ブログ

AWSの脆弱性診断の方法とは?【Amazon Inspector】をわかりやすく解説

2023/07/12 ブログ

AWSの脆弱性診断をしたいけど、どんな方法があるのかわからないという担当者の方もおられると思います。

AWSをはじめとするクラウドサービスは、急速に普及してきました。しかし、脆弱性を突いた攻撃が原因で多くの情報漏えいが発生してしまっているのも事実です。

 

そこで、この記事ではAWSの脆弱性診断サービス【Amazon Inspector】について解説しています。この記事を読むことでAmazon Inspectorが、どんなサービスなのかわかるはずです。

AWSの脆弱性診断を検討している方は、ぜひ最後までお読みください。
 

AWSにおける脆弱性診断の必要性

ファイル (42).png

AWSをはじめとしたクラウドサービスは、近年とくにセキュリティに力を入れています。それでも脆弱性診断は、定期的に実施すべきです。

クラウドサービスの市場規模は急速に拡大していますが、一方で脅威にさらされるリスクも多くなっているからです。

ここでは、3つの脆弱性診断の必要性を解説していきます。
 

脆弱性による情報漏えいを防ぐため

脆弱性診断を実施し、脆弱性を早期発見することで情報漏えいを防げます。

IPAが発行した「情報セキュリティ白書2021」によれば、情報漏えい事例の発生原因で、51.5%が「脆弱性」を悪用した攻撃でした。

このことから、脆弱性を早期発見すれば、かなりの情報漏えいを防げることがわかります。そのため、脆弱性診断は欠かせません。

 

ヒューマンエラーによる情報漏えいを防ぐため

人間の手で操作するため、ベストな方法から外れた設定をしたり、新しく設定しても単純にミスがあったりします。

そこを突かれて、情報漏えいする可能性もあるのです。

 

情報セキュリティ白書2021」のデータをみると「設定ミス」により情報漏えいした件数は、約2,156万件と全体の9割を占めています。

脆弱性診断で設定ミスがみつかって対策できれば、かなりの情報漏えい件数を減らせるでしょう。

 

AWSは「責任共有モデル」を採用している

AWSは「責任共有モデル」を採用しています。これは、AWS側とユーザー側で責任範囲を明確化し、双方で協力してセキュリティ対策するモデルです。

 

裏を返せばAWS側だけでなく、ユーザー側も責任範囲においては自分達で対策する必要があります。

 

AWS側は、インフラ、ネットワークなどクラウドサービスを提供するためのものは責任を持って管理します。

一方でユーザー側はクラウド上で機動するOSやアプリケーション、データなどを責任もって管理する必要があるのです。

 

このように責任範囲のあるところは、ユーザー自身で対策しなければなりません
 

Amazon Inspectorとは?【AWSの脆弱性診断サービス】

ファイル (45).png

Amazon Inspector とは、自動で脆弱性診断を行なってくれるサービスです。EC2(※1)インスタンス(※2)にAmazon Inspectorをインストールすると、自動で脆弱性を検出してくれます。

※1.EC2とは仮想サーバーを作成できるサービスのこと

※2.インスタンスは作成された仮想サーバーのこと

 

また診断後には、評価レポートも作成してくれるので、とても優れたツールです。


 

Amazon Inspectorのメリット

ファイル (44).png

次に、Amazon Inspectorのメリットを紹介します。

 

脆弱性診断を自動化できる

先にも述べたように、Amazon Inspectorを導入すれば、脆弱性診断を自動化できます。自動化することで担当者の負担を減らし、開発など他の作業に時間を割り当てられ業務を効率化できるでしょう。

またセキュリティ上の問題を早期に発見でき、サイバー攻撃や情報漏えいのリスクを減らせます。

 

ベストプラクティスと比較してくれる

ベストプラクティス(最良な設定)と比較して、設定を評価してくれます。評価後に設定ミスや不適切な設定があれば、警告や対応策を提案してくれます。
 

無料トライアルを試せる

90日間の無料トライアルが利用できます。無料トライアルを試してから、導入するか検討できるのもメリットと言えるでしょう。

 

Amazon Inspectorのルールパッケージについて

Amazon Inspectorのルールパッケージとは、脆弱性を評価するためのテスト項目をまとめたものです。

大きく分けて2つあります。

 

ネットワーク到達可能性の評価

評価対象のEC2インスタンスに、インターネットから接続可能なポートが存在しないか評価します。

ポートとは、インターネットとコンピュータをつなぐ出入口です。そのポート(出入口)は、コンピュータにたくさんあって不用意に開放されている可能性もあります。

不用意に開いているポートが原因で、サイバー攻撃へ発展する恐れがあるので、ポートの開放状況を確認するのです。

 

ホスト評価

EC2インスタンス(ホスト)そのものに対して脆弱性の検出をします。それぞれ項目は、以下の通りです。

  • ・OSの設定:パスワードやセキュリティパッチの適用状況の確認

  • ・不正アクセスの検出:不正なアクセスを試みる可能性のある設定や脆弱性の特定

  • ・脆弱性スキャン:既知の脆弱性のデータベースと比較して、セキュリティパッチやアップデートが必要なソフトウェアを特定

  • ・セキュリティベストプラクティスの遵守: ホストのセキュリティに関連するベストプラクティスやコンプライアンス基準に準拠しているかの評価

 

Amazon Inspectorの料金

ファイル (22).png

Amazon Inspector は従量課金なので、実際に使用した分に対してのみ料金が発生します。最低料金もなければ、初期費用も必要ありません。

下記は、料金表になります。

1か月にスキャンされたAmazon EC2インスタンスの平均数 インスタンスごとに1.512USD
1か月あたりのAmazon ECRへのプッシュ時に最初にスキャンされたコンテナイメージの数 イメージごとに0.11USD
1か月あたりの連続スキャン用に設定されたAmazon ECRのコンテナイメージの自動再スキャンの数 再スキャンごとに0.01USD
AWS Lambda 関数の月間平均スキャン数 AWS Lambda関数ごとに0.36USD

引用:Amazon Inspector の料金表│https://aws.amazon.com/jp/inspector/pricing/

 

ほかのサービスを組み合わせてセキュリティを高める

ファイル (37).png

ほかのサービスを組み合わせることで、AWSをより安全に運用できます。

ここでは、3つのサービスを紹介するので、参考にしてください。

 

Amazon GuardDuty

AWS環境のアカウントに対する攻撃を検知するサービスです。AWSを利用していれば誰でも利用できます。複雑な設定は不要で、AWS上で有効化するだけです。
 

AWS Config

AWSアカウント内のリソースの設定変更を継続的にモニタリングして記録します。

※リソースとは、Amazon EC2などAWS内で使えるサービスを指します。

 

設定を記録しておけばトラブルが発生したときに、設定に変更があったか、どう変更されたかの確認ができます。

 

AWS Security Hub

利用している環境がAWSのベストプラクティスなのか自動でチェックします。

リスクのある設定を検出するほか、CIS Benchmarks(※1)やPCI DSS(※2)など、各種の規格を基準としたチェックも実施できます。

 

また複数サービスの情報を一元管理できる機能もあります。各々の管理画面を行き来する必要がなく1画面で管理できるので手間がかかりません。

 

※1.CIS Benchmarks:米国の政府機関、企業、学術機関が協力して作った情報セキュリティに関するガイドライン
※2.PCI DSS:クレジットカード業界のセキュリティ基準
 

まとめ

ファイル (27).png

Amazon Inspectorは、優れた脆弱性診断ツールです。自動で脆弱性診断を行ってくれるので、脆弱性を早い段階で見つけられます。

とはいえ、セキュリティ対策を企業内の担当者だけで、できるのか不安な方もいると思います。

 

一度でも情報漏えいなど事故が起きてしまうと、取り返しのつかないことになる可能性もあるので当然です。

そんなときは、外部の脆弱性診断士に依頼することをおすすめします。セキュリティ対策には専門的な知識も必要です。第三者のプロにお願いすると、安心感も得られるので活用していきましょう。