Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
アキキー | Akihisa Ikeda
May 20, 2026
Programming
250
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
アキキー | Akihisa Ikeda
May 20, 2026
More Decks by アキキー | Akihisa Ikeda
See All by アキキー | Akihisa Ikeda
ECSアプリログをFireLensでコスト削減しようとしたけど諦めた話 in Fargate×Node.js
akihisaikeda
2
4.2k
AWSはOSSをどのように 考えているのか?
akihisaikeda
1
160
最初からAWS CDKで技術検証してもいいんじゃない?
akihisaikeda
4
230
責任感のあるCloudWatchアラームを設計しよう
akihisaikeda
4
250
AWS CDKの推しポイントN選
akihisaikeda
1
320
地獄絵図!CDKプロジェクトを手動更新して生まれた大量のプロパティ差分を解消する方法
akihisaikeda
5
1.1k
AWS CDK初期設定のプラクティス集 with Projen
akihisaikeda
2
480
AWS CDKの推しポイント 〜CloudFormationと比較してみた〜
akihisaikeda
4
780
AI生成記事をリライトし満足度を上げようとしたら大変だった話
akihisaikeda
0
64
Other Decks in Programming
See All in Programming
メソッドのジェネリクスでGoの夢は広がるか? / Kyoto.go #65
utgwkk
3
940
Javaの型とAI時代に型が大事な理由 / java types and type in AI era
kishida
2
150
エンジニアと一緒にテストコードの設計と実装を改善した話
mototakatsu
0
220
ローカルLLMでどこまでコードが書けるか -拡張版 / How much code can be written on a local LLM Extended
kishida
12
4.4k
Spec Driven Development | AI Summit Lisbon
danielsogl
PRO
0
210
Developing with AI Agents — Codex, Claude Code & Cowork Practical Guide
x5gtrn
PRO
0
1.3k
フロントエンドとバックエンドで「1文字」を揃えよう
youkidearitai
PRO
0
740
気づいたらRubyで100作品 ー クリエイティブコーディングが生活の一部になるまで / 100 Ruby Sketches Later: How Creative Coding Became Part of My Life
chobishiba
3
610
生成AI時代にこそ効くGo | Why Go Works in the Age of Generative AI
mom0tomo
8
3.3k
The ROI of Quarkus for Spring Boot Applications
hollycummins
0
140
The NotImplementedError Problem in Ruby
koic
1
940
スマートグラスで並列バイブコーディング
hyshu
0
260
Featured
See All Featured
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
150
Git: the NoSQL Database
bkeepers
PRO
432
67k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.9k
It's Worth the Effort
3n
188
29k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.5k
Skip the Path - Find Your Career Trail
mkilby
1
150
Ethics towards AI in product and experience design
skipperchong
2
310
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
450
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
340
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
72
40k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
200
Transcript
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた 2026.5.20 池田 晃尚(@akikii__)
アキキー | 池田 晃尚 株式会社メイツ バックエンドエンジニア / SRE 推しサービス AWS
CDK AWS CDKへのコントリビュート 8件 JAWS-UG CDK支部運営
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath → たくさんのツールがサプライチェーン攻撃による侵害を受けています!
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは SBOMを利用してコンテナイメージへの影響範囲を 一瞬で特定する方法を紹介します!
SBOM?
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0"
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0" ECR拡張スキャンを利用すると SBOMをエクスポートできる!
ECR拡張スキャン?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) ECRイメージスキャン(拡張スキャン)とは?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) OS・パッケージ/ライブラリの脆弱性を検出 脆弱性DBにCVEが追加されるとスキャン(継続スキャンの場合) コンテナイメージの SBOM をエクスポートできる ECRイメージスキャン(拡張スキャン)とは? ※
ECRベーシックスキャン、プッシュスキャンはSBOMエクスポート非対応
サプライチェーン攻撃の影響範囲を調査する
SBOM なし SBOM あり 攻撃が公表される イメージごとに手動で調査 する SBOM を横断検索して影響イ メージを抽出
対策を行う サプライチェーン攻撃の影響範囲調査(例)
アーキテクチャ CI/CDで拡張スキャンのAPIを呼び出してSBOMをエクスポート
影響調査デモ AthenaでSBOMを検索して影響調査を行う 0:00 / 0:17
まとめ SBOMを横断で検索する仕組みを作ると サプライチェーン攻撃の影響調査が爆速で 終わる!!!
宣伝
AWS CDK Conference Japan 2026 7.18(土) 開催決定! JAWS-UG CDK支部 主催
詳細は近日公開予定 Call for Proposal 登壇者募集中! (5/31 23:59まで)
株式会社メイツ Mates Inc. AWS Summit Japan 2026 2026.6.25 (木) –
26 (金) 幕張メッセ S P E A K E R A N N O U N C E M E N T 弊社チーフエンジニアが AWS Summit Japan に登壇します S P E A K E R 後藤 健太 AWS DevTools Hero 株式会社メイツ / Chief Engineer D E V 3 5 2 B R E A K O U T S E S S I O N 2026.6.26 (金) 13:40 – 14:10 幕張メッセ Hall 4 / Room 11
リードエンジニア(バックエンド/フロントエンド/SRE) 積極採用中 株式会社メイツ Mates Inc. カジュアル面談はこちら
Thank You! \ ご清聴ありがとうございました! /