1. 法人のお客さまトップ
  2. クラウドソリューション
  3. コラム
  4. Amazon Inspectorとは?EC2インスタンスに利用できる脆弱性診断のメリットや機能

COLUMN

Amazon Inspectorとは?EC2インスタンスに利用できる脆弱性診断のメリットや機能

AWSのEC2は、多く利用されているクラウドサービスのひとつです。しかし、クラウドサービスにおいては、セキュリティリスクに対する懸念をもつ企業もあるのではないでしょうか。「運用中のセキュリティは大丈夫だろうか」「これからクラウド導入するが、セキュリティが不安」という担当者もいるかもしれません。そこで本記事では、EC2インスタンスで利用できる脆弱性診断サービスの「Amazon Inspector」について、その概要やメリットを交えながら、注意点や料金についても解説します。

目次:

Amazon Inspectorとは
Amazon Inspectorを利用するメリット
Amazon Inspectorの2つの評価方法
Amazon Inspectorの料金
Amazon Inspectorを利用する際の注意点
連携して使いたい「Amazon GuardDuty」と「AWS Config」
Amazon Inspectorでクラウド導入時や運用中のEC2をチェックしよう!

Amazon Inspectorとは

Amazon Inspectorとは、AWSのEC2インスタンスにおけるセキュリティレベルを診断するサービスのひとつです。これからEC2を使ったクラウドサービスを利用する場合や、すでに運用しているクラウド環境において、脆弱性があるかどうかを評価してくれます。

実際には、稼働しているWebサーバーなどに対して、擬似的なサイバー攻撃(特定のパケット送信をするなど)を仕掛けるといった方法などで評価する手法です。

擬似的なサイバー攻撃は、近年増加しているサイバー攻撃の手法をもとに、どのような攻撃に弱いのか、あるいは脆弱な部分があるのかが評価されます。

Amazon Inspectorを利用するメリット

それでは、Amazon Inspectorを利用するメリットをみていきましょう。

潜在的なセキュリティリスクを早期発見できる

Amazon Inspectorを利用することで、構築したサーバーやすでに運用しているサーバーなどの潜在的なセキュリティリスクを発見できる可能性が高くなります。

また、定期的にチェックを行うことで、日々進化するサイバー攻撃への対策にも効果的でしょう。セキュリティ診断後の結果一覧をチェックすることで、脆弱な箇所を把握しやすくなりますので、迅速な対処にもつながります。

評価内容を選択できる

Amazon Inspectorの脆弱性評価では、ネットワークに対するリスク評価とホストに対するリスク評価の2つを選択できます。

これは、Amazon Inspectorのルールパッケージといわれる「個別のセキュリティルール(評価基準)」を用います。

ルールパッケージは大きく、ネットワークのアクセスに関する「到達可能性ルールパッケージ」と、EC2インスタンスの脆弱性をチェックするホスト評価のルールパッケージの2種類から選択できます。

もちろん、双方の評価を行うことも可能です。ただし、それぞれに使用料金(後述)が設定されているため、自社の環境に必要なものだけを選択してもよいでしょう。

セキュリティチェックを自動化できる

Amazon Inspectorを利用すれば、セキュリティチェックを自動化できるというメリットもあります。

一般的には、サーバーやネットワークの脆弱性をチェックする場合、テスト項目や実施日時などを綿密に計画して、定期的に実施しなければならず、担当者の負担になることもあるでしょう。

しかし、Amazon Inspectorは自動的にセキュリティチェックを行ってくれるため、それら工数を大幅に削減できます。

無料トライアルも試せる

Amazon Inspectorは、基本的に料金がかかります。しかし、その効果をみるために「とりあえず試してみたい」場合は無料トライアルが用意されているのもメリットだといえます。

90日間の無料トライアルを利用すれば、以下2つの評価を無料で利用できます。

  • ネットワーク到達可能性のルールパッケージを使用したインスタンス評価:250回
  • ホスト評価のルールパッケージを使用したエージェント評価:250回

これら無料トライアル期間を利用して、Amazon Inspectorの使用感が自社に適しているかを試してみるとよいでしょう。

Amazon Inspectorの2つの評価方法

Amazon Inspectorには、ネットワーク評価とホスト評価の2つの評価方法があります。ここでは、それら評価方法を詳しくみていきましょう。

ネットワーク到達可能性評価

Amazon Inspectorのネットワーク評価では、ネットワークの到達可能性を評価できます。

これは、利用しているEC2に、ネットワークを介してアクセスができるか否かを評価するもので、インターネットからアクセスできるEC2インスタンスのポートとサービスを識別します。

VPC(Amazon Virtual Private Cloud)セキュリティグループやルートテーブルなどのネットワーク構成を読み込み、ポートへのアクセス可能性を検証するものです。具体的には、VPCピアリング接続、あるいはVPNを介してポートに到達できる可能性を示します。

また、ネットワークの到達可能性評価は、「エージェント」をインストールすることなく(ホスト評価では必須)利用できます。ただし、エージェントをインストールしているインスタンスならば、より詳しい検出結果を評価することも可能です。

ホスト評価

ホスト評価では、EC2インスタンス自体(ホスト)の脆弱性や設定を評価できます。

ホスト評価は、CVE(共通脆弱性識別子)やCIS(Center for Internet Security)オペレーティングシステム構成のベンチマークなどで評価します。たとえば、評価対象のEC2インスタンスにパッチが適用されていない脆弱性があれば、データの機密性や整合性、可用性についての危険性があると考えられるでしょう。

また、ホスト評価を行うには「エージェント」のインストールが必要です。エージェントでサポートされているOSには以下が挙げられます。

64-bit x86 インスタンス
  • Amazon Linux 2
  • Amazon Linux (2018.03, 2017.09, 2017.03, 2016.09, 2016.03, 2015.09, 2015.03, 2014.09, 2014.03, 2013.09, 2013.03, 2012.09, 2012.03)
  • Ubuntu (20.04 LTS, 18.04 LTS, 16.04 LTS, 14.04 LTS)
  • Debian (10.x, 9.0 - 9.5, 8.0 - 8.7)
  • Red Hat Enterprise Linux (8.x, 7.2 - 7.x, 6.2 - 6.9)
  • CentOS (7.2 - 7.x, 6.2 - 6.9)
Arm インスタンス
  • Amazon Linux 2
  • Red Hat Enterprise Linux (7.6 - 7.x)
  • Ubuntu (18.04 LTS, 16.04 LTS)
Windows
  • Windows Server 2019 Base
  • Windows Server 2016 Base
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

・引用元)Amazon Inspector supported operating systems and Regions別ウィンドウで開きます

対応OSの最新の情報については、AWS公式サイト「Amazon Inspector supported operating systems and Regions別ウィンドウで開きます」にてご確認ください。

Amazon Inspectorの料金

それでは、Amazon Inspectorの利用料金を確認していきましょう。

料金は、大きく「ネットワークの到達可能性ルールパッケージ料金」と「ホスト評価のルールパッケージの料金」にわかれています。

【ネットワークの到達可能性ルールパッケージ料金】

無料トライアルについては、Amazon Inspectorの利用開始から90日間となります。最初の250回のエージェント評価が無料です。

評価回数 1回のインスタンス評価ごと
~250回までのエージェント評価 0.15 USD
251回~750回のエージェント評価 0.13 USD
751回~4,000回のエージェント評価 0.10 USD
4,001回~45,000回のエージェント評価 0.07 USD
それ以上のエージェント評価 0.04 USD

(2021年11月7日時点)

【ホスト評価のルールパッケージ料金】

無料トライアルについては、Amazon Inspectorの利用開始から90日間となります。最初の250回のエージェント評価が無料です。

評価回数 1回のインスタンス評価ごと
~250回までのエージェント評価 0.30 USD
251回~750回のエージェント評価 0.25 USD
751回~4,000回のエージェント評価 0.15 USD
4,001回~45,000回のエージェント評価 0.10 USD
それ以上のエージェント評価 0.05 USD

(2021年11月7日時点)

※最新の料金については、公式サイトの「Amazon Inspector の料金表別ウィンドウで開きます」でご確認ください。

Amazon Inspectorを利用する際の注意点

それでは、Amazon Inspectorを利用する際の2つの注意点をみていきましょう。

対象はEC2インスタンス

Amazon Inspectorは、EC2インスタンスへのネットワークアクセスとその上のアプリケーションに対するテストですので、Amazon EC2を利用していることが前提となります。

セキュリティリスク対処は担当者が行う

Amazon Inspectorは、EC2インスタンスを含むネットワークやホストの脆弱性を評価できますが、脆弱性への対処は行いません。

あくまでも、評価を行うサービスですので、仮にセキュリティリスクが発見された場合は、担当者が対処しなければならないことを意識しておきましょう。

連携して使いたい「Amazon GuardDuty」と「AWS Config」

それでは最後に、Amazon Inspectorと連携して利用したいサービスを2つ紹介します。

Amazon GuardDutyとは

Amazon GuardDutyは、AWSの環境などに対するサイバー攻撃を検知するサービスです。

Amazon Inspector は事前に脆弱性を評価するサービスでしたが、Amazon GuardDutyはログを分析することで、脅威の存在をチェックします。

たとえば、悪意のあるスキャンやインスタンスの侵害、アカウントの侵害などを、ログや振る舞いで検知します。

Amazon GuardDuty については、「高度なインテリジェンスと機械学習で外部からの脅威を見つけ出す「Amazon GuardDuty」の仕組み」にて詳しく解説していますので、あわせて参考にしてください。

AWS Configとは

AWS Configは、EC2をはじめとしたAWSのリソース設定を評価・監査・審査できるサービスのことです。リソースの設定は、継続的にモニターされます。

たとえば、EC2のリソース設定変更を行った際、変更を記録します。記録された変更履歴をもとに、社内のコンプライアンスなどと照らし合わせて監査や分析、変更管理を行うことに役立つでしょう。

AWS Configについては、「AWSリソースの設定変更履歴を管理する「AWS Config」とは?実際に使用してみた」で利用例なども詳しく解説していますので、あわせて参考にしてください。

Amazon Inspectorでクラウド導入時や運用中のEC2をチェックしよう!

Amazon Inspectorを利用すれば、EC2インスタンスを含む環境に対して自動的に脆弱性評価ができます。ネットワークやホストの脆弱性を発見することで、サイバー攻撃に対する早期施策も可能になるでしょう。また、自社の従業員の「セキュリティ対策に関する工数」を削減できる可能性もあります。しかし、セキュリティに関してはやはり第三者にもチェックしてもらいたい、あるいはセキュリティ対策にはできるだけ時間をかけたくないという場合には、Amazon Inspectorなどを利用して第三者視点でのセキュリティチェックを行うサービスもありますので、ご利用を検討してみてはいかがでしょうか。

NTT東日本が提供するAWSのセキュリティチェックについては「AWSのセキュリティ設定に不安はないですか?」にて紹介していますので、あわせて参考にしてください。

クラウドセキュリティチェック for AWS
資料ダウンロードフォーム

カテゴリー

RECOMMEND
その他のコラム

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

今すぐ無料ダウンロードする
クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

まずは無料相談してみる

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。

クラウド予算計画のご相談
クラウドの成功事例を見る