【AWS re:Invent2022】Amazon Inspector v2の新機能をご紹介！

2022.12.01

本記事のポイント

AWSが主催するクラウドコンピューティング最大のイベント「AWS re:Invent」が、2022年11月28日～12月2日にかけてアメリカのラスベガスにて開催されます。本ブログでは、AWS re:Inventに実際に参加したエンジニアから、イベントの様子やKeynote（基調講演）の現地レポートをいち早くお届けします。

今回はAmazon Inspectorの新機能についてご紹介します。
EC2インスタンスやECRのコンテナイメージの脆弱性診断サービスとして提供されていたAmazon InspectorがAWS Lambda関数の診断にも対応したことで、AWS内で脆弱性情報を一括管理できるようになりました。

AWS re:Invent とは？

re:Inventとは、Amazon Web Services（以下、AWS）が主催するAWSに関するセッションや展示ブース、試験準備のためのブートキャンプやゲーム化された演習などを通じて、参加者が主体的に学習できるAWS最大のイベントです。）

昨年も今年同様でラスベガスとオンラインにて開催されており、85以上の新サービスや新機能が発表されました。昨年の参加人数はオンサイト参加者2万人以上、バーチャル参加者は60万人以上になります。

Amazon Inspectorの新機能をご紹介

2015年にClassic版がリリースされ、昨年のRe:Inventでv2版が発表されたAmazon Inspectorに新機能が追加されました。今回は発表された新機能や料金体系について紹介していきます。

Amazon Inspectorとは

AWS公式ドキュメントによると、

Amazon Inspectorは、AWSのワークロードを継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークへの露出を検出する脆弱性管理サービスです。Amazon Inspectorは、稼働中のAmazon EC2インスタンス、Amazon Elastic Container Registry（Amazon ECR）のコンテナイメージ、およびAWS Lambda関数を自動的に検出してスキャンし、既知のソフトウェア脆弱性と意図しないネットワークの露出を検出します。

Amazon Inspectorは、ソフトウェアの脆弱性やネットワーク構成の問題を発見すると、ファインディングを作成します。所見は、脆弱性を説明し、影響を受けるリソースを特定し、脆弱性の重大性を評価し、改善ガイダンスを提供します。Amazon Inspectorコンソールを使用して所見を分析したり、他のAWSサービスを通じて所見を表示および処理したりすることができます。詳細については、「Amazon Inspectorの所見を理解する」を参照してください。

Amazon Inspectorの新機能

早速ドキュメントにも記載されていましたが、今回追加された新機能はAmazon InspectorがAWS Lambda関数の診断にも対応するようになったというものです。

今までのv2版ではOrganizationで設定した委任管理者アカウントでAmazon Inspectorを有効化するとOrganization内のアカウントすべてのEC2インスタンスやAmazon ECRのコンテナイメージを診断でき、新規でEC2インスタンスやAmazon ECRのコンテナイメージが追加されたり、既存のものが修正されたりすると自動でAmazon Inspectorが検知し診断を実行してくれていましたが、AWS Lambdaに対しても同様の診断が実行されます。
デモンストレーションでは新たにデプロイされたAWS Lambda関数が数分のうちに診断されている様子が確認できました。

対応言語はPython, NodeJSとJavaで、現行バージョンの関数が使用しているすべてのレイヤーに対して、サードパーティレイヤーも診断することが可能です。
診断によって発見されたAWS Lambda関数の脆弱性情報はSecurity Hubへ集約できたり、Amazon EventBridgeとAWS Systems Managerを組み合わせて脆弱性に対する修復を自動化することもできるようになります。

Amazon InspectorのAWS Lambda脆弱性診断の利用料

Amazon InspectorでAWS Lambdaの脆弱性診断を実施する際にかかる利用料はバージニアリージョンで1関数あたり30日間で0.30ドルです。利用料は診断回数に依存せず、一つの関数を1か月間で1度しか診断しなくても、毎日再診断を実施していてもその関数に対して請求される利用料は変わりません。

また、AWS Lambdaの診断機能には15日間のトライアル機能があり、既にEC2インスタンスやAmazon ECRのコンテナイメージの診断にAmazon Inspector v2を利用しているアカウントでもトライアル可能です。

まとめ

日本でもサーバレス化の波がやってきていますが、EC2とコンテナ、Lambdaを組み合わせて利用している方も多いと思います。今まではLambdaの脆弱性診断は他のツールを利用する必要がありましたが、これからは一括で、エージェントを追加する必要もなく脆弱性情報の管理ができるようになり、セキュリティ対策が容易になると感じました。すでにAmazon Inspectorを利用されている方にも、今までAmazon Inspectorを利用されたことがない方にも参考になりましたら幸いです。

TWEET SHARE BOOKMARK

関連記事