Amazon Inspector

1. サービス概要¶

Amazon Inspector は、AWS 環境におけるセキュリティ脆弱性や設定ミスを自動的に検出するサービスである。
ユーザーは、EC2 インスタンス、コンテナイメージ、AWS Lambda 関数などのリソースを継続的にスキャンし、セキュリティの脆弱性や設定エラーを特定できる。
Inspector は、セキュリティリスクを軽減し、アプリケーションのセキュリティ体制を強化するために役立ちます。

主なユースケースとして、

EC2 インスタンスの脆弱性スキャン
コンテナイメージの脆弱性スキャン
AWS Lambda 関数の脆弱性スキャン
セキュリティコンプライアンスの維持
セキュリティリスクの低減

などが挙げられます。
Amazon Inspector は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能¶

2.1 自動脆弱性スキャン¶

Inspector は、EC2 インスタンス、コンテナイメージ、AWS Lambda 関数などのリソースを自動的にスキャンし、セキュリティ脆弱性を検出する。
スキャンは、継続的に実行され、常に最新の脅威情報に基づいて脆弱性を評価する。

2.2 パッケージ脆弱性の検出¶

オペレーティングシステムやアプリケーションのパッケージに存在する既知の脆弱性を検出する。
これにより、ソフトウェアのセキュリティリスクを特定できる。

2.3 ネットワーク脆弱性の検出¶

EC2 インスタンスのネットワーク設定を評価し、ポートやプロトコルの設定ミスによるセキュリティリスクを検出する。
これにより、不要なポートの開放や、セキュリティグループの誤った設定を特定できる。

2.4 設定ミスの検出¶

AWS リソースの設定を評価し、セキュリティのベストプラクティスに準拠していない設定ミスを検出する。
これにより、S3 バケットの公開設定や IAM ポリシーの不備などを特定できる。

2.5 レポーティング¶

検出された脆弱性や設定ミスに関する詳細なレポートを提供する。
レポートには、脆弱性の説明、影響度、推奨される修正策などが含まれます。

2.6 他の AWS サービスとの統合¶

Inspector は、AWS Security Hub、Amazon EventBridge, AWS Systems Manager などの他の AWS サービスと統合できる。
これにより、セキュリティ情報を連携し、自動的に対応策を実行できる。

2.7 統合性と拡張性¶

AWS Inspector は、AWS Organizations と統合し、組織全体のリソースのセキュリティ状況を一元管理できる。
また、API を利用して、スキャンの実行や結果の取得を自動化することもできる。

3. アーキテクチャおよび技術要素¶

ユーザーは、Inspector でスキャン対象となる AWS リソースを選択。
Inspector は、選択されたリソースを自動的にスキャンし、脆弱性や設定ミスを検出。
検出された脆弱性や設定ミスは、Inspector のレポートに記録。
必要に応じて、他の AWS サービスと連携し、自動的な対応策を実行。
ユーザーは、レポートを確認し、推奨される修正策を実施。

Amazon Inspector は、AWS のインフラ上に構築されており、高い可用性とスケーラビリティを提供する。
リソースのスキャンや分析は AWS が行うため、ユーザーはインフラの管理を行う必要はありません。

4. セキュリティと認証・認可¶

Amazon Inspector は、セキュリティデータを保護するために、以下の機能を提供する:

IAM 統合: AWS Identity and Access Management (IAM) を利用して、Inspector へのアクセスを制御する。
データ暗号化: スキャン結果や設定データは転送中および保存時に暗号化される。
VPC エンドポイント: VPC 内から Inspector にアクセスする際に、インターネットを経由せずにアクセスできる。
アクセス制御: IAM ポリシーを通じて、ユーザーやグループごとに、Inspector の操作権限を詳細に制御できる。
監査ログ: CloudTrail を通じて、Inspector の利用状況を監査できる。

これらのセキュリティ対策により、セキュリティデータへの不正アクセスを防止し、機密情報を保護できる。

5. 料金形態¶

Amazon Inspector の料金は主に以下に基づきます:

EC2 インスタンススキャン: スキャン対象となる EC2 インスタンスの数に応じて課金。
コンテナイメージスキャン: スキャン対象となるコンテナイメージの数に応じて課金。
AWS Lambda 関数スキャン: スキャン対象となる Lambda 関数の数に応じて課金。

6. よくあるアーキテクチャ・設計パターン¶

Amazon Inspector は、様々なセキュリティ評価に利用できる。
一般的なパターンは以下の通りです:

EC2 インスタンスの脆弱性スキャン: EC2 インスタンスのオペレーティングシステムやアプリケーションの脆弱性を検出。
コンテナイメージの脆弱性スキャン: コンテナイメージに存在する脆弱性を検出し、セキュリティリスクを低減。
AWS Lambda 関数の脆弱性スキャン: Lambda 関数に存在する脆弱性を検出。
セキュリティコンプライアンスの維持: AWS 環境のセキュリティ設定を評価し、コンプライアンス要件を満たすことを確認。
セキュリティリスクの低減: 検出された脆弱性や設定ミスを修正し、セキュリティリスクを低減。

7. 設定・デプロイ手順（ハンズオン例）¶

AWS マネジメントコンソールから Amazon Inspector を開き、スキャン対象となるリソースを選択。
スキャンの実行頻度や設定を定義。
Inspector が自動的にスキャンを実行。
レポートを確認し、検出された脆弱性や設定ミスを分析。
推奨される修正策を適用。

8. 試験で問われやすいポイント¶

8.1 自動脆弱性スキャン¶

対象: EC2 インスタンス、コンテナイメージ、AWS Lambda 関数。
頻度: 継続的にスキャンを実行。
試験対策: 自動スキャンのメリット、対象リソースが問われる。

8.2 パッケージ脆弱性の検出¶

対象: オペレーティングシステムやアプリケーションのパッケージ。
目的: ソフトウェアのセキュリティリスクを特定。
試験対策: パッケージ脆弱性の検出方法、重要性が問われる。

8.3 ネットワーク脆弱性の検出¶

対象: EC2 インスタンスのネットワーク設定。
目的: ポートやプロトコルの設定ミスによるセキュリティリスクを検出。
試験対策: ネットワーク設定の評価方法、検出対象が問われる。

8.4 設定ミスの検出¶

対象: AWS リソースの設定。
目的: セキュリティのベストプラクティスに準拠していない設定ミスを検出。
試験対策: 設定ミスの検出方法、検出対象が問われる。

8.5 レポーティング¶

内容: 脆弱性の説明、影響度、推奨される修正策。
利用: 脆弱性の分析、対策の検討。
試験対策: レポートの内容、利用方法が問われる。

8.6 料金体系¶

課金対象: スキャン対象となる EC2 インスタンス、コンテナイメージ、Lambda 関数の数。
最適化: 不要なリソースのスキャンを避けることでコストを削減。
試験対策: 料金体系、課金対象が問われる。

8.7 類似・関連サービスとの比較¶

AWS Security Hub: セキュリティの状態を統合的に管理するサービス。Inspector は脆弱性スキャンに特化。
Amazon GuardDuty: 脅威検出サービス。Inspector は脆弱性や設定ミスを検出。

8.8 試験で頻出となる具体的な問われ方と答え¶

Q: Amazon Inspector は何を提供するサービスですか？
A: AWS 環境におけるセキュリティ脆弱性や設定ミスを自動的に検出するサービスである。
Q: Amazon Inspector は、どのようなリソースをスキャンできるか？
A: EC2 インスタンス、コンテナイメージ、AWS Lambda 関数などのリソースをスキャンできる。
Q: Amazon Inspector は、どのような脆弱性を検出できるか？
A: オペレーティングシステムやアプリケーションのパッケージに存在する既知の脆弱性、EC2 インスタンスのネットワーク設定の脆弱性などを検出できる。
Q: Amazon Inspector は、どのようにセキュリティ設定ミスを検出するか？
A: AWS リソースの設定を評価し、セキュリティのベストプラクティスに準拠していない設定ミスを検出する。
Q: Amazon Inspector の料金はどのように計算されるか？
A: スキャン対象となる EC2 インスタンス、コンテナイメージ、Lambda 関数の数に基づいて計算される。