Amazon Inspector の機能

Amazon Inspector は、Amazon EC2、Lambda 関数、コンテナワークロードなどのさまざまなリソースにまたがる包括的な脆弱性管理サービスです。ワークロードの侵害、悪意のある用途でのリソースの再利用、データの不正引き出しの促進に使用される可能性のある、ソフトウェアの脆弱性や意図しないネットワークエクスポージャーなど、さまざまな種類の脆弱性を特定します。

Amazon Inspector コンソールでの 1 つのステップまたは 1 回の API 呼び出しで、複数のアカウントにわたって Amazon Inspector を開始できます。Amazon Inspector を利用すると、Inspector Delegated Administrator (DA) アカウントを組織に割り当てることができます。このアカウントは、すべてのメンバーアカウントをシームレスに開始および設定し、すべての検出結果を統合できます。

Amazon Inspector は、開始されると、Amazon ECR 内のすべての Amazon EC2 インスタンス、Lambda 関数、コンテナイメージを自動的に検出します。すぐにスキャンを始め、ソフトウェアの脆弱性や意図しないネットワークエクスポージャーがないかを確認します。新しい CVE が公開されたときや、ワークロードに変更があったとき (EC2 インスタンスへの新しいソフトウェアのインストールなど) には、常にすべてのワークロードを再スキャンします。

Amazon Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用して、Amazon EC2 インスタンスからソフトウェアのインベントリと設定を収集します。収集されたアプリケーションインベントリと設定は、ワークロードの脆弱性を評価するために使用されます。

Amazon Inspector では、エージェントや追加のソフトウェアをインストールしなくても、Amazon EC2 インスタンスのソフトウェアの脆弱性を継続的にモニタリングできます。Amazon Inspector は EBS ボリュームのスナップショットを取得して、システムのデータとインスタンスの設定に関するデータを抽出し、脆弱性評価を実行します。この機能により、SSM エージェントがインストールまたは設定されていない EC2 インスタンスの Amazon Inspector エージェントレススキャンにより、EC2 インフラストラクチャ全体の脆弱性評価の対象範囲を拡大できます。

Amazon Inspector は、定義した基準に基づいた検出結果の抑制をサポートしています。これらの抑制ルールを作成して、組織が許容可能なリスクとみなす検出結果を抑制できます。

Amazon Inspector は、CVE 情報を、ネットワーク到達可能性の結果や悪用される可能性に関するデータなどの環境的な要因と相関させることにより、各検出結果について高度にコンテキスト化された Amazon Inspector リスクスコアを生成します。これは、検出結果に優先順位を付け、極めて重要な検出結果や脆弱なリソースを明らかにするのに役立ちます。Amazon Inspector スコアの計算 (およびスコアに影響した要因) は、[検出結果の詳細] サイドパネルの [Amazon Inspector スコア] タブで確認できます。

Amazon Inspector は、脆弱性にパッチが適用されているか、または脆弱性が是正されているかどうかを自動的に検出します。検出すると、検出結果の状態を自動的に [Closed] に変更します。手動介入は必要ありません。

Amazon Inspector は、組織全体の環境カバレッジの包括的なほぼリアルタイムの概要を提供するため、カバレッジのギャップを回避できます。Amazon Inspector によってアクティブにスキャンされているアカウント、Amazon EC2 インスタンス、Amazon ECR リポジトリ、コンテナイメージについてのメトリクスと詳細情報が提供されます。さらに、アクティブにモニタリングされていないリソースを強調して表示し、それらを含める方法についてのガイダンスを提供します。

すべての検出結果は Amazon Inspector コンソールに集約され、AWS Security Hub にルーティングされ、Amazon EventBridge を通じてプッシュされて、ワークフロー (チケット発行など) が自動化されます。

Amazon Inspector は Lambda 関数内のカスタムプロプライエタリアプリケーションコードをスキャンし、AWS セキュリティのベストプラクティスに基づいて、インジェクションの欠陥、データ漏えい、暗号化の強度不足、暗号化の欠落など、コードセキュリティの脆弱性がないかを確認します。Lambda 関数またはレイヤー内のコードの脆弱性を検出すると、Amazon Inspector は、セキュリティ検出器名、影響を受けるコードスニペット、脆弱性に対処するための是正案など、複数の詳細情報を含む、セキュリティに関する実用的な検出結果を生成します。 Amazon Inspector は、生成系 AI と自動推論を使用して、複数のクラスの脆弱性に対してコンテキストに応じたコードパッチを提供し、コードの脆弱性の修正に必要な労力を軽減します。基礎レイヤーで脆弱性に対処することは、すべてのダウンストリーム Lambda 関数のセキュリティを強化するのに役立ちます。 

Amazon Inspector は、ソフトウェア部品表 (SBOM) エクスポートを自動一元管理します。これにより、すべてのモニタリング対象リソースの統合 SBOM を、事前設定済みの Amazon S3 バケットに、業界標準フォーマット対応で簡単にエクスポートできます。SBOM アーティファクトのダウンロードや、Amazon Athena クエリの実行、Amazon QuickSight ダッシュボードの作成によって、貴重なインサイトを得て傾向を視覚化することができます。

Amazon Inspector は、Jenkins や TeamCity などの開発者ツールと統合してコンテナイメージを評価します。これにより、開発者はこれらの CI/CD ツール内でコンテナイメージを評価できるため、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化できます。結果はCI/CDツールのダッシュボードに表示されるため、ビルドのブロックやコンテナレジストリへのイメージのプッシュなど、重大なセキュリティ問題に対応して自動化されたアクションをすぐに実行できます。CI/CD ツールは、AWS、オンプレミス、ハイブリッドクラウドなど、どこでもホストできるため、開発者はすべての開発パイプラインで単一のソリューションを一貫して使用できます。

Amazon Inspector は、Center for Internet Security の CIS Benchmark をサポートしています。Amazon Inspector を実行すると、AWS Organization 全体の Amazon EC2 インスタンスについて、OS レベルの CIS 設定ベンチマークに照らして、対象を絞ったオンデマンド評価を実施できます。Amazon Inspector の CIS 評価は、Amazon Linux 2、Windows 2019、Windows 2022 を含むオペレーティングシステム全体で、レベル 1 と 2 の両方の設定ベンチマークチェックをサポートしています。