LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@yuri_snowwhite(白”雪姫”)

re:Inforceのアップデートで気になった物を検証する(AWS Inspector)

Last updated at Posted at 2025-07-27

ご挨拶

こんにちは、白"雪姫"です。
まもなく7月も終わりですね。暑い日が続いていますが、皆さんはセキュリティ意識も暑さの汗とかで流さないでくださいね。

re:Inforceのアップデート振り返りをやったかな?って思ったら、インプットだけして記事を作っていませんでした。

スケジュール詰め詰めでバタバタしてたんですゴメンなさい

re:Inforceとは?

AWSのセキュリティソリューション、クラウドセキュリティ、コンプライアンス、アイデンティティに特化したグローバルな学習カンファレンスです。
2025年公式ページより

そんなわけで、セキュリティ向けのre:Inventみたいな感じでイメージしてもらえればと(だいぶ違う気がしますが)

アップデート内容

AWSの公式で日本語でのアップデートが大体書かれています。
こちらをご確認ください。

白"雪姫"が気になったもの

私の大好きなAWS Inspectorがソースコードのセキュリティスキャンができるようになったらしいというアップデートが気になりました。
これはと思ったので、この記事で試してみようと思います。

試してみた

Amazon Qに読み取って概略をざっくり説明してもらう

アップデート内容はちゃんと理解していないと試せないので、Amazon Qに概略を説明してもらいました。

Amazon Inspectorの進化について:
• 従来は、EC2インスタンス、コンテナ、Lambda関数などの「実行中のワークロード」の脆弱性管理を自動化してい
ました
• 今回、より積極的なセキュリティ対策として「コードセキュリティ機能」が追加されました

新機能の特徴:
• GitHubやGitLabなどのソースコード管理ツールとネイティブに統合
• アプリケーションのソースコード、依存関係、Infrastructure as Code(IaC)の脆弱性や設定ミスを特定・優先
順位付け
• コードを変更しなくても、依存するライブラリに脆弱性が見つかる可能性があるため、継続的な監視が重要

3つの新しいセキュリティ分析機能:
1. SAST(静的アプリケーションセキュリティテスト) - ソースコード自体の脆弱性検出
2. SCA(ソフトウェア構成分析) - 依存関係の脆弱性分析
3. IaCスキャン - インフラコードの設定チェック

導入方法:
• GitHubの場合:GitHub MarketplaceからAmazon Inspector Appをインストール・設定
• GitLabの場合:必要な権限を持つパーソナルアクセストークンを使用

これにより、開発ライフサイクル全体で一貫したセキュリティ管理ができ、セキュリティチームと開発チームの効
果的な連携が可能になるということですね!

GHAでも連携できるのはとてもいいですね。
ですが、とりあえず試すにはどうしたら良いかな?と思ったら、先ほどのページの中盤くらいから書いてありますね。今回はせっかくなので、以前作成したLambdaのコードにかけてみようと思います。

実機で試す

まずは、マネジメントコンソールからInspectorへ
image.png

左ペインの[コードセキュリティ]、こちらがアップデートです
image.png

GitHubへ接続する必要があります。
接続して、スキャン内容を構成しましょう

image.png

推奨値である変更ベースによるスキャンに設定して、毎週スキャンされていると結構お金がかかると予測されます。
定期スキャンは今回は無効にしました。

image.png

また、どういうタイプのスキャンを行うかも設定できます。今回は推奨である完全なスキャンで設定しています。

設定が完了して次へ進むとGitHubと接続、GitHub側の認証も必要なことが出てきますので、接続しましょう

image.png

接続先GitHubをクリックすると、ポップアップでGitHubに繋がります。
問題がなければ承認をポチッとします。
image.png

接続が完了すると、StatusがPendingになります。
image.png

認証が完了すると
image.png

アプリケーション作成プロセスに行きます。
この辺りはCLIでやれた方が良いかと思います。今回は全部GUIでやっていますが笑

image.png

新しいアプリをインストールします。

インストールと認証でどのリポジトリを対象にするのか聞かれます。
今回は対象を1個だけ選んでいます。

image.png

GitHubへインストールが始まります。
image.png

無事に完了するとActiveステータスとなります。
image.png

全て整うと、コードリポジトリでオンデマンドスキャンが可能になりますのでポチッとしましょう。

image.png

スキャンが完了して詳細を確認すると結果が確認できます。
今回は、コードの脆弱性などは検知しませんでした。
タイトルなし.png

以上で完了です。

所感として

初期の設定がちょっと大変だなとは思いました。
ですが、一度設定してしまえばオンデマンドスキャンができるのと、
デプロイ時にGitHub ActionsやCode Build等で設定してあげればスキャンもできるようなので実装すれば
インスタンスだけでなくコードもオンデマンドでスキャンしてより強固なサービスが作れるなと感じました。

投稿後の追記

投稿後、確認をしていたら、しっかり脆弱性が出ていました。
image.png

あっ、もちろんこの記事を書いているときには、頑張って修正を行っています。
Highセキュリティですからねっ!目指せ1ヶ月以内!!

こちらも追記、リファクトしたらちゃんと走ってくれてました。
image.png

良いセキュリティライフを!

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?