クラウドセキュリティエンジニアブログ

ニューリジェンセキュリティのクラウドセキュリティエンジニアチームが AWSなどのクラウドセキュリティについて気になることや調べたことを書くブログ

JAWS-UG横浜 #61 で「Amazon Inspectorの進化がアツい!脆弱性管理サービスをよりインテリジェントに」というタイトルで登壇しました

「JAWS-UG横浜 #61 AWS re:Invent 2023 去年のアレどうなった?スペシャル」で登壇した内容です。

jawsug-yokohama.connpass.com

こんにちは、クラウドセキュリティアーキテクトの大島悠司です。
もうすぐ開催される re:Invent 2023 に向けて、最近進化がアツい Amazon Inspector について、ここ1年のアップデートをご紹介します。

Amazon Inspectorとは

Amazon Inspector は AWS が提供するマネージドな脆弱性管理サービスです。
その特徴が以下になります。

  • EC2インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出
  • ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャン
  • SSMエージェントを使うことで、EC2インスタンスのソフトウェアのインベントリを収集
  • CVE情報と関連したリスクスコアの可視化
  • 他サービスとの組み合わせで、脆弱性管理のワークフローを自動化

re:Invent 2022以降の主なアップデート

日付 Lambda名
2022/11/28 Lambda関数とLambda Layersの脆弱性スキャンに対応
2023/2/28 Lambda関数のコードスキャンに対応 [プレビュー]
2023/4/19 EC2インスタンスのディープインスペクションのサポート
2023/5/2 脆弱性インテリジェンスデータベースの検索をサポート
2023/6/13 Lambda関数のコードスキャンに対応 [一般提供]
2023/6/13 ソフトウェア部品表(SBOM)のエクスポート機能に対応
2023/7/31 検出結果に対する脆弱性インテリジェンスを強化

Lambda関数とLambda Layersの脆弱性スキャンに対応

脆弱なLambda関数とレイヤーを検知することができます。

サードパーティ製品を使わずに標準機能で診断可能で非常にアツい機能です。
以前、この機能についてパターン別に検証したことがあり、ブログにまとめているのでこちらもご参照ください。

devblog.nuligen.com

この時のスキャン対象はレイヤーなので、さすがにコードの脆弱性までは診断できない、と思っていたら・・

Lambda関数のコードスキャンに対応

数か月後にはコードスキャンにも対応してきました。
インジェクションの欠陥、データ漏えい、弱い暗号化などのコードに潜む脆弱性を検知できます。

EC2インスタンスのディープインスペクションのサポート

従来、OS標準搭載のyumやaptでインストールしたパッケージしか検知できませんでしたが、明示的にスキャンパスを設定でき、 pipやnmpでインストールしたパッケージも検知可能になりました。

以前のブログで、ディープインスペクションについてパターン別に検証したものがありますので、こちらもご参照ください。

devblog.nuligen.com

ソフトウェア部品表(SBOM)のエクスポート機能に対応

さらに、SBOM機能にも対応しました。
これにより、ソフトウェアを構成するコンポーネントや関連する脆弱性情報をS3バケットに出力可能になります。

脆弱性インテリジェンスデータベースの検索をサポート

AWSは脆弱性インテリジェンスにも力を入れています。
Inspectorスキャンエンジンの対象となるCVEを検索可能になりました。
これらのインテリジェンスは、CISAやRecorded Futureから「強化された脆弱性インテリジェンス」として情報を収集しています。

まとめ

re:Invent 2022以降、以下のような Amazon Inspector のアップデートが急速に増加しました。

  • パッケージだけでなくコードの診断も実施可能になり、スキャンパスの明示なども制御が可能
  • SBOMエクスポートにも対応したため、サプライチェーンの脆弱性などの分析も可能
  • 脆弱性インテリジェンスが増強され、より高度な脆弱性管理が可能

re:Invent 2023ではどのような発表があるか楽しみですね。
Amazon Inspector の今後の動向に注目していきたいと思います。