Amazon InspectorによるAWS Lambda関数のスキャン概要
機能について
Amazon Inspector は、AWS Lambda 関数などのセキュリティ脆弱性を自動でスキャンし、関数や依存ライブラリの脆弱性を効率的に検出・解消することができます。
主なスキャンタイプ
Lambda 標準スキャン
- デフォルトで有効化されるスキャン
- Lambda 関数およびレイヤー内の依存関係を調査
- CVEの検出に特化
Lambda コードスキャン
- Lambda 関数とレイヤー内のカスタムコードを解析
- 内部コードのセキュリティリスクやデータ漏洩の可能性を特定
スキャン有効化手順
1. Amazon Inspectorのアクティブ化
- 自動でCVEスキャンを開始。
- Lambda 関数の脆弱性検出とセキュリティ強化を実施。
2. Lambda 標準スキャンとコードスキャンを有効化
- 包括的なセキュリティ対策を提供。
- 必要に応じてコードスキャンのみを有効化可能。
3. コードスキャン対象外の設定
- タグ
InspectorCodeExclusionを使用。- キー:
InspectorCodeExclusion - 値:
LambdaCodeScanning
- キー:
- 必要な関数のみをスキャン対象に設定し、リソースを効率化。
利用メリット
- 継続的なセキュリティ評価で脆弱性を早期発見
- スキャン対象を柔軟に制御可能
- 関数およびライブラリの安全性を向上
Amazon Inspectorでスキャン可能なサービス一覧
| No | サービス | スキャン内容 |
|---|---|---|
| 1 | Amazon EC2 | インスタンスのソフトウェア脆弱性スキャン、セキュリティグループの設定評価 |
| 2 | Amazon ECR | プッシュされたコンテナイメージの脆弱性スキャン |
| 3 | AWS Lambda | - Lambda 標準スキャン: 依存関係のCVE特定 - Lambda コードスキャン: カスタムコードのリスク検出 |
| 4 | Amazon ECS | ECSタスク定義に基づくコンテナイメージの脆弱性スキャン |
| 5 | Amazon Fargate | Fargate利用コンテナイメージの脆弱性スキャン |
1. Amazon EC2
- インスタンスにインストールされたソフトウェアの脆弱性をスキャン。
- セキュリティグループの設定を評価。
2. Amazon ECR(Elastic Container Registry)
- プッシュされたコンテナイメージをスキャンし、脆弱性を特定。
3. AWS Lambda
- Lambda 標準スキャン: アプリケーション依存関係をスキャンし、CVEを特定。
- Lambda コードスキャン: 関数内部のカスタムコードをスキャンし、セキュリティリスクを検出。
4. Amazon ECS(Elastic Container Service)
- ECSタスク定義に基づいて稼働するコンテナイメージのスキャンを実施。
5. Amazon Fargate
- Fargateを利用するコンテナイメージの脆弱性をスキャン。
その他
- サービスが対象外でも、ECRやLambdaなどの依存関係を通じて間接的なセキュリティ評価が可能。