脆弱性を突いた攻撃は年々増加しており、サイバー攻撃の手法も多様化している現代。大切な情報を守るため、企業にはサイバー攻撃への対策が求められています。AWSを利用する上でセキュリティ対策に役立つのが、「Amazon Inspector」です。Amazon Inspectorを活用すれば、AWS上のセキュリティを強化しつつ、セキュリティ管理を効率化できます。今回は、脆弱性対策の重要性について論じつつ、Amazon Inspectorの機能や利点について解説していきます。
なお、オンプレミスとクラウドのセキュリティ面の違いなども知っておきたい方は、あわせてこちらをご覧ください。
AWSのセキュリティ対策は大丈夫? オンプレミスとの違いやセキュリティ関連のAWSサービスを紹介!|TOKAIコミュニケーションズ
目次
Amazon Inspectorとは
まず、Amazon Inspectorの概要から紹介します。
Amazon Inspectorは、AWSが提供している、Amazon EC2インスタンスの脆弱性を診断できるサービスです。稼働中のサーバーに擬似的なサイバー攻撃を仕掛けるなどのセキュリティチェック方法を用いて、Amazon EC2の脆弱性に関する評価を行えます。当初は診断対象がAmazon EC2のみでしたが、Amazon Inspector v2にバージョンアップしてからは、Amazon Elastic Container Registry(Amazon ECR)にも対応し、2023年1月にはAWS Lambda関数などもサポート対象となりました。ソフトウェアの脆弱性のほか、意図せずネットワークが外部に露出して、情報漏洩や不正アクセスなどのインシデントにつながることがないよう、定期的にスキャン診断を実行し、AWS上の安全保持に貢献してくれます。
Amazon Inspectorの料金体系
Amazon Inspectorの料金は、実際に使用した分だけ支払う従量課金制です。スキャン料金は、以下の3種類があり、私用するリージョン、スキャン回数やコンテナイメージ数などによって変動します。
- ※ 下記はアジアパシフィック(東京)リージョンの料金です
| 項目 | 料金 | |
|---|---|---|
| Amazon EC2のスキャン料金 | 1カ月にスキャンされたAmazon EC2インスタンスの平均数 | 1.512USD/インスタンスごと |
| 1カ月あたりのオペレーティングシステムのCISベンチマーク評価数 | 0.03USD/1インスタンスあたりのアセスメント | |
| Amazon ECRのコンテナイメージのスキャン料金 | 1カ月あたりのAmazon ECRへのプッシュ時に最初にスキャンされたコンテナイメージの数 | 0.11USD/イメージごと |
| 1カ月あたりの連続スキャン用に設定されたAmazon ECRのコンテナイメージの自動再スキャンの数 | 0.01USD/リスキャンごと | |
| AWS Lambdaのスキャン料金 | Lambda標準スキャンのみで、1カ月あたりにスキャンされたAWS Lambda関数の平均数 | 0.36USD per Lambda関数 |
脆弱性とは?なぜ脆弱性対策が重要なのか?
では、なぜクラウド運用において脆弱性対策が重要なのでしょうか。脆弱性という言葉の意味から確認していきましょう。
そもそも脆弱性とは
脆弱性とは、システムやプログラムに存在する欠陥や弱点を指します。クラウド上の脆弱性を放置したままにすると、欠陥や弱点を突かれ、サイバー攻撃を受ける恐れがあります。不正アクセスやマルウェアの感染、情報漏洩やシステム乗っ取りなど、大規模な被害に遭う可能性も十分にあり得ます。
そもそもソフトウェアは、基本的に出荷までに多くのセキュリティチェックを済ませています。しかし、プログラムは何万・何十万行ものコードで成り立っているため、すべてを完璧にチェックすることはほとんど不可能といえます。こうした背景から、プログラムの脆弱性が狙われているのです。
そして、近年検出される脆弱性の数は、年々増加しています。2023年に情報処理推進機構(IPA)に届けられた脆弱性の数は、四半期だけで310件にのぼります。前四半期からほぼ倍増している状況です。IPAが公表する「情報セキュリティ10大脅威 2023」の組織編では、脆弱性の公開前後を狙った攻撃がランクインするなど、クラウド上の脆弱性は常に狙われています。こうした攻撃から身を守るためにも、脆弱性対策は欠かせません。
脆弱性を狙った4つの攻撃
脆弱性を狙った代表的なサイバー攻撃としては、主に以下の4つが挙げられます。それぞれの要点を確認していきましょう。
クロスサイトスクリプティング(XSS)
Webサイトの脆弱性を利用し、HTMLに悪意あるスクリプトを埋め込む攻撃のことです。該当サイトを訪れたユーザーが悪質なHTMLスクリプトを実行することで、実行したユーザーの情報を盗んだり、偽情報を閲覧させたりします。主に掲示板やECサイト、SNSなどのWebアプリケーションがターゲットとなります。
SQLインジェクション
Webサイトやアプリケーションの脆弱性を狙って、フォームや検索時の入力フィールドに悪意のあるSQL文を入力する攻撃のことです。不正なSQL文がデータベースに送信されると、データベースを操作して個人情報を盗まれたり、情報を改ざんされたりする恐れがあります。場合によっては、データベースをすべて削除されてしまったり、マルウェア拡散の踏み台として悪用されたりするケースも存在します。
バッファオーバーフロー
悪意あるユーザーが、サーバーなどに大量のデータを送り込み、オーバーフローを起こすことで、不正コードを実行させたり、脆弱性(オーバーフロー)自体を作り出したりする攻撃です。そもそもバッファは、データ保存のための領域であり、容量を超えるデータが書き込まれると、その他の重要データが上書きされたり、意図しないプログラム動作につながったりすることがあります。この構造を悪用し、オーバーフローを起こすのが、バッファオーバーフローです。バッファオーバーフロー攻撃を受けると、DoS攻撃(サービス妨害攻撃)の踏み台にされたり、管理者権限を乗っ取られたりする恐れがあります。
クロスサイト・リクエスト・フォージェリ
ユーザーに対して偽リクエストを送信する攻撃です。偽のリクエストを本物だと誤認して、操作を実行してしまったユーザーに成り代わり、さまざまな操作を行います。これによって、パスワードを変更されたり退会させられたりするほか、不正出金や不正購入などの被害に遭う恐れがあります。
以下の記事では、サイバー攻撃のより詳しい実例を紹介しています。あわせてご参照ください。
クラウド利用時に知っておくべきセキュリティ知識【基礎編】|TOKAIコミュニケーションズ
Amazon Inspectorの2つの評価方法
このように、脆弱性を狙ったサイバー攻撃の種類は増え続けています。そこで、脆弱性対策を効率的に実施できるAmazon Inspectorが有用になってきます。
ここからは、Amazon Inspectorを使った診断で実施される2つの評価方法についてご紹介します。Amazon Inspectorでは、あらかじめ定義された評価基準「ルールパッケージ」が用意されています。このパッケージは、ネットワーク評価とホスト評価の2種類があり、検出対象が異なります。それぞれの特徴は以下の通りです。
ネットワーク評価
ネットワーク評価とは、インターネットゲートウェイ、VPCピアリング接続、または仮想ゲートウェイ経由のVPNなどのVPCを通じて、現在利用しているEC2インスタンスに到達できるかどうか(ネットワークの到達の可能性)を定期的に評価する方法です。
ホスト評価
ホスト評価は、EC2インスタンスそのものの脆弱性を評価する方法です。具体的には、OSやファイルシステムなどが対象になります。ネットワーク評価がEC2関連の出入り口をチェックするのに対して、ホスト評価はEC2そのものをチェックします。この評価方法は、CVE(共通脆弱性識別子)やCIS(Center for Internet Security)オペレーティングシステム構成のベンチマークなどに基づいて行われます。また、ホスト評価をする際は、事前に「Amazon Inspectorエージェント」のインストールが必要です。
Amazon Inspectorを利用する上での注意点
最後に、Amazon Inspectorを実際に利用する際に押さえておくべきポイントを3つご紹介します。
すべてのOSがサポートされているわけではない
Amazon Inspectorは、すべてのOSをサポートしているわけではありません。開始する前に、評価対象のOSがサポート範囲かどうかチェックすることをおすすめします。
サポートされているOSは、以下のページから確認できます。
Amazon Inspector でサポートされているオペレーティングシステムとプログラミング言語|AWS 
エージェントのインストールが必要になる場合も
本記事内でも述べた通り、Amazon Inspectorでホスト評価を行う際は、事前に評価対象のEC2インスタンスにAmazon Inspectorエージェントをインストールする必要があります。ただし、Amazon ECRやAWS Lambda関数スキャンを行う際は、エージェントの事前インストールは必要ありません。
一時停止はできない
Amazon Inspectorは一時停止状態をサポートしていません。停止したい場合は、Amazon Inspectorサービス自体を停止することで、すべてのスキャンタイプ(Amazon EC2スキャン、Amazon ECRコンテナイメージスキャン、AWS Lambda関数スキャン)を停止できます。また、各スキャンタイプを個別に停止することもできます。
まとめ
近年、ソフトウェアの脆弱性を悪用したサイバー攻撃は増加しており、企業は常に脅威にさらされています。Amazon Inspectorを使えば、現在見えていない潜在的なリスクを検出し、事前に対策を講じることが可能です。ただし、Amazon InspectorはすべてのOSをサポートしているわけではないため、対応OSを事前にチェックするようにしましょう。
AWSのセキュリティについてお悩みの方、課題を抱えている方は、ぜひ当社までお気軽にお問い合わせ ください。
