AWSの脆弱性診断サービス「Amazon Inspector」とは？その使い方を解説

AWSとは？

Amazon Web Serviceの省略で、Amazon社が提供するクラウドコンピューティングサービスのことです。

世界中に多数のデータセンターを保有しており、コンピューティング、ストレージ、データベースなどのインフラストラクチャテクノロジーから機械学習、AI、データレイク、分析、IoTなど様々なITサービスを提供しています。

これらの様々なITサービスが利用時間などの従量課金で、初期費用を抑えながら使った分だけ手軽に利用することができます。現在も非常に早いスピードでサービス内容の改善や新しいサービスの追加が精力的に行われており、クラウドサービスの中でも大変人気があります。

脆弱性診断とは？

OSやアプリケーションなどのソフトウェアに存在するセキュリティ上の欠陥がないかを診断することです。ソフトウェアにはソフトウェアの設計、設定、プログラミングのミスなどの欠陥を理由とした脆弱性が存在します。

これらの脆弱性に対して適切な対処が実施されていないと、悪意のある外部の攻撃者からの攻撃が成功し、コンピュータウイルスへの感染、情報漏洩などの被害を受ける可能性があります。

昨今ではサイバー攻撃の増加によるサイバー犯罪や情報漏洩の事件も増えており、攻撃の被害にあわないためにも脆弱性に対して適切に対処することが重要となっています。

現在では様々なITベンダーが企業内のコンピュータ、アプリケーション、Webサイト、Webサービスなどに脆弱性がないかを診断する脆弱性診断サービスを提供しています。

AWSの脆弱性診断サービス、Amazon Inspectorとは？

AWSが提供する脆弱性診断、セキュリティ評価サービスで、AWSを利用したアプリケーションのセキュリティを向上させることができます。

自動的にソフトウェアの脆弱性診断、セキュリティの評価を実施し、ソフトウェアの脆弱性やセキュリティ上好ましくない設定、ベストプラクティスからの逸脱がないかどうかを確認することができます。

評価の実行後にはセキュリティ上の問題点を重大性の順に並べて、脆弱性診断の結果を表示した詳細なリストがAmazon Inspectorによって作成されます。

AWSのAmazon Inspectorでは何ができるの？

Amazon Inspectorを利用することで、どのようなことができるのかご紹介します。

脆弱性診断の対象としたAmazon EC2インスタンスへ外部の攻撃者がネットワーク経由でアクセスできるようになっていないかや、Amazon EC2インスタンス上に外部の攻撃者が攻撃に悪用できる脆弱性が存在しないかをチェックすることができます。

AWSのセキュリティチームが日々更新と改善をしている、事前に定義されたルールパッケージを利用して、脆弱性診断対象のAmazon EC2インスタンスに対して手軽に脆弱性診断を実施することができます。

Amazon EC2とは

Amazon Elastic Compute Cloud（Amazon EC2）は、AmazonがAWS上で提供している機能の1つで、仮想サーバーを構築できるサービスです。

Amazon EC2では、LinuxやWindowsサーバーなどの仮想サーバーをAWSのクラウド上に作成することができます。

Amazon Inspectorの脆弱性診断を利用するメリットは？

Amazon Inspectorの脆弱性診断を利用するメリットは、セキュリティの問題点をすぐ識別できること、セキュリティをDEVOPSに統合できること、セキュリティについての専門知識を活用できることです。

これらについて1つずつ解説します。

Amazon Inspectorを利用するメリット1：セキュリティの問題点をすぐに識別できる

AWSを利用したアプリケーションを開発して新規にユーザーにリリースする前や、現在既にユーザーにサービスを提供しているアプリケーションに関して、脆弱性診断を実施して脆弱性の有無を確認し、セキュリティを強化することができます。

脆弱性診断サービスを提供しているITベンダーとの契約の締結などの必要がなく、すばやくアプリケーションの脆弱性診断を実施することができます。

Amazon Inspectorを利用するメリット2：セキュリティを DEVOPS に統合できる

Amazon Inspectorを利用してアプリケーションの脆弱性診断を自動化することができます。開発チームと運用チームが協力してアプリケーションを開発する中で、アプリケーションの脆弱性診断のプロセスをアプリケーション開発プロセスの中に統合することができます。

これによりセキュリティ上の脆弱性を防ぎながら、アプリケーションの俊敏な開発を行うことができます。

DEVOPSとは？

アプリケーションの開発チームと運用チームが協力することにより、迅速かつ柔軟なサービス提供を行うための考え方や仕組みのことです。

アプリケーションの利便性を高めたい開発者と、安定的な運用をしたい運用者との間の対立を解決し、開発のスピード、生産性、信頼性を向上させるなどのメリットがあります。

Amazon Inspectorを利用するメリット3：セキュリティについての専門知識を活用できる

AWS のセキュリティチームがAWS 環境の評価と、セキュリティに関するベストプラクティスやルールの更新を継続的に行っています。これらのセキュリティの専門知識を手軽に活用でき、AWS 環境でセキュリティ上のベストプラクティスを確立することが容易になります。

またこれにより、自社のセキュリティ部門によるアプリケーションの脆弱性診断やセキュリティ上のリスク評価の労力を大幅に削減することができます。

Amazon Inspectorの脆弱性診断の診断結果の内容は？

ネットワークの到達可能性ルールパッケージとホスト評価のルールパッケージがあります。

・ネットワークの到達可能性ルールパッケージ
ネットワークの到達可能性のルールパッケージを使って脆弱性診断を実施すると、Amazon InspectorによってAWSのネットワーク構成が分析され、ネットワークを経由して脆弱性診断の対象となっているAmazon EC2インスタンスへアクセスが可能になっているかが検査されます。

これにより外部の攻撃者から対象のAmazon EC2インスタンスへネットワーク経由でアクセスすることが可能になっているかどうかを確認することができます。

・ホスト評価のルールパッケージ
ホスト評価のルールパッケージを使って脆弱性診断を実施すると、脆弱性診断の対象のAmazon EC2インスタンス上に脆弱性のあるソフトウェアや、問題のある設定がないかが検査されます。
これには共通脆弱性識別子 (CVE)、Center for Internet Security (CIS) オペレーティングシステム構成のベンチマーク、セキュリティのベストプラクティスの３種類のルールパッケージがあります。

これらのルールにより、脆弱性診断対象のAmazon EC2インスタンスに対して外部の攻撃者が攻撃に悪用できる脆弱性があるかを確認することができます。

気になるAmazon Inspectorの脆弱性診断の利用料金は？

ネットワークの到達可能性ルールパッケージの料金は、1回のインスタンス評価ごとに約0.15USD、ホスト評価のルールパッケージの料金は、1回のエージェント評価ごとに約0.30USDです。（※2021年4月時点での東京リージョンの料金を参照しています）

ともに1か月当たりの評価実施回数が増えていくと1回あたりの評価の料金は安くなっていきます。

またAmazon Inspectorは他のAWSのサービスと同様に無料利用期間が存在しています。Amazon Inspectorについては利用を開始して最初の90日間は、ホスト評価のルールパッケージを使った250回のエージェント評価の脆弱性診断を無料で利用することができます。

またネットワークの到達可能性のルールパッケージを使った250回のインスタンス評価の脆弱性診断も無料で利用することができます。

出典：Amazon Inspector の料金表｜Amazon Web Services
参照：https://aws.amazon.com/jp/inspector/pricing/

AWSのAmazon Inspectorの利用時の注意点は？

Amazon Inspectorの利用時の注意点は、利用できる地域（リージョン）が決まっていること、すべてのOS（オペレーティングシステム）がサポートされているわけではないこと、OSにエージェントソフトのインストールが必要になる場合があることなどです。

これらについて1つずつ解説します。

利用できる地域（リージョン）が決まっている

他のAWSのサービスでも同様ですが、利用できるリージョンが決まっています。

現在、US East（N. Virginia）us-east-1、US West（N. California）us-west-1、Asia Pacific（Tokyo）ap-northeast-1などの主要なリージョンでは利用可能ですが、利用を検討しているリージョンでサービスが提供されているかを確認するようにしてください。

脆弱性診断の対象としてサポートされているOSが決まっている

脆弱性の評価についてすべてのOS（オペレーティングシステム）がサポートされているわけではありません。

主要なLinuxのディストリビューションやWindowsサーバーはサポートされていますが、すべてのOSがサポートされているわけではないので利用前に確認するようにしてください。

診断対象のOSにエージェントソフトのインストールが必要になる場合がある

ネットワークの到達可能性のルールパッケージを利用した脆弱性診断はAmazon EC2にエージェントソフトをインストールすることなしに実施することができます。

ですが、ホスト評価のルールパッケージを利用した脆弱性診断を実施するには、脆弱性診断対象のAmazon EC2インスタンスにエージェントソフトをインストールしてから脆弱性診断を実施することが必要になります。

AWSの脆弱性診断サービス Amazon Inspectorを利用してみよう！

Amazon Inspectorは利用する際の料金が安く、また90日間の無償利用期間もあります。

そして何よりAWSのセキュリティチームが日々改善を続けているAWS環境の評価ルール、脆弱性の検知ルール、セキュリティ上のベストプラクティスのルールを手軽に利用できることのメリットは大きいです。

自社にてAmazon EC2を利用しており、セキュリティ上の心配があるならぜひ一度利用を検討してみてはどうでしょうか？