Amazon Inspector コードセキュリティで手軽に実現するシフトレフト

Transcript

1. ©Fusic Co., Ltd. 0 Amazon Inspector コードセキュリティで 手軽に実現するシフトレフト 2025.08.11 Mai

   Miyazaki @maimyyym JAWS-UG佐賀 佐賀の中心でAWSを叫ぶ

2. ©Fusic Co., Ltd. 1 Introduction 宮 崎 真 衣 M

   A I M I YA Z A K I HN: mai (@maimyyym ) 株式会社Fusic 事業本部 クラウドエンジアリング部門 チームリーダー/エンジニア ◉ I am - IDDM(1型糖尿病) 3歳発症 - 元百貨店スタッフ（Beauty Counselor） - 2023年10月 Fusic入社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security, Identity & Compliance ◉ Comment - AWS Summit 2025 初参加してました！ Click!!

3. ©Fusic Co., Ltd. 2 CONTENTS 目次 1. Security in the

   AWS 2. Amazon Inspector コードセキュリティ 3. まずは手軽に、やってみる 4. Let’s start with security!

4. ©Fusic Co., Ltd. 3 Security in the AWS 1

5. ©Fusic Co., Ltd. 4 セキュリティはみんなの最優先事項 Security in the AWS Everything

   starts with security.

6. ©Fusic Co., Ltd. 5 セキュリティはみんなの最優先事項 Security in the AWS Everything

   starts with security. できる人・専門知識がある人だけではない やりたい人はもちろん、みんなが自然と取り組めること

7. ©Fusic Co., Ltd. 6 シフトレフト Security in the AWS 開発の流れ

   = ソフトウェア開発ライフサイクル (SDLC) 設計 実装 テスト デプロイ リリース 運用 セキュリティについて初期段階(左側)から考慮 = Shift Left

8. ©Fusic Co., Ltd. 7 シフトレフト Security in the AWS 開発の流れ

   = ソフトウェア開発ライフサイクル (SDLC) 設計 実装 テスト デプロイ 運用 リリース セキュリティについて初期段階(左側)から考慮 = Shift Left 実装〜デプロイを 何度も繰り返す 実態は、大変で慌ただしい。リソースは限られている。 セキュリティチェック導入のためのコードを書いている 余裕はないことも…

9. ©Fusic Co., Ltd. 8 Amazon Inspector コードセキュリティ 2

10. ©Fusic Co., Ltd. 9 Amazon Inspector Amazon Inspector コードセキュリティ Amazon

    Inspector 一言でいうと・・・ 脆弱性スキャン・管理サービス

11. ©Fusic Co., Ltd. 10 Amazon Inspector コードセキュリティ Amazon Inspector コードセキュリティ

    コードセキュリティ機能がGA • GitHub/GitLabとのネイティブ統合でプッシュ・プル時に自動スキャン • アプリケーションソースコード、依存関係、IaCの脆弱性や設定ミスを検出 • CI/CDパイプラインに統合可能、スケジュールスキャンも対応 • 従来のEC2、ECR、Lambda検査に加え、開発段階でのセキュリティチェックが可能 • 東京含む10リージョンで利用開始 • 本番環境前にセキュリティ問題を早期検出・解決する「Shift Left」を実現 https://aws.amazon.com/jp/about-aws/whats-new/2025/06/amazon-inspector-code-security-shift-security-development/

12. ©Fusic Co., Ltd. 11 Amazon Inspector コードセキュリティ Amazon Inspector コードセキュリティ

    コードセキュリティ機能がGA • GitHub/GitLabとのネイティブ統合でプッシュ・プル時に自動スキャン • アプリケーションソースコード、依存関係、IaCの脆弱性や設定ミスを検出 • CI/CDパイプラインに統合可能、スケジュールスキャンも対応 • 従来のEC2、ECR、Lambda検査に加え、開発段階でのセキュリティチェックが可能 • 東京含む10リージョンで利用開始 • 本番環境前にセキュリティ問題を早期検出・解決する「Shift Left」を実現 https://aws.amazon.com/jp/about-aws/whats-new/2025/06/amazon-inspector-code-security-shift-security-development/

13. ©Fusic Co., Ltd. 12 何が嬉しいの？ Amazon Inspector コードセキュリティ リポジトリ連携でSAST・SCAの実行がより簡単に！ ※SAST=静的アプリケーションセキュリティテスト・SCA=ソフトウェア構成分析

    【Amazon CodeGuruによるSAST(+IaC)】 - GitHub Actions等を用いた連携設定 - $10.00〜/10万行のコードあたり 【SCA】 - サードパーティツールの組み込みが必要

14. ©Fusic Co., Ltd. 13 何が嬉しいの？ Amazon Inspector コードセキュリティ リポジトリ連携でSAST・SCAの実行がより簡単に！ ※SAST=静的アプリケーションセキュリティテスト・SCA=ソフトウェア構成分析

    【Amazon CodeGuruによるSAST(+IaC)】 - GitHub Actions等を用いた連携設定 - $10.00〜/10万行のコードあたり 【SCA】 - サードパーティツールの組み込みが必要

15. ©Fusic Co., Ltd. 14 何が嬉しいの？ Amazon Inspector コードセキュリティ リポジトリ連携でSAST・SCAの実行がより簡単に！ ※SAST=静的アプリケーションセキュリティテスト・SCA=ソフトウェア構成分析

    【Amazon CodeGuruによるSAST(+IaC)】 - GitHub Actions等を用いた連携設定 - $10.00〜/10万行のコードあたり 【SCA】 - サードパーティツールの組み込みが必要 - 数クリックでスキャン可能に - SAST, SCA, IaCスキャンを包括的に実施 - $0.18/スキャン(SAST, SCA, IaCごと) ※スキャン回数に比例するため要戦略

16. ©Fusic Co., Ltd. 15 何が嬉しいの？ Amazon Inspector コードセキュリティ リソースデプロイ前にも設定ミスを検出！ デプロイ前のチェック

    ＋ リソース追跡により多層的に設定ミスを防御 【AWS SecurityHub CSPM +AWS Config】 - リソース設定を追跡・評価 - リリース前の開発段階では変更が頻繁に発生 ⇨ 料金が跳ねやすい - 追跡頻度を「日次」にする等の対策 ＋

17. ©Fusic Co., Ltd. 16 何が嬉しいの？ Amazon Inspector コードセキュリティ リソースデプロイ前にも設定ミスを検出！ デプロイ前のチェック

    ＋ リソース追跡により多層的に設定ミスを防御 【AWS SecurityHub CSPM +AWS Config】 - リソース設定を追跡・評価 - リリース前の開発段階では変更が頻繁に発生 ⇨ 料金が跳ねやすい - 追跡頻度を「日次」にする等の対策 - IaCスキャンにより、 デプロイ前のチェックが可能 - CI/CD統合 - 開発者へのフィードバックしやすさ - $0.18/スキャン ＋

18. ©Fusic Co., Ltd. 17 何が嬉しいの？ Amazon Inspector コードセキュリティ リソースデプロイ前にも設定ミスを検出！ デプロイ前のチェック

    ＋ リソース追跡により多層的に設定ミスを防御 【AWS SecurityHub CSPM +AWS Config】 - リソース設定を追跡・評価 - リリース前の開発段階では変更が頻繁に発生 ⇨ 料金が跳ねやすい - 追跡頻度を「日次」にする等の対策 - IaCスキャンにより、 デプロイ前のチェックが可能 - CI/CD統合 - 開発者へのフィードバックしやすさ - $0.18/スキャン ＋ シフトレフト 継続監視・検知

19. ©Fusic Co., Ltd. 18 サポートされている言語 (2025/08時点) Amazon Inspector コードセキュリティ 静的アプリケーションセキュリティ検査(SAST)

    C# (6.0 .Net 以降を除くすべてのバージョンが推奨されます） C (C11 以前） C++ (C++ 17 以前） Go (Go 1.18 のみ） Java (Java 17 以前） JavaScript (EMCMAScript 2021 以前） JSX (React 17 以前） Kotlin (Kotlin 2.0 以前） PHP (PHP 8.2 以前） Python (Python 3.11 Python 以前、3 シリーズ内） Ruby (Ruby 2.7 および 3.2 のみ） Rust Scala (Scala 3.2.2 以前） Shell TSX TypeScript (すべてのバージョン)

20. ©Fusic Co., Ltd. 19 サポートされている言語 (2025/08時点) Amazon Inspector コードセキュリティ ソフトウェア構成分析(SCA)

    Go (Go 1.18 のみ） Java (Java 17 以前） JavaScript (EMCMAScript 2021 以前） PHP (PHP 8.2 以前） Python (Python 3.11 Python 以前、3 シリーズ内） .Net Ruby (Ruby 2.7 および 3.2 のみ） Rust

21. ©Fusic Co., Ltd. 20 サポートされている言語 (2025/08時点) Amazon Inspector コードセキュリティ Infrastructure

    as Code(IaC) スキャン AWS CDK （Python および TypeScript） AWS CloudFormation (2010 年 9 月 9 日） Terraform (1.6.2 以前）

22. ©Fusic Co., Ltd. 21 まずは手軽に、やってみる 3 数Clickで！

23. ©Fusic Co., Ltd. 22 スキャンするまで まずは手軽に、やってみる アクティブ化 Code repository scanningを有効化

    GitHub統合 接続 → Authorize → GitHub Appsインストール スキャン設定・実行 スキャンタイプ・トリガーの設定

24. ©Fusic Co., Ltd. 23 スキャンするまで まずは手軽に、やってみる アクティブ化 Code repository scanningを有効化

    GitHub統合 接続 → Authorize → GitHub Appsインストール スキャン設定・実行 スキャンタイプ・トリガーの設定 AWS Foundational Security Best Practices 標準に反する 設定を書いたTerraformコードをGitHubリポジトリの デフォルトブランチにpush

25. ©Fusic Co., Ltd. 24 スキャンするまで まずは手軽に、やってみる アクティブ化 Code repository scanningを有効化

    GitHub統合 接続 → Authorize → GitHub Appsインストール スキャン設定・実行 スキャンタイプ・トリガーの設定 アカウント管理ページでアクティブ化するだけ

26. ©Fusic Co., Ltd. 25 スキャンするまで まずは手軽に、やってみる アクティブ化 Code repository scanningを有効化

    GitHub統合 接続 → Authorize → GitHub Appsインストール スキャン設定・実行 スキャンタイプ・トリガーの設定 GitHubに接続設定

27. ©Fusic Co., Ltd. 26 スキャンするまで まずは手軽に、やってみる アクティブ化 Code repository scanningを有効化

    GitHub統合 接続 → Authorize → GitHub Appsインストール スキャン設定・実行 スキャンタイプ・トリガーの設定 スキャン設定とGitHub Appsのインストール

28. ©Fusic Co., Ltd. 27 スキャンするまで まずは手軽に、やってみる アクティブ化 Code repository scanningを有効化

    GitHub統合 接続 → Authorize → GitHub Appsインストール スキャン設定・実行 スキャンタイプ・トリガーの設定 オンデマンドスキャン (手動実行)

29. ©Fusic Co., Ltd. 28 スキャン結果 まずは手軽に、やってみる 埋め込んだ設定ミス • [Critical] EBS

    スナップショットをパブリックに復元可能 • [Critical] セキュリティグループでリスクの高いポートへの無制限アクセス許可 • [Critical] CodeBuildでの機密認証情報の漏洩 • [Critical] OpenSearchドメインがパブリックアクセス可能 • [High] EC2インスタンスでIMDSv2未使用 • [High] EC2インスタンスにパブリックIPv4アドレス設定 • [High] ECRプライベートリポジトリでイメージスキャン未設定 …など

30. ©Fusic Co., Ltd. 29 スキャン結果 まずは手軽に、やってみる Low〜Highの脆弱性を検出

31. ©Fusic Co., Ltd. 30 スキャン結果 まずは手軽に、やってみる Low〜Highの脆弱性を検出 Security Hub CSPMでの検出とは異なる結果に

32. ©Fusic Co., Ltd. 31 IaCスキャンで見ているもの まずは手軽に、やってみる • リソース自体を見ているわけではないので “EC2のセキュリティグループ” のように

    リソースがまたがる設定ミスは検出されない(考察) • ソースは「Amazon Q Detector Library」 https://docs.aws.amazon.com/codeguru/detector-library/ • 開発時のチェックに向いている(監視運用ではなく)

33. ©Fusic Co., Ltd. 32 Let’s start with security! 4

34. ©Fusic Co., Ltd. 33 Amazon Insepctor コードセキュリティの登場によって… Let’s start with

    security! 手軽に始められる SAST, SCA, IaCスキャン をこれ一つで！ もちろん、これで十分 というわけではない

35. ©Fusic Co., Ltd. 34 Amazon Insepctor コードセキュリティの登場によって… Let’s start with

    security! 手軽に始められる SAST, SCA, IaCスキャン をこれ一つで！ もちろん、これで十分 というわけではない 多層防御はセキュリティ対策のベストプラクティス その手段が増えた！ ずっと0より、何か1つずつでもやっていく

36. ©Fusic Co., Ltd. 35 手軽にシフトレフト、徐々に改善へ Let’s start with security! 大変で慌ただしい開発サイクルの中でも

    初期段階からセキュリティチェックを導入しやすくなった 0ではなく何かしら見えるからこそ、徐々に調整・運用もできる Let’s start with security!

37. ©Fusic Co., Ltd. 36 大変で慌ただしい開発サイクルの中でも 初期段階からセキュリティチェックを導入しやすくなった 0ではなく何かしら見えるからこそ、徐々に調整・運用もできる Let’s start with

    security! 手軽にシフトレフト、徐々に改善へ Let’s start with security! 手軽に始められる Shift Left Dev(Sec)Ops & Improve

38. ©Fusic Co., Ltd. 37 Thank You We are Hiring! https://recruit.fusic.co.jp/

    ご清聴いただきありがとうございました Let’s Talk! カジュアル面談もお気軽に！