Amazon Inspectorとは？メリットや評価方法などを解説

Amazon Inspectorは、クラウド環境におけるワークロードを自動的にチェックし、ソフトウェアの脆弱性の有無を診断するサービスです。AWSが提供する、仮想サーバサービスのAmazon EC2やコンテナイメージレジストリであるAmazon ECR、サーバレスサービスのAWS Lambdaを利用する際に、その脆弱性とセキュリティレベルを診断する手法のひとつとして活用されています。

Amazon Inspectorは、面倒な手間なく導入でき、簡単に操作できる点が魅力です。手順は以下のとおりです。

＜Amazon Inspectorの導入手順＞
1. Amazon Inspectorのコンソール画面にアクセスする
2. Get Startedを選択する
3. Amazon Inspectorを有効にする

Amazon Inspectorが有効化されると、実行中のAmazon EC2 インスタンスやAmazon ECRのリポジトリを自動的に検出し、継続的にスキャンを開始します。

Amazon GuardDutyもAWSが提供するセキュリティ対策サービスです。Amazon InspectorとAmazon GuardDutyとではチェックの対象が異なります。Amazon Inspectorがセキュリティ上のリスクが発生する可能性のある脆弱性を検知するのに対し、Amazon GuardDutyは、AWS環境やAWSアカウントに対するセキュリティを継続的にチェックすることで、攻撃や攻撃の兆候を検知して、実際に起こったイベントのログを解析し、リスクの有無を分析します。

Amazon Inspectorには、あらかじめ定義された個別のセキュリティルール（評価基準）があり、ルールパッケージと呼ばれています。ルールパッケージには、ネットワーク評価とホスト評価の2つがあり、検出する対象が異なります。それぞれのルールパッケージが検出する内容は以下のとおりです。

■ネットワーク評価とホスト評価の検出対象

ソフトウェアの脆弱性診断が可能なAmazon Inspectorは、簡単に導入できるだけでなく、企業に多くのメリットをもたらします。メリットを把握した上で、導入を検討すると良いでしょう。ここでは4つのメリットを紹介します。

セキュリティチェックを自動化できる

Amazon Inspectorのメリットは、セキュリティチェックを自動化できる点です。一般的に、ネットワークやサーバの脆弱性診断は、運用時には数日ごと、1ヵ月ごとなど定期的に実施する必要があります。これは、ほかの業務を兼任する担当者にとって大きな負担となります。Amazon Inspectorを導入すれば、セキュリティチェックが自動化されるため、担当者はほかの注力すべき業務に集中することが可能です。

評価内容の選択が可能

評価内容の選択が可能な点もAmazon Inspectorのメリットです。Amazon Inspectorでは、評価の際に行うテスト項目をまとめたルールパッケージから、ネットワークに対するリスク評価と、ホストに対するリスク評価のいずれかを選択できます。

ネットワークに対するリスク評価は、攻撃がネットワークを介して、検査対象のAmazon EC2に到達できるかどうかを評価します。ホストに対するリスク評価は、利用しているAmazon EC2そのものに脆弱性や設定の問題がないか、セキュリティを評価します。自社の環境に合うパッケージを選ぶことで、コストを抑えた的確なセキュリティ対策が実現できるでしょう。

セキュリティリスクの早期発見

セキュリティリスクの早期発見も、Amazon Inspectorのメリットのひとつです。脆弱性診断は、使用するサーバに対して、想定されるサイバー攻撃を、実際にシミュレーションすることで脆弱性の有無を確認します。セキュリティリスクを事前に検出することで、実際にサイバー攻撃を受けることを避け、被害を防ぎます。Amazon Inspectorでは、自動化された継続的なスキャンによって、ほぼリアルタイムでの脆弱性発見が可能です。

脆弱性を迅速に発見

脆弱性を迅速に発見できる点も、Amazon Inspectorのメリットといえるでしょう。Amazon Inspectorは、脆弱性やインシデントを識別するデータベースや、ネットワークにアクセスできる可能性などの情報を組み合わせ、対処すべき脆弱性を検出します。そのため、潜在的なセキュリティリスクをトラブルが起きる前に見つけ出し、対処することが可能です。

また、ゼロデイ攻撃に対する脆弱性の特定もスピーディーです。ゼロデイ攻撃への脆弱性とは、ソフトウェアやアプリケーションに存在する脆弱性のうち、その存在が公表されておらず、修正プログラムが提供されていないものを指します。Amazon Inspectorでは、チェック後は優先順位をつけたリスクスコアが作成されるため、上位から順に対処することで、適切にセキュリティリスクに対応できます。

Amazon Inspectorの利用料金はスキャンされたインスタンスや、コンテナイメージなどの数に基本料金をかけて算出されます。アジアパシフィックリージョン（東京）で利用した場合の料金は以下のとおりです。

■Amazon Inspectorの料金

トレンドマイクロが提供するTrend Micro Cloud One - Workload Security™は、クラウド対応のサーバ向けセキュリティサービスです。Workload Securityは、Amazon InspectorをはじめとしたさまざまなAWSサービスと統合でき、対応範囲を広げます。Workload SecurityをAmazon Inspectorと統合すると、チェック後に示される脆弱性や問題点のリスクスコアに、トレンドマイクロ独自の侵入防御ルールと関連付けることで、リスクに対するカバー範囲を拡大します。

Amazon Inspectorは、Amazon EC2のようなクラウド環境に対して、一定以上のセキュリティレベルを担保できるサービスです。チェック機能をより充実させるには、Amazon Inspectorに「Trend Cloud One」を組み合わせる方法が効果的です。ぜひ、「Trend Cloud One」をご活用ください。