re:Invent 2023で発表されたAmazon Inspectorのアップデートまとめ
AWS re:Invent 2023にて、AWSセキュリティサービスについてたくさんのアップデートがありました。
今回は、Amazon Inspectorのアップデートについてご紹介します。
生成AIを利用したLambdaコードスキャンに対応
生成AIにより、スキャン結果に基づいたコード修正支援機能を提供するようになりました。
Lambdaに対するコードスキャンは、re:Inforce 2023で一般提供開始された機能ですが、この時点では抽象的な修正案のみの提示でした。
今回のアップデートにより、より具体的なコード修正案やパッチファイルを取得できます。
以前のLambdaコードスキャンに関する検証記事もありますので、こちらもご参照いただければと思います。
試しに「Amazon CodeGuru, Detector Library」から「Path traversal」を検知させてみましょう。
検知させるLambda関数を用意します。
しばらくすると、InspectorでLambda関数が検知されました。
詳細画面を見てみると、具体的なコード修正案の提示やパッチファイルのダウンロードができます。
気軽にLambdaのコードスキャンができ、修正案やパッチファイルを提供してくれるため、セキュアなコード開発により注力しやすくなるのではないかと思います。
EC2向けエージェントレス脆弱性評価に対応
Amazon Inscpctorでエージェントをインストールすることなく、EC2の脆弱性診断を行えるようになりました。
従来は、AWS System Managerエージェントのインストールが必要でしたが、エージェントの有無を自動的に判断してスキャンできます。
スキャン頻度は24時間間隔で行われます。
EBSスナップショットを利用して、ソフトウェアインベントリ情報を取得することで実現しています。
設定するには、コンソール画面の「EC2 scanning settings」→「Scan mode」から「編集」を押下します。
「Hybrid」か「Agent-based」の2つのモードを選択できます。
「Agent-based」モードは、従来のスキャン方法で、エージェントがインストールされているEC2のみスキャンします。
「Hybrid」モードは、エージェントレスが動作するモードで、エージェントがインストールされていればエージェントベースのスキャン、エージェントがインストールされていなければエージェントレススキャンが行われます。
社内ルールやネットワーク構成により、エージェントをインストールするのが困難なケースがあるかと思います。
今回のアップデートで、エージェントがインストールされていなくてもInspectorでの脆弱性管理ができるようになりました。
ただし、エージェントレスのスキャン頻度は24時間毎なので、可能な限りエージェントをインストールしてから「Hybrid」モードにした方が、リアルタイムの検知がしやすくなります。
CI/CDツール内でコンテナイメージのスキャンに対応
開発者向けツールと統合し、コンテナイメージのスキャンができるようになりました。
JenkinsやTeamCityなどに対応しており、従来の開発者向けツールとシームレスに動作します。
コンテナイメージのスキャンは、ECRのベーシックスキャンと、Inspectorの拡張スキャンの2種類がありました。
ベーシックスキャンに関してはCI/CDパイプラインに組み込むことができましたが、拡張スキャンは対応していませんでした。
今回のアップデートで、拡張スキャンもCI/CDパイプラインに組み込むことができ、開発の早い段階でよりセキュリティ担保を実現できます。
開発者の使い慣れたツールとInspectorが統合でき、CI/CDパイプラインに組み込めるのはありがたいアップデートです。
まとめ
2023年はInspectorのアップデートがたくさんありましたが、話題の生成AIを組み込んだ機能も出てきましたね。
セキュリティ担当者だけでなく、開発者も手軽に脆弱性管理を行うことができ、今後のユーザ体験も大きく変わってくるのではないかと思います。
Inspectorや生成AIの今後の動向に注目です。
