Amazon Inspectorとは?EC2インスタンスに利用できる脆弱性診断のメリットや機能

AWSのEC2は、多く利用されているクラウドサービスのひとつです。しかし、クラウドサービスにおいては、セキュリティリスクに対する懸念をもつ企業もあるのではないでしょうか。「運用中のセキュリティは大丈夫だろうか」「これからクラウド導入するが、セキュリティが不安」という担当者もいるかもしれません。そこで本記事では、EC2インスタンスで利用できる脆弱性診断サービスの「Amazon Inspector」について、その概要やメリットを交えながら、注意点や料金についても解説します。

Amazon Inspectorとは

Amazon Inspectorとは、AWSのEC2インスタンスにおけるセキュリティレベルを診断するサービスのひとつです。これからEC2を使ったクラウドサービスを利用する場合や、すでに運用しているクラウド環境において、脆弱性があるかどうかを評価してくれます。

実際には、稼働しているWebサーバーなどに対して、擬似的なサイバー攻撃(特定のパケット送信をするなど)を仕掛けるといった方法などで評価する手法です。

擬似的なサイバー攻撃は、近年増加しているサイバー攻撃の手法をもとに、どのような攻撃に弱いのか、あるいは脆弱な部分があるのかが評価されます。

Amazon Inspectorを利用するメリット

それでは、Amazon Inspectorを利用するメリットをみていきましょう。

潜在的なセキュリティリスクを早期発見できる

Amazon Inspectorを利用することで、構築したサーバーやすでに運用しているサーバーなどの潜在的なセキュリティリスクを発見できる可能性が高くなります。

また、定期的にチェックを行うことで、日々進化するサイバー攻撃への対策にも効果的でしょう。セキュリティ診断後の結果一覧をチェックすることで、脆弱な箇所を把握しやすくなりますので、迅速な対処にもつながります。

評価内容を選択できる

Amazon Inspectorの脆弱性評価では、ネットワークに対するリスク評価とホストに対するリスク評価の2つを選択できます。

これは、Amazon Inspectorのルールパッケージといわれる「個別のセキュリティルール(評価基準)」を用います。

ルールパッケージは大きく、ネットワークのアクセスに関する「到達可能性ルールパッケージ」と、EC2インスタンスの脆弱性をチェックするホスト評価のルールパッケージの2種類から選択できます。

もちろん、双方の評価を行うことも可能です。ただし、それぞれに使用料金(後述)が設定されているため、自社の環境に必要なものだけを選択してもよいでしょう。

セキュリティチェックを自動化できる

Amazon Inspectorを利用すれば、セキュリティチェックを自動化できるというメリットもあります。

一般的には、サーバーやネットワークの脆弱性をチェックする場合、テスト項目や実施日時などを綿密に計画して、定期的に実施しなければならず、担当者の負担になることもあるでしょう。

しかし、Amazon Inspectorは自動的にセキュリティチェックを行ってくれるため、それら工数を大幅に削減できます。

無料トライアルも試せる

Amazon Inspectorは、基本的に料金がかかります。しかし、その効果をみるために「とりあえず試してみたい」場合は無料トライアルが用意されているのもメリットだといえます。

90日間の無料トライアルを利用すれば、以下2つの評価を無料で利用できます。

  • ネットワーク到達可能性のルールパッケージを使用したインスタンス評価:250回
  • ホスト評価のルールパッケージを使用したエージェント評価:250回

これら無料トライアル期間を利用して、Amazon Inspectorの使用感が自社に適しているかを試してみるとよいでしょう。

Amazon Inspectorの2つの評価方法

Amazon Inspectorには、ネットワーク評価とホスト評価の2つの評価方法があります。ここでは、それら評価方法を詳しくみていきましょう。

ネットワーク到達可能性評価

Amazon Inspectorのネットワーク評価では、ネットワークの到達可能性を評価できます。

これは、利用しているEC2に、ネットワークを介してアクセスができるか否かを評価するもので、インターネットからアクセスできるEC2インスタンスのポートとサービスを識別します。

VPC(Amazon Virtual Private Cloud)セキュリティグループやルートテーブルなどのネットワーク構成を読み込み、ポートへのアクセス可能性を検証するものです。具体的には、VPCピアリング接続、あるいはVPNを介してポートに到達できる可能性を示します。

また、ネットワークの到達可能性評価は、「エージェント」をインストールすることなく(ホスト評価では必須)利用できます。ただし、エージェントをインストールしているインスタンスならば、より詳しい検出結果を評価することも可能です。

ホスト評価

ホスト評価では、EC2インスタンス自体(ホスト)の脆弱性や設定を評価できます。

ホスト評価は、CVE(共通脆弱性識別子)やCIS(Center for Internet Security)オペレーティングシステム構成のベンチマークなどで評価します。たとえば、評価対象のEC2インスタンスにパッチが適用されていない脆弱性があれば、データの機密性や整合性、可用性についての危険性があると考えられるでしょう。

また、ホスト評価を行うには「エージェント」のインストールが必要です。エージェントでサポートされているOSには以下が挙げられます。

64-bit x86 インスタンス
  • Amazon Linux 2
  • Amazon Linux (2018.03, 2017.09, 2017.03, 2016.09, 2016.03, 2015.09, 2015.03, 2014.09, 2014.03, 2013.09, 2013.03, 2012.09, 2012.03)
  • Ubuntu (20.04 LTS, 18.04 LTS, 16.04 LTS, 14.04 LTS)
  • Debian (10.x, 9.0 - 9.5, 8.0 - 8.7)
  • Red Hat Enterprise Linux (8.x, 7.2 - 7.x, 6.2 - 6.9)
  • CentOS (7.2 - 7.x, 6.2 - 6.9)
Arm インスタンス
  • Amazon Linux 2
  • Red Hat Enterprise Linux (7.6 - 7.x)
  • Ubuntu (18.04 LTS, 16.04 LTS)
Windows
  • Windows Server 2019 Base
  • Windows Server 2016 Base
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

・引用元)Amazon Inspector supported operating systems and Regions別ウィンドウで開きます

対応OSの最新の情報については、AWS公式サイト「Amazon Inspector supported operating systems and Regions別ウィンドウで開きます」にてご確認ください。

Amazon Inspectorの料金

それでは、Amazon Inspectorの利用料金を確認していきましょう。

料金は、大きく「ネットワークの到達可能性ルールパッケージ料金」と「ホスト評価のルールパッケージの料金」にわかれています。

【ネットワークの到達可能性ルールパッケージ料金】

無料トライアルについては、Amazon Inspectorの利用開始から90日間となります。最初の250回のエージェント評価が無料です。

評価回数 1回のインスタンス評価ごと
~250回までのエージェント評価 0.15 USD
251回~750回のエージェント評価 0.13 USD
751回~4,000回のエージェント評価 0.10 USD
4,001回~45,000回のエージェント評価 0.07 USD
それ以上のエージェント評価 0.04 USD

(2021年11月7日時点)

【ホスト評価のルールパッケージ料金】

無料トライアルについては、Amazon Inspectorの利用開始から90日間となります。最初の250回のエージェント評価が無料です。

評価回数 1回のインスタンス評価ごと
~250回までのエージェント評価 0.30 USD
251回~750回のエージェント評価 0.25 USD
751回~4,000回のエージェント評価 0.15 USD
4,001回~45,000回のエージェント評価 0.10 USD
それ以上のエージェント評価 0.05 USD

(2021年11月7日時点)

※最新の料金については、公式サイトの「Amazon Inspector の料金表別ウィンドウで開きます」でご確認ください。

Amazon Inspectorを利用する際の注意点

それでは、Amazon Inspectorを利用する際の2つの注意点をみていきましょう。

対象はEC2インスタンス

Amazon Inspectorは、EC2インスタンスへのネットワークアクセスとその上のアプリケーションに対するテストですので、Amazon EC2を利用していることが前提となります。

セキュリティリスク対処は担当者が行う

Amazon Inspectorは、EC2インスタンスを含むネットワークやホストの脆弱性を評価できますが、脆弱性への対処は行いません。

あくまでも、評価を行うサービスですので、仮にセキュリティリスクが発見された場合は、担当者が対処しなければならないことを意識しておきましょう。

連携して使いたい「Amazon GuardDuty」と「AWS Config」

それでは最後に、Amazon Inspectorと連携して利用したいサービスを2つ紹介します。

Amazon GuardDutyとは

Amazon GuardDutyは、AWSの環境などに対するサイバー攻撃を検知するサービスです。

Amazon Inspector は事前に脆弱性を評価するサービスでしたが、Amazon GuardDutyはログを分析することで、脅威の存在をチェックします。

たとえば、悪意のあるスキャンやインスタンスの侵害、アカウントの侵害などを、ログや振る舞いで検知します。

Amazon GuardDuty については、「高度なインテリジェンスと機械学習で外部からの脅威を見つけ出す「Amazon GuardDuty」の仕組み」にて詳しく解説していますので、あわせて参考にしてください。

AWS Configとは

AWS Configは、EC2をはじめとしたAWSのリソース設定を評価・監査・審査できるサービスのことです。リソースの設定は、継続的にモニターされます。

たとえば、EC2のリソース設定変更を行った際、変更を記録します。記録された変更履歴をもとに、社内のコンプライアンスなどと照らし合わせて監査や分析、変更管理を行うことに役立つでしょう。

AWS Configについては、「AWSリソースの設定変更履歴を管理する「AWS Config」とは?実際に使用してみた」で利用例なども詳しく解説していますので、あわせて参考にしてください。

Amazon Inspectorでクラウド導入時や運用中のEC2をチェックしよう!

Amazon Inspectorを利用すれば、EC2インスタンスを含む環境に対して自動的に脆弱性評価ができます。ネットワークやホストの脆弱性を発見することで、サイバー攻撃に対する早期施策も可能になるでしょう。また、自社の従業員の「セキュリティ対策に関する工数」を削減できる可能性もあります。しかし、セキュリティに関してはやはり第三者にもチェックしてもらいたい、あるいはセキュリティ対策にはできるだけ時間をかけたくないという場合には、Amazon Inspectorなどを利用して第三者視点でのセキュリティチェックを行うサービスもありますので、ご利用を検討してみてはいかがでしょうか。

NTT東日本が提供するAWSのセキュリティチェックについては「AWSのセキュリティ設定に不安はないですか?」にて紹介していますので、あわせて参考にしてください。

クラウドの導入・運用に関する
ご相談、お問い合わせをお待ちしております。

ページ上部へ戻る