はじめに
おはこんばんにちは。キティちゃんです。最近はAWSの資格取得をしたりとAWSの学習に力を入れています。今日は久々に記事を書いていきたいと思います。
きっかけ
Amazon Inspectorを触る機会があったので、学んだことについてまとめてみようと思いました。
Amazon Inspectorって
EC2インスタンス、コンテナ、Lambda関数などに対してスキャンを行い、ソフトウェアの脆弱性や意図しないネットワークの露出がないかを管理する脆弱性管理サービスです。
利用するメリット
大きく考えて2つあるのではないかなと思います。
1.セキュリティチェックが自動でできる
2.脆弱性の早期発見に繋がる
セキュリティチェックが自動でできる
まず、1についてセキュリティは非常に大事なポイントです。ですが、セキュリティ対策が施されておらず、脆弱性を悪用され情報が流出するといったことは悲しいことながら多々あります。しかしながら、セキュリティについて一つ一つチェックを行うということは時間もかかりますし、何より人的コストも掛かってきてしまいます。また、企業であればセキュリティ以外にも業務は多々あり、セキュリティだけに時間を割けないのも一つの課題です。そこで、Amazon Inspectorを利用することで、自動的にセキュリティチェックを行うことができます。自動的にセキュリティチェックができることで、検知された脆弱性に対してパッチ適用をすればよいので、一つ一つ調べる必要がなく、効率的になります。
脆弱性の早期発見に繋がる
Amazon Inspectorは継続的にセキュリティチェックが行えるため、脆弱性を早期で発見することができる可能性が高まります。常に新しい脆弱性は発見されますので、日頃からセキュリティチェックを行うことで、最新のセキュリティの問題が発見されたときに迅速に対応することで、セキュアな状態を保てます。常にセキュアな状態が保つことができれば情報漏洩に繋がる可能性を低減させることができます。
脆弱性診断とは違うのか
個人的には、同じなのかな思います。よく言われる脆弱性診断はアプリケーション診断、プラットフォーム診断といわれ、アプリケーションやネットワーク周り(サーバーなど)に対して、疑似的に攻撃を行い、セキュリティの問題がないかをツールや手動にて確認を行います。Amazon Inspectorの場合は、既存で発見されている問題に対して、パッチが最新であるかなどを自動でスキャンをしてくれますのである意味診断なのかなと。ですので、単に対象としているターゲットが違うだけなのかなと思います。
所感
Amazon Inspectorを使うことで、脆弱性がないかを調べることができるのは良さそうだなとは思います。ただ、Amazon Inspector単体ではセキュリティ対策は不十分だと思います。あくまで脆弱なパッケージがないかなど脆弱性を管理しているだけであって、防御対策をしているわけではありません。別のサービスで防御対策をする必要がありそうですね。
まとめ
今回はAmazon Inspectorについて書いてみましたが、文章だけでは分かりにくいこともあると思います。AWS Black Beltの動画を視聴してみたり、無料期間を使って利用してみるのもいいかなと思います。私も無料で触れそうなら触ってみたいと思います。
参考
・『Amazon Inspector 大規模な自動化された継続的な脆弱性管理』
https://aws.amazon.com/jp/inspector/
・『Amazon Inspector 【AWS Black Belt】』
https://www.youtube.com/watch?v=QTqvtIIGDVg&ab_channel=AmazonWebServicesJapan%E5%85%AC%E5%BC%8F