[re:Inforce2025振り返り勉強会]アプリケーションコードもIaCコードもまとめてチェック！ Amazon InspcetorのCode Securityを試してみる！

Transcript

1. アプリケーションコードもIaCコードもまとめてチェック！ Amazon InspcetorのCode Securityを試してみる！ クラスメソッド クラウド事業本部 枡川健太郎

2. 【名前】  枡川 健太郎 【所属】  クラウド事業本部 コンサルティング部 【好きなサービス】  ECS、EKS、Step Functions、CDK 【Blog】

    https://dev.classmethod.jp/author/masukawa-kentaro/ ⾃⼰紹介

3. • AWS re:Inforce 2025で発表されたAmazon Inspectorの新機能 • GitHubやGitLabなどのソースコード管理ツールと連携して利⽤する ◦ 実際にデプロイされる前にチェック可能！ •

   下記3つの機能が含まれる ◦ SAST(Static Application Security Testing) ▪ アプリケーションコードを静的に解析して、脆弱性を検知 ◦ SCA (Software Composition Analysis) ▪ アプリケーションに含まれるOSSコンポーネントの脆弱性を検知 ◦ Infrastructure as code scanning ▪ IaCツールに含まれる脆弱な設定を検知 Amazon Inspector Code Securityとは？

4. • EC2インスタンススキャン • ECRコンテナイメージスキャン • Lambda関数スキャン ◦ 標準スキャン ◦ コードスキャン

   • Code Security (Code repository scanning) Amazon Inspectorの機能⼀覧 ドキュメントを⾒る限り、Code Securityが正式名称 Code repository scanningが実態を表 している気がする

5. コンソールを⾒てみる

6. Amazon Inspector Code Securityに現れる概念 • スキャンタイミング(スケジュール、 PR時など)とスキャン内容(SAST, SCA, IaC scan)を指定

   Configration • スキャン対象のリポジトリ • Integrationを利⽤、Configurationが 結びつく Code Repository • ソースコード管理ツールとの連携 • GitHubで⾔えば、GitHub Appそのも のだと思えば良い Integration • 検知された脆弱性 Finding

7. Configurationを作ってみる PR時などのタイミングを指定 何をスキャンするか

8. GitHubと連携させてみる パブリック/プライベート に関わらず、GitHub App のインストールが必要 コンテンツの読み取り権限 PRへコメント権限(！)

9. 実際に検知させてみる クリックすると、 Amazon Q Detector Libraryに遷移

10. Amazon Q Detector Library(1/2) Amazon Q Detector Library • Amazon

    Q Developerのレビュー機能や、Lambdaへのコードスキャンで も使われる。 • (恐らく) Code Securityもこちらを利⽤

11. Amazon Q Detector Library(2/2) • TypeScriptに関しては、2025年6⽉時点で104個のルールが存在 • アプリケーション開発に関する⼀般的な内容もCDKに関する内容も含まれる！

12. PRを作成すると、Inspectorがスキャンする(1/2)

13. PRを作成すると、Inspectorがスキャンする(2/2) まだチェックが怪しい所もあるかも...？

14. 対象ブランチに関する制約 > Amazon Inspector only scans and monitors your default

    branch. If you create a new default branch, Amazon Inspector scans and updates the new default branch. Creating an integration between Amazon Inspector and GitHub デフォルトブランチしか⾒ないのでブランチの運⽤次第では⾟いかも。 ※ 上記はGitHubでの設定ページに記載されていたものの、GitLabでもデフォルトブランチのみ の記載あり。 トランクベースとかGitHubフローの⽅が相性が良さそう。

15. トランクベースでの利⽤ Visual overview of the Trunk strategy | AWS Prescriptive

    Guidance

16. GitHubフローでの利⽤ Visual overview of the Trunk strategy | AWS Prescriptive

    Guidance

17. Gitフローでの利⽤ Visual overview of the Trunk strategy | AWS Prescriptive

    Guidance

18. そもそも、PR作成時点での脆弱性検知は遅くない？？？ Q DeveloperもCodeGuruもInspectorも全部使って下さい

19. (新)Security Hubと統合した時の⾒え⽅ • アプリケーションの脆弱性とインフラ設定を⼀つのサービスの中で⾒れるので、対応の優先順位を付けやすい！ • Event Bridge経由の通知やJIRA/Service Nowへの連携も⾏いやすい！

20. 料⾦ > 500 newly identified repositories, scanned one time at

    $0.15 for each scan type (SAST, IaC, SCA) = 500*$0.15*3 = $225 Amazon Inspector pricing まだドキュメントが完全に更新されていないようで、明確な記述は無し。 ただし、us-east-1ではスキャン⼀回あたり0.15USDになる記載あり。 弊社の別社員が書いたブログ記事の中で、請求から確認するとap-northeast-1では0.18USDだったそ う。 [アップデート] Amazon Inspector でアプリケーションと IaC コードの静的解析がサポートされました #AWSreInforce 恐らく、下記計算で求められる。 (リポジトリ数) × (スキャン回数) × (利⽤している機能の数) × 0.18(USD) ただし、10MBを超えるリポジトリは複数リポジトリ扱いになる。例えば100MBだと10個分の計算。

21. まとめ • AWSだけでアプリケーションコードのスキャンもできるのが良い ◦ Snykなどを後から使いたくなってもSASTはアプリケーションに影響を与えず に移⾏しやすいし、スモールスタートできるのは⾮常にありがたい ▪ 特にリポジトリ数が少ない場合、全体から⾒たら無視できるコストにな る可能性が⾼い •

    PR作成時にチェックさせることが可能 ◦ シフトレフトの⽂脈ではあるが、PR作成時はそこまで早くない ◦ Q Developerのreview機能なども併⽤すると良さそう • デフォルトブランチしか対象に取れないことは注意が必要