【目次】
- 1. Amazon Inspectorとは? 初心者にもわかりやすく解説
- 2. Amazon Inspector vs Amazon GuardDuty
- 3. Amazon Inspectorの使い方は?
- 4. Amazon Inspectorが他のAWS関連のサービスと組み合わせてできることは?
- 5. Amazon Inspectorの料金は?
- 6. まとめ
-
1. Amazon Inspectorとは? 初心者にもわかりやすく解説
Amazon Inspectorは、端的に言うと「AWSのEC2 インスタンスにおいて脆弱性診断を自動で行ってくれるサービス」のことです。
脆弱性診断とは、特定のWebサイトや公開サーバに対してサイバー攻撃でよく使われる手法のパケットを送信するなどして対象のセキュリティレベルを判定する仕組みのことです。
脆弱性診断は、1ヶ月に一度、○日に一度など定期的に行われるものもあれば、サイトの完成時や監査時などに1回だけ行われる場合もあります。
脆弱性診断を行うメリットとしては、実際のサーバに疑似的なサイバー攻撃を仕掛けることによって、本物のサイバー被害を受けることなくセキュリティのリスクを発見できる点です。
重要な公開サーバをお持ちの企業であれば、脆弱性診断を取り入れているところも多いでしょう。
その脆弱性診断をEC2向けに安価で提供しているのが、Amazon Inspectorです。
EC2インスタンスのセキュリティリスクを評価したい場合、Amazon Inspectorはまさにおすすめできるサービスなのです。
-
a) Amazon Inspectorは誰が利用できる?
では、Amazon Inspectorが利用できるのはどんな場合かや、対応OS・リージョン(地域)などの情報を見ていきましょう。
まず、Amazon Inspectorが利用できるのは、EC2インスタンスを含むもののみです。
他社クラウドなどに対する脆弱性診断はできませんので注意しましょう。
OSについてはLinuxの場合はAmazon LinuxやUbuntu、RHELなどの幅広いOSが、Windowsの場合は2008 R2から2016 baseにいたるまで利用可能です。
詳しくは以下のAWS公式リンクを参照してください。
(Amazon Inspector エージェントでサポートされている Linux ベースのオペレーティングシステム)https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_supported_os_regions.html#inspector_supported-linux-os
(Amazon Inspector エージェントでサポートされている Windows ベースのオペレーティングシステム)https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_supported_os_regions.html#inspector_supported-win-osまた、対応リージョンは以下のとおりで、東京は含まれています。
- ・米国東部 (オハイオ)
- ・米国東部 (バージニア北部)
- ・米国西部 (北カリフォルニア)
- ・米国西部 (オレゴン)
- ・アジアパシフィック (ムンバイ)
- ・アジアパシフィック (ソウル)
- ・アジアパシフィック (シドニー)
- ・アジアパシフィック (東京)
- ・欧州 (フランクフルト)
- ・欧州 (アイルランド)
- ・欧州 (ロンドン)
- ・欧州 (ストックホルム)
- ・AWS GovCloud (米国東部)
- ・AWS GovCloud (US-West)
-
b) Amazon Inspectorで何が分かる?
Amazon Inspectorでできることは、AWSの評価対象ホストおよびホストの集合体において、対処が必要な潜在的なセキュリティ上のリスクがあるかどうかを評価することです。
ただし、評価をするだけで脆弱性の対処はできません。
評価によって判明したセキュリティリスクはEC2の管理者自身で確実に修正させる必要があります。
-
c) Amazon Inspectorのルールパッケージとは?
Amazon Inspectorで脆弱性の評価をするにあたり、どのようなテスト項目を行うかをまとめてセットにしたものをルールパッケージと言います。
ルールパッケージには、大きく分けて以下2つのルールパッケージがあります。
-
・ネットワークの到達可能性
ネットワークを介してアクセス可能かどうかを評価されるセキュリティ評価項目のパッケージです。インターネット経由でポートベースやVPC ピアリング接続、VPNを通じて該当EC2にアクセスされる可能性があるかどうかを評価します。
-
・ホスト評価
Amazon EC2インスタンスそのもの(ホスト)に関するセキュリティ評価項目のパッケージです。EC2そのものの脆弱性や問題のある設定をチェックします。
-
・ネットワークの到達可能性
-
d) Amazon Inspectorで脆弱性が判明したらどうする?
Amazon Inspectorを実行すると、セキュリティ上の目標やアプローチに基づいて重大度、緊急度、ユーザーの関心度が様々に異なる結果のリストが生成されます。
先述のとおり、Amazon Inspectorで脆弱性が発見されても、該当脆弱性を自動で修復してくれる機能はありません。
Amazon Inspectorで対象EC2の脆弱性が判明したら、すぐにユーザー自身で設定変更やパッチ適用などの対処法を検討する必要があります。
緊急度の高いセキュリティ上の問題があれば、それをすぐに解決するために結果欄にて推奨される手順を実行した方がいいでしょう。
ただし他のシステム等との兼ね合いなどで、場合によっては次のサービス更新やサービス停止時期まで対処の保留をするか、他のソリューションを探す方がいい場合もあります。
-
-
2. Amazon Inspector vs Amazon GuardDuty
Amazon Inspector と Amazon GuardDuty の違いは、前者は「実際に攻撃を受けるとどうなるかをチェックする」もの、後者は「実際のログを分析して脅威が存在するかをチェックする」ものです。
Amazon Inspectorの目的は、対象AWSにおいてよくあるセキュリティリスクに対処できているかをテストすることです。
つまり、「運用中のEC2でもしもAのような攻撃を受けたとしても問題ないような設定や仕様になっているか?」をチェックすることです。
対して、Amazon GuardDutyは、運用しているAWSで実際に起こったイベントが分析対象です。
そのため、イベント内で発生したと思われるセキュリティリスクであれば分析が可能ですが、一般的にメジャーなセキュリティリスクやサイバー攻撃すべてに対する備えができているかどうかのチェックを行うことはできません。
-
3. Amazon Inspectorの使い方は?
Amazon Inspectorは、該当EC2にエージェントをインストールする方法とインストールしない方法の2つがあります。
ネットワークの到達可能性のルールパッケージを使用した Amazon Inspector の評価は、Amazon EC2 インスタンスのエージェントなしで実行できますが、ホスト評価のルールパッケージには、エージェントが必要となります。
エージェントがインストールされている方がより詳細に結果を表示できますが、その分診断時間が長くなります。
ただし、評価開始までの設定における手間はそれほど変わりません。
-
a) エージェントを入れない(エージェントレス)で利用する場合
Amazon Inspectorを利用するには、まず評価ターゲットと呼ばれる評価の対象となるEC2またはEC2群を以下の手順で定義します。
- ① AWSのコンソール(https://console.aws.amazon.com/inspector/)にサインイン
- ② ナビゲーションペインで、「Assessment Targets (評価ターゲット)」、「Create (作成)」の順にクリック
- ③ 「Name (名前)」に、評価の対象となるEC2の名前を入力(入力名は任意)
- ④ 評価対象のEC2を選択するために、以下のいずれかを行う
- ⑤ 保存
・「All instances (すべてのインスタンス)」チェックをオン
・「Use Tags (使用するタグ)」で、タグキー名とキーと値のペアを入力評価ターゲットの設定ができたら、何を評価するかを定義する評価テンプレートを作成します。
- ① AWSのコンソール(https://console.aws.amazon.com/inspector/)にサインイン
- ② ナビゲーションペインで、「Assessment templates (評価テンプレート)」→「Create (作成)」の順にクリック
- ③ 「Name (名前)」に、評価テンプレートの名前を入力(入力名は任意)
- ④ 「Target name」 で分析する評価ターゲットを選択
- ⑤ 「Rules packages」で評価するルールパッケージを1つ以上選択する
- ⑥ 「Duration」で、評価テンプレートが有効な期間を指定する
- ⑦ 「SNS トピック」で、評価の実行状態や結果の通知の送信先となるSNSを指定する
- ⑧ 「Create and run」または 「Create」で、テンプレートを作成して実行するか、作成のみ行う
あとは、AWSのプログラムに基づいて自動でセキュリティチェックが実行されます。
結果はAmazon Inspectorコンソールの [結果] ページで確認することができます。
-
b) エージェントをインストールする場合
上記エージェントレスの手順において、ターゲットの作成中に「Install Agents (エージェントのインストール)」チェックボックスにチェックを入れることでエージェントがインストールされます。
ただし、EC2インスタンスに SSMエージェントがインストールされており、Run Commandを許可するIAMロールが導入されていることが前提になっていますので注意しましょう。
-
-
4. Amazon Inspectorが他のAWS関連のサービスと組み合わせてできることは?
Amazon Inspectorでは、他のAmazonサービスと組み合わせてより便利に利用することも可能です。
- ・Amazon CloudTrail
Amazon Inspector API呼び出しのログ作成
- ・Amazon CloudWatch
Amazon Inspectorのモニタリングraw データを収集し、ほぼリアルタイムの読み取り可能な状態に加工する
- ・Amazon CloudTrail
-
5. Amazon Inspectorの料金は?
Amazon Inspectorの気になる料金は以下のとおりです。
回数 1回のインスタンス評価ごとの料金 ネットワーク評価 250回(90日の無料期間) 無料 ~250回
(無料期間終了後、以下同様)0.15USD ~750回 0.13USD ~4,000回 0.10USD ~45,000回 0.07USD それ以上 0.04USD ホスト評価 250回(90日の無料期間) 無料 ~250回
(無料期間終了後、以下同様)0.30USD ~750回 0.25USD ~4,000回 0.15USD ~45,000回 0.10USD それ以上 0.05USD ※2019年12月時点での情報
Amazon Inspectorの料金は評価の回数で決まります。
ここでいう回数とは、例えば10のEC2で1回評価を実行した場合でも10回の評価とカウントされます。
-
6. まとめ
サイバー空間における脅威が多種多様となっているなかで、脆弱性を評価する取り組みはなくてはならないものとなっています。
また、クラウド上で管理するWebサイトや公開サーバが増え続けている今、オンプレミスで運用しているときとは注意しなければならないポイントが変わっているのも事実です。
そこで、AWSのセキュリティリスクを測るために便利なのがAmazon Inspectorです。
設定は簡単で料金も安価に設定されているため、導入のハードルが低いのもメリットです。
※下記のブログもご覧ください。
1. 【AWS Security Hubとは】初心者にもわかりやすく解説