Amazon Inspectorとは?メリットや評価方法などを解説

Amazon Inspectorとは?メリットや評価方法などを解説

公開日
2023年7月27日

多くの企業で、自社が利用するシステムをオンプレミスからクラウドへ移行を進めています。一方で、クラウド特有のセキュリティリスクもあり、安心して移行するには、十分なセキュリティ対策が必要です。
ここでは、Amazon Web Services(AWS)が提供するAmazon Inspectorについて、メリットや導入方法、他のサービスとの違い、評価方法のほか、料金などについて解説します。

Amazon Inspectorはクラウド環境でのソフトウェアの脆弱性を診断するサービス

Amazon Inspectorは、クラウド環境におけるワークロードを自動的にチェックし、ソフトウェアの脆弱性の有無を診断するサービスです。AWSが提供する、仮想サーバサービスのAmazon EC2やコンテナイメージレジストリであるAmazon ECR、サーバレスサービスのAWS Lambdaを利用する際に、その脆弱性とセキュリティレベルを診断する手法のひとつとして活用されています。

Amazon Inspectorの導入方法

Amazon Inspectorは、面倒な手間なく導入でき、簡単に操作できる点が魅力です。手順は以下のとおりです。

<Amazon Inspectorの導入手順>
1. Amazon Inspectorのコンソール画面にアクセスする
2. Get Startedを選択する
3. Amazon Inspectorを有効にする

Amazon Inspectorが有効化されると、実行中のAmazon EC2 インスタンスやAmazon ECRのリポジトリを自動的に検出し、継続的にスキャンを開始します。

Amazon InspectorとAmazon GuardDutyとの違い

Amazon GuardDutyもAWSが提供するセキュリティ対策サービスです。Amazon InspectorとAmazon GuardDutyとではチェックの対象が異なります。Amazon Inspectorがセキュリティ上のリスクが発生する可能性のある脆弱性を検知するのに対し、Amazon GuardDutyは、AWS環境やAWSアカウントに対するセキュリティを継続的にチェックすることで、攻撃や攻撃の兆候を検知して、実際に起こったイベントのログを解析し、リスクの有無を分析します。

Amazon Inspectorのネットワーク評価とホスト評価

Amazon Inspectorには、あらかじめ定義された個別のセキュリティルール(評価基準)があり、ルールパッケージと呼ばれています。ルールパッケージには、ネットワーク評価とホスト評価の2つがあり、検出する対象が異なります。それぞれのルールパッケージが検出する内容は以下のとおりです。

■ネットワーク評価とホスト評価の検出対象

パッケージの名称 検出対象

ネットワーク評価

インターネットゲートウェイ、仮想ゲートウェイ、ロードバランサーなどを介したVPNなどのVPCを通じて、Amazon EC2に到達できるかどうかを検出・提示する

ホスト評価

Amazon EC2、Amazon ECR、AWS Lambda 関数のソフトウェアパッケージをスキャンし、脆弱性を検出・提示する

Amazon Inspectorのメリット

ソフトウェアの脆弱性診断が可能なAmazon Inspectorは、簡単に導入できるだけでなく、企業に多くのメリットをもたらします。メリットを把握した上で、導入を検討すると良いでしょう。ここでは4つのメリットを紹介します。

セキュリティチェックを自動化できる

Amazon Inspectorのメリットは、セキュリティチェックを自動化できる点です。一般的に、ネットワークやサーバの脆弱性診断は、運用時には数日ごと、1ヵ月ごとなど定期的に実施する必要があります。これは、ほかの業務を兼任する担当者にとって大きな負担となります。Amazon Inspectorを導入すれば、セキュリティチェックが自動化されるため、担当者はほかの注力すべき業務に集中することが可能です。

評価内容の選択が可能

評価内容の選択が可能な点もAmazon Inspectorのメリットです。Amazon Inspectorでは、評価の際に行うテスト項目をまとめたルールパッケージから、ネットワークに対するリスク評価と、ホストに対するリスク評価のいずれかを選択できます。

ネットワークに対するリスク評価は、攻撃がネットワークを介して、検査対象のAmazon EC2に到達できるかどうかを評価します。ホストに対するリスク評価は、利用しているAmazon EC2そのものに脆弱性や設定の問題がないか、セキュリティを評価します。自社の環境に合うパッケージを選ぶことで、コストを抑えた的確なセキュリティ対策が実現できるでしょう。

セキュリティリスクの早期発見

セキュリティリスクの早期発見も、Amazon Inspectorのメリットのひとつです。脆弱性診断は、使用するサーバに対して、想定されるサイバー攻撃を、実際にシミュレーションすることで脆弱性の有無を確認します。セキュリティリスクを事前に検出することで、実際にサイバー攻撃を受けることを避け、被害を防ぎます。Amazon Inspectorでは、自動化された継続的なスキャンによって、ほぼリアルタイムでの脆弱性発見が可能です。

脆弱性を迅速に発見

脆弱性を迅速に発見できる点も、Amazon Inspectorのメリットといえるでしょう。Amazon Inspectorは、脆弱性やインシデントを識別するデータベースや、ネットワークにアクセスできる可能性などの情報を組み合わせ、対処すべき脆弱性を検出します。そのため、潜在的なセキュリティリスクをトラブルが起きる前に見つけ出し、対処することが可能です。

また、ゼロデイ攻撃に対する脆弱性の特定もスピーディーです。ゼロデイ攻撃への脆弱性とは、ソフトウェアやアプリケーションに存在する脆弱性のうち、その存在が公表されておらず、修正プログラムが提供されていないものを指します。Amazon Inspectorでは、チェック後は優先順位をつけたリスクスコアが作成されるため、上位から順に対処することで、適切にセキュリティリスクに対応できます。

Amazon Inspectorの料金体系

料金計算の画像

Amazon Inspectorの利用料金はスキャンされたインスタンスや、コンテナイメージなどの数に基本料金をかけて算出されます。アジアパシフィックリージョン(東京)で利用した場合の料金は以下のとおりです。

■Amazon Inspectorの料金

料金の対象 料金

1ヵ月にスキャンされたAmazon EC2インスタンスの平均数

インスタンスごとに1.512ドル

1ヵ月あたりのAmazon ECRへのプッシュ時に最初にスキャンされたコンテナイメージの数

イメージごとに0.11ドル

1ヵ月あたりの連続スキャン用に設定されたAmazon ECRのコンテナイメージの自動再スキャンの数

再スキャンごとに0.01ドル

AWS Lambda 関数の月間平均スキャン数

AWS Lambda 関数ごとに0.36ドル

Amazon Inspecter とトレンドマイクロのTrend Micro Cloud One - Workload Security™の関係

トレンドマイクロが提供するTrend Micro Cloud One - Workload Security™は、クラウド対応のサーバ向けセキュリティサービスです。Workload Securityは、Amazon InspectorをはじめとしたさまざまなAWSサービスと統合でき、対応範囲を広げます。Workload SecurityをAmazon Inspectorと統合すると、チェック後に示される脆弱性や問題点のリスクスコアに、トレンドマイクロ独自の侵入防御ルールと関連付けることで、リスクに対するカバー範囲を拡大します。

Amazon Inspectorのチェック機能の充実にはTrend Cloud Oneがおすすめ

Amazon Inspectorは、Amazon EC2のようなクラウド環境に対して、一定以上のセキュリティレベルを担保できるサービスです。チェック機能をより充実させるには、Amazon Inspectorに「Trend Cloud One」を組み合わせる方法が効果的です。ぜひ、「Trend Cloud One」をご活用ください。

ウェビナーによる解説

監修

福田 俊介

福田 俊介

トレンドマイクロ株式会社 ビジネスマーケティング本部
ストラテジックマーケティンググループ
グループ長 シニアマネージャー

IPA 情報処理安全確保支援士(第000893号)、AWS Certified Solutions Architect – Professional保有。
約10年間クラウドセキュリティ領域およびエンドポイントセキュリティ領域に従事、クラウドの最新アーキテクチャに対応するセキュリティ戦略を立案、市場啓蒙を実施。これまでのセミナー登壇は100回を超える。専門領域は「クラウド」「サーバ」「仮想化」「コンテナ」「脆弱性」「EDR」「XDR」。

関連記事

新着記事