的に管理するサービスです。

脆弱性とは、OSやソフトウェアの設計上の不具合やミスにより発生するセキュリティ上の欠陥のことです。脆弱性を放置するとサイバー攻撃のリスクが高まります。

Amazon Inspectorは50個以上の脆弱性インテリジェンスソースを利用して、AWSソフトウェアに対して常にスキャンを行うので、脆弱性をほぼリアルタイムで検出することができます。

検出した脆弱性のリスク評価も自動的に行うので、脆弱性管理における工数をAmazon Inspectorの導入によって軽減できます。

Amazon Inspectorで何が分かる?

Amazon Inspectorでできることは、AWSの評価対象ホストおよびホストの集合体において、対処が必要な潜在的なセキュリティ上のリスクがあるかどうかを評価することです。

ただし、評価をするだけで脆弱性の対処はできません。

評価によって判明したセキュリティリスクはEC2の管理者自身で確実に修正させる必要があります。

Amazon Inspectorのルールパッケージとは?

Amazon Inspectorで脆弱性の評価をするにあたり、どのようなテスト項目を行うかをまとめてセットにしたものをルールパッケージと言います。

ルールパッケージには、大きく分けて以下2つのルールパッケージがあります。

ネットワークの到達可能性

ネットワークを介してアクセス可能かどうかを評価されるセキュリティ評価項目のパッケージです。インターネット経由でポートベースやVPC ピアリング接続、VPNを通じて該当EC2にアクセスされる可能性があるかどうかを評価します。

ホスト評価

Amazon EC2インスタンスそのもの(ホスト)に関するセキュリティ評価項目のパッケージです。EC2そのものの脆弱性や問題のある設定をチェックします。

Amazon Inspectorで脆弱性が判明したらどうする?

Amazon Inspectorを実行すると、セキュリティ上の目標やアプローチに基づいて重大度、緊急度、ユーザーの関心度がさまざまに異なる結果のリストが生成されます。

ただし、Amazon Inspectorでは検出した脆弱性を自動的に修復する機能がないので、脆弱性の修復は基本ユーザー自身で行う必要がありますが、AWS Systems Manager(SSM)のPatch Managerとの併用でパッチの自動更新を実現できます。

AWS Systems Managerとは、AWSリソースの設定や状態などの情報を収集し、その情報に基づいてタスクの実行を自動化するサービスです。

Patch ManagerはSSMの機能の1つで、選定したOSやソフトウェアのパッチを自動的にデプロイできます。

そのため、SSM Patch Managerでの事前設定によって、Amazon Inspectorで脆弱性を検知しパッチ適用が必要だと判断した場合、SSMによって新しいパッチを自動的に適用します。

Amazon InspectorとSSMを併用することで脆弱性対応の手間を減らすことができますが、パッチ更新以外の作業、例えば設定修正は自動化できません。

Amazon Inspectorの検出結果を頻繁に確認し、修正が必要な場合すぐにも対応するように心がけましょう!

Amazon Inspector vs Amazon GuardDuty

Amazon Inspector と Amazon GuardDuty の違いは、前者は「実際に攻撃を受けるとどうなるかをチェックする」もの、後者は「実際のログを分析して脅威が存在するかをチェックする」ものです。

Amazon Inspectorの目的は、対象AWSにおいてよくあるセキュリティリスクに対処できているかをテストすることです。

つまり、「運用中のEC2でもしもAのような攻撃を受けたとしても問題ないような設定や仕様になっているか?」をチェックすることです。

対して、Amazon GuardDutyは、運用しているAWSで実際に起こったイベントが分析対象です。

そのため、イベント内で発生したと思われるセキュリティリスクであれば分析が可能ですが、一般的にメジャーなセキュリティリスクやサイバー攻撃すべてに対する備えができているかどうかのチェックを行うことはできません。

Amazon Inspectorの使い方は?

Amazon Inspectorは、該当EC2にエージェントをインストールする方法とインストールしない方法の2つがあります。

ネットワークの到達可能性のルールパッケージを使用した Amazon Inspector の評価は、Amazon EC2 インスタンスのエージェントなしで実行できますが、ホスト評価のルールパッケージには、エージェントが必要となります。

エージェントがインストールされている方がより詳細に結果を表示できますが、その分診断時間が長くなります。

ただし、評価開始までの設定における手間はそれほど変わりません。

エージェントを入れない(エージェントレス)で利用する場合

Amazon Inspectorを利用するには、まず評価ターゲットと呼ばれる評価の対象となるEC2またはEC2群を以下の手順で定義します。

①AWSのコンソール(https://console.aws.amazon.com/inspector/)にサインイン
②ナビゲーションペインで、「Assessment Targets (評価ターゲット)」、「Create (作成)」の順にクリック
③「Name (名前)」に、評価の対象となるEC2の名前を入力(入力名は任意)
④評価対象のEC2を選択するために、以下のいずれかを行う
・「All instances (すべてのインスタンス)」チェックをオン
・「Use Tags (使用するタグ)」で、タグキー名とキーと値のペアを入力
⑤ 保存

評価ターゲットの設定ができたら、何を評価するかを定義する評価テンプレートを作成します。

① AWSのコンソール(https://console.aws.amazon.com/inspector/)にサインイン
② ナビゲーションペインで、「Assessment templates (評価テンプレート)」→「Create (作成)」の順にクリック
③ 「Name (名前)」に、評価テンプレートの名前を入力(入力名は任意)
④ 「Target name」 で分析する評価ターゲットを選択
⑤ 「Rules packages」で評価するルールパッケージを1つ以上選択する
⑥ 「Duration」で、評価テンプレートが有効な期間を指定する
⑦ 「SNS トピック」で、評価の実行状態や結果の通知の送信先となるSNSを指定する
⑧ 「Create and run」または 「Create」で、テンプレートを作成して実行するか、作成のみ行う

あとは、AWSのプログラムに基づいて自動でセキュリティチェックが実行されます。

結果はAmazon Inspectorコンソールの [結果] ページで確認することができます。

エージェントをインストールする場合

上記エージェントレスの手順において、ターゲットの作成中に「Install Agents (エージェントのインストール)」チェックボックスにチェックを入れることでエージェントがインストールされます。

ただし、EC2インスタンスに SSMエージェントがインストールされており、Run Commandを許可するIAMロールが導入されていることが前提になっていますので注意しましょう。

Amazon Inspectorが他のAWS関連のサービスと組み合わせてできることは?

Amazon Inspectorでは、他のAmazonサービスと組み合わせてより便利に利用することも可能です。

Amazon CloudTrail

Amazon Inspector API呼び出しのログ作成

Amazon CloudWatch

Amazon Inspectorのモニタリングraw データを収集し、ほぼリアルタイムの読み取り可能な状態に加工する

Amazon Inspectorの料金は?

Amazon Inspectorは従量課金制を採用しています。1ヶ月間でスキャンされたAmazon EC2のインスタンス数やLambda関数などによって、Amazon Inspectorの利用料金が変わります。

実際に利用した分のみが課金の対象となり、最低料金や初期費用などないので、コストを抑えながらセキュリティを保つことができます。

Amazon Inspectorの利用料金の計算方法の詳細についてはこちらをご参照ください。

まとめ

サイバー空間における脅威が多種多様となっているなかで、脆弱性を評価する取り組みはなくてはならないものとなっています。

また、クラウド上で管理するWebサイトや公開サーバが増え続けている今、オンプレミスで運用しているときとは注意しなければならないポイントが変わっているのも事実です。

そこで、AWSのセキュリティリスクを測るために便利なのがAmazon Inspectorです。

設定は簡単で料金も安価に設定されているため、導入のハードルが低いのもメリットです。