クラウドベースの自動化されたセキュリティ評価サービスのAmazon Inspector
Amazon Inspectorとは
Amazon Inspectorは、自動化されたセキュリティ評価サービスで、Amazon EC2インスタンスのネットワークアクセスと、そのインスタンスで実行しているアプリケーションのセキュリティ状態をテストすることができます。このサービスによって、AWSにデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができます。
サービスの構成要素は以下のようになっています。
- AWSのネットワーク構成の到達可能性について分析するテクノロジー
- Amazon EC2インスタンスのオペレーティングシステムにインストールして使用するAmazonの開発したエージェント
- 上記のエージェントからのテレメトリとAWSの構成を用いて、インスタンスのセキュリティについて露出と脆弱性を評価するセキュリティ評価サービス
Amazon Inspectorの利点
アプリケーションのセキュリティの問題点を識別
アプリケーションのデプロイ前と、実稼働環境での運用中に、アプリケーションについて次のことを特定します。
- セキュリティ脆弱性
- ベストプラクティスからの逸脱
これにより、AWSにデプロイされたアプリケーションのセキュリティ体制を強化できます。
セキュリティをDevOpsに統合
Amazon InspectorはAPI主導のサービスで、AWSアカウントのネットワーク構成を分析し、オプションのエージェントを使用してAmazon EC2インスタンスを可視化できます。
これにより、以下のことができます。
- 既存のDevOpsプロセス内にAmazon Inspectorによる評価を組込み、脆弱性評価を分散化および自動化する
- 開発チームと運用チームが開発プロセスにセキュリティ評価を統合する
開発速度の向上
アプリケーションのセキュリティ評価を自動化し、セキュリティの脆弱性を予防的に特定することで、開発およびデプロイメント中にセキュリティの問題が発生するリスクを軽減します。これにより、新しいアプリケーションの開発と反復実行を迅速に行い、ベストプラクティスやポリシーへのコンプライアンス状況を評価できます。
AWSセキュリティの専門知識を活用
AWSのセキュリティ組織は、以下のことを継続的に行っています。
- AWS環境の評価
- セキュリティに関するベストプラクティス
- ルールのナレッジベースの更新
Amazon Inspectorでは、上記をサービスの形で活用することができます。これにより、AWS環境においてベストプラクティスを確立し、適用していくプロセスを簡素化できます。
セキュリティコンプライアンスの効率化
Amazon Inspectorを使用することで、AWSでアプリケーションを開発する際に実施されるセキュリティテストを、セキュリティチームや監査人が把握できるように可視化することができます。これにより、開発プロセス全体を通して以下のことが簡素化されます。
- セキュリティとコンプライアンスの規格に関する検証
- ベストプラクティスが順守されているかの検証
- それらを実証するプロセス
セキュリティ規格の強化
Amazon Inspectorを使用すると、アプリケーションに適切な規格やベストプラクティスを定義し、それらの規格が順守されているかの検証ができます。これにより、次のことが簡単になります。
- 組織内でのセキュリティ規格の強化
- ベストプラクティスの強化
その結果、本稼働アプリケーションに影響を及ぼす前に、セキュリティの問題点に対して事前に対応することができます。
Amazon Inspectorの特徴
設定スキャンおよびアクティブモニタリングエンジン
Amazon Inspectorは、以下のことを行います。
- エンジン分析システムの提供
- リソース設定の提供
- アクティビティをモニタリングして、評価ターゲットの状態、動作、依存コンポーネントの判断
このテレメトリの組み合わせにより、ターゲットとその潜在的なセキュリティまたはコンプライアンスの問題の全体像を得ることができます。
ここでの「評価ターゲット」とは、評価対象となるAmazon EC2インスタンスの集合です。すべてのインスタンスを評価ターゲットに含めることも、Amazon EC2タグを使用して一部のインスタンスを指定することもできます。
組込みコンテンツライブラリ
Amazon Inspectorには、ベストプラクティス、一般的なコンプライアンス基準、脆弱性の点検を含むルールやレポートの組込みライブラリがあります。
この点検には、潜在的なセキュリティ上の問題を解決するための詳細な推奨ステップが含まれます。
APIを介した自動化
Amazon Inspectorは、APIを介して完全に自動化できます。これにより、開発プロセスと設計プロセスにセキュリティテストを組込めるようになります。セキュリティテストには、テスト結果の選択、実行、プロセスが含まれます。
評価レポートの生成
評価が正常に完了すると評価レポートが生成されます。こちらは標準レポート形式で生成されるため、チーム内での結果の共有や改善アクションを執ることができます。
評価のレポートタイプは2つあります。
ここで、下記で登場する「所見」とは、指定されたターゲットのAmazon Inspectorによる評価の実行中に検出された潜在的なセキュリティ上の問題です。
1. 所見レポート
こちらのレポートには、以下のことが記されています。
- 評価全体の要約
- 対象のインスタンス
- テストされたルールパッケージ
- 所見が生成されたルール
- 各ルールの詳細情報
- チェックが不合格となったインスタンスのリスト
2. 詳細レポート
こちらのレポートには、以下のことが記されています。
- 所見レポートの全情報
- 評価対象のすべてのインスタンスでチェックされ、合格したルールのリスト
Amazon Inspectorの利用料金
料金は次の2つで決まります。
- 評価に含まれるAmazon EC2インスタンス数
- 選択したルールパッケージのタイプ
Amazon Inspectorによる評価では、2つのタイプのルールパッケージを組み合わせて使用します。実行する評価で、下記の2つのパッケージを使用する場合は、両方に対して個別に料金が発生します。
1. ホスト評価のルールパッケージ
こちらのルールパッケージには以下のものが含まれます。
- 共通脆弱性識別子(CVE)
- CISのベンチマーク
- セキュリティのベストプラクティス
- 実行時の動作分析
こちらのルールパッケージでは、評価対象のアプリケーションを実行しているAmazon EC2インスタンスに、デプロイしたエージェントを使用します。
料金については、評価に含まれる各エージェント(エージェント評価)について月ごとに課金されます。
料金は月当たりの1回のエージェント評価につき0.30USD(東京リージョン)から始まります。エージェント評価が多くなるほど、1回のエージェント評価ごとの料金は低くなり、最低価格は、0.05USD(50,000回以降のエージェント評価)です。
2. ネットワークの到達可能性のルールパッケージ
こちらを使用したAmazon Inspectorの評価では、1回の評価に含まれる各インスタンス(インスタンス評価)について月ごとに課金されます。
料金は月当たりの1回のインスタンス評価評価につき、0.15USD(東京リージョン)から始まります。インスタンス評価が多くなるほど、1回のインスタンス評価ごとの料金は低くなり、最低価格は0.04USD(50,000回以降のインスタンス評価)です。
料金の例
次の状況の場合の料金を例として挙げます。
- 10個のAmazon EC2インスタンスを評価ターゲットとする
- 各インスタンスにはAmazon Inspectorエージェントがインストールされている
- ホスト評価のルールパッケージとネットワークの到達可能性のルールパッケージを使用
- 1回の評価を実行した
上記の場合は、以下に対して料金が発生します。
- ホストについての10回のエージェント評価:3.0USD
- ネットワークの到達可能性についての10回のインスタンス評価:1.5USD
したがって、こちらの例では合計4.50USDが請求されます。
Amazon Inspectorの利用例
ここでは、各企業のAmazon Inspectorに対して評価している点について挙げています。
Betterment
こちらの企業では、製品の全側面に対するセキュリティの組込みを徹底することを主眼としております。そのため、ソフトウェアの開発およびデプロイライフサイクルに容易に組み込める、クラウドベースAPI駆動型セキュリティサービスであるAmazon Inspectorを使用することで、反復可能のスケーラブルなアプローチができる点について評価しています。
Caplinked
クラウドに特化しているため、継続的インテグレーション、継続的デプロイやAuto Scalingのようなアジャイル開発モデルに最適なアプローチが採用されており、DevOpsの進展に合わせたセキュリティの実現に役立つ点について評価しています。
まとめ
本記事では、Amazon Inspectorの利点や特徴、例を含めた利用料金、実際に利用している企業の評価ポイントについて解説しました。こちらのサービスは、自動化されたセキュリティ評価サービスにより、AWSにデプロイされたアプリケーションのセキュリティとコンプライアンスの改善をサポートしてくれます。また、これまで実行したことがないアカウントの場合、90日間の無料トライアルがあり、手軽に試すこともできるサービスとなっています。