第1章:CNAPP視点で整理する Amazon Inspector の立ち位置
本章では、CNAPP(Cloud Native Application Protection Platform)の考え方を整理した上で、
AWSにおいて Amazon Inspector がどの領域を担うサービスなのか を明確にします。
AWSでは単一サービスでCNAPPを実現することはできません。
そのため、本記事では 「CNAPPを構成する各要素の中で Inspector が果たす役割」 に焦点を当てて整理していきます。
1.1 CNAPPとは何か(AWSサービスで分解する)
CNAPPとは、クラウドネイティブ環境におけるセキュリティを包括的に保護するための概念であり、
以下のような複数のセキュリティ領域を横断的にカバーします。
- CSPM(設定不備の検出)
- CWPP(ワークロード脆弱性の検出)
- CIEM(IAM権限管理)
- DSPM(データセキュリティ)
- CDR(検知・対応)
AWSではこれらを 複数のマネージドサービスの組み合わせ によって実現します。
CNAPPは「製品名」ではなく、「設計思想・運用モデル」である点が重要です。
1.2 Amazon Inspector が担う CNAPP 領域
Amazon Inspector は、
CNAPPを構成する要素のうち CWPP(Cloud Workload Protection Platform) を担うサービスです。
Inspectorが注目するのは、以下のような 実行環境そのものの脆弱性 です。
- EC2 インスタンス上の OS / パッケージ
- ECR に格納されたコンテナイメージ
- Lambda 関数の依存ライブラリ
設定(Configuration)ではなく、
「今、実際に動いているワークロードが安全かどうか」 を評価する点が特徴です。
1.3 CNAPP視点で見た Amazon Inspector の重要性
CSPMだけを導入している環境では、
「設定上は問題ない」ように見えるケースが多く存在します。
しかし、Inspectorを有効化すると以下のような状況が可視化されます。
- 最新パッチが適用されていないOS
- 放置された脆弱なライブラリ
- ECRイメージに含まれるCriticalなCVE
これは 設定が安全=ワークロードが安全ではない ことを示しています。
Amazon Inspector は CNAPPの完成形ではありません。
しかし、Inspectorなしでは CNAPP は成立しない と言えます。
次章では、Amazon Inspector の仕組みと対象リソースを、
CWPP視点でさらに詳しく整理していきます。
第2章:Amazon Inspector の概要(CNAPP / CWPP視点)
本章では、Amazon Inspector の基本的な仕組みと対象リソースを整理し、
CNAPPの中で どのようにCWPPとして機能しているのか を明確にします。
2.1 Amazon Inspector の基本コンセプト
Amazon Inspector は、
AWS上で稼働するワークロードに対して、脆弱性を 自動かつ継続的に検出 するサービスです。
Inspectorの特徴は以下の通りです。
- CVEベースの脆弱性管理
- 定期スキャンではなく 継続的評価
- AWSマネージドで運用負荷が低い
CNAPPの文脈では、
Inspectorは 「ワークロードが侵入可能な状態かどうか」 を評価する役割を担います。
2.2 対象リソースとスキャン方式
Amazon Inspector は、以下のAWSリソースを対象に脆弱性を検出します。
EC2 インスタンス
- OSおよびインストールされているパッケージをスキャン
- EC2にインストールされた Inspector エージェントを利用
ECR コンテナイメージ
- コンテナイメージ内のOS / ライブラリの脆弱性を検出
- エージェントレスでスキャン可能
- 実行前(Build / Push 時点)の脆弱性把握が可能
Lambda 関数
- 関数に含まれる依存ライブラリの脆弱性を検出
- サーバレス環境におけるCWPPを補完
2.3 CNAPP視点で見た Inspector のスキャン特性
Inspectorのスキャンは、
CNAPP視点で見ると以下の特徴を持ちます。
- 実行前(ECR)+ 実行中(EC2 / Lambda)
- 設定ではなく 実体(ワークロード)そのもの を評価
- 脆弱性の「有無」を明確に数値化
これは、CSPMでは検出できない領域をカバーする重要なポイントです。
2.4 CSPMでは見えない世界を補完する役割
CSPM(設定不備検出)は、
「安全に見える構成」を作ることは得意ですが、
以下のような問題までは検出できません。
- 古いOSやライブラリの放置
- パッチ未適用のミドルウェア
- コンテナイメージ内の既知脆弱性
Amazon Inspector は、
「設定は正しいが危険な状態」 を可視化することで、
CNAPPにおけるCWPPの役割を明確に果たします。
次章では、Inspectorが実際に どのような脆弱性を検出するのか、
検出内容と深刻度の考え方を詳しく整理していきます。
第3章:Amazon Inspector は何を検出できるのか(CWPPの中身)
本章では、Amazon Inspector が実際に検出する脆弱性の種類と、
CNAPP / CWPP 視点で どのように解釈・優先付けすべきか を整理します。
3.1 Inspector が検出する脆弱性の種類
Amazon Inspector が検出するのは、
主に CVE(Common Vulnerabilities and Exposures) に基づく既知の脆弱性です。
対象となる脆弱性は以下の通りです。
- OSパッケージに存在する脆弱性
- ミドルウェアやランタイムの脆弱性
- アプリケーション依存ライブラリの脆弱性(Lambda)
これらは 設定不備ではなく、ワークロード内部の問題 である点が重要です。
3.2 EC2 / ECR / Lambda ごとの検出観点
EC2 インスタンス
- OSおよびインストール済みパッケージのCVE
- パッチ未適用による既知脆弱性
- 長期間放置されたインスタンスのリスク可視化
ECR コンテナイメージ
- イメージ内のOS / ライブラリのCVE
- 実行前(Push 時点)での脆弱性検出
- 「安全でないイメージ」を実行環境に持ち込む前の抑止
Lambda 関数
- 関数に含まれる依存関係ライブラリの脆弱性
- サーバレス環境における脆弱性管理の補完
- 「サーバレス=安全」という誤解の是正
3.3 深刻度(Severity)の考え方
Inspector では、検出された脆弱性に対して
以下のような深刻度(Severity)が付与されます。
- Critical
- High
- Medium
- Low
この深刻度は主に CVSS(Common Vulnerability Scoring System) を基準に評価されます。
ただし、ここで注意すべき点があります。
- 深刻度が高い = 即インシデント、ではない
- 深刻度が低い = 放置してよい、ではない
CNAPP運用では、
「深刻度 × 利用状況 × 外部公開有無」 を組み合わせて判断することが重要です。
3.4 CNAPP視点での Inspector Findings の読み解き方
CSPMでは問題が検出されていない環境でも、
Inspectorを有効化した途端に Critical / High が大量に検出される ケースは珍しくありません。
これは以下のような理由によるものです。
- 長期間アップデートされていないOS
- 過去に作成されたまま放置されたAMI
- 古いコンテナベースイメージの再利用
CNAPP視点では、
これらの脆弱性は 「将来の攻撃経路の起点」 として捉える必要があります。
Amazon Inspector は
「今すぐ攻撃されているか」ではなく、
「攻撃可能な状態にあるか」 を可視化するサービスです。
次章では、Inspector を Security Hub と連携 させることで、
CNAPPとしてどのように活用できるのかを整理していきます。
第4章:Security Hubと連携してCNAPPとして機能させる
本章では、Amazon Inspector を単体で使う場合と、
Security Hub と連携した場合の違いを整理し、
AWSにおいて CNAPPとしてどのように機能するのか をまとめます。
4.1 Amazon Inspector 単体では CNAPP ではない
Amazon Inspector は、
CNAPPを構成する要素のうち CWPP(ワークロード脆弱性管理) を担うサービスです。
一方で、Inspector単体では以下の点が不足します。
- 他セキュリティ領域との横断的な可視化
- リスク全体を見た優先度付け
- 複数サービスをまたいだ運用判断
そのため、Inspectorは CNAPPの構成要素ではあるが完成形ではない
という位置づけになります。
4.2 Security Hub による CNAPP 的な統合
SecurityHub は、
AWS環境全体のセキュリティ検出結果を集約・可視化するサービスです。
Inspector を Security Hub と連携することで、以下が可能になります。
- Inspector の脆弱性検出結果を一元管理
- CSPM / CWPP / IAM系の Finding を横断的に確認
- リスクベースでの対応優先度判断
この構成により、
Inspectorは 単なる脆弱性検出ツール から
CNAPPの一部として機能するコンポーネント に変わります。
4.3 CNAPP視点で見た Amazon Inspector のまとめ
Amazon Inspector は、
CNAPPを構成する CWPP領域の中核となるサービス です。
- CSPMでは見えない脆弱性を可視化できる
- 攻撃前の「侵入口」を把握できる
- Security Hubと連携することでCNAPPとして機能する
InspectorはCNAPPの完成形ではありません。
しかし、Inspectorなしでは CNAPP は成立しない と言えます。
AWS環境においてCNAPP的なセキュリティ運用を目指す場合、
Amazon Inspector は 最初に導入すべきCWPPサービス の一つです。