Amazon Inspectorの進化がアツい！ 脆弱性管理サービスをよりインテリジェントに 大島 悠司 JAWS-UG横浜 #61 AWS re:Invent 2023 去年のアレどうなった？スペシャル

自己紹介 ◼ 大島 悠司 (Yuji Oshima) • ニューリジェンセキュリティ株式会社 • クラウドセキュリティアーキテクト/SREリーダー • AWS Community Builders (Security & Identity) • 2023 Japan AWS Top Engineers (Security) • 2022-2023 Japan AWS All Certifications Engineers ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • ニューリジェンの創業メンバーとして サービス開発 / 基盤構築運用 / 研究開発 などに従事 yuj1osm 2

Amazon Inspectorについて ◼ Amazon Inspectorとは • EC2インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出 • ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャン • SSMエージェントを使うことで、EC2インスタンスのソフトウェアのインベントリを収集 • CVE情報と関連したリスクスコアの可視化 • 他サービスとの組み合わせで、脆弱性管理のワークフローを自動化 3 Amazon Inspector

Amazon Inspectorのアップデート ◼ re:Invent 2022以降の主なアップデート 4 2022/11/28 Lambda関数とLambda Layersの脆弱性スキャンに対応 https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-amazon-inspector-support-aws-lambda-functions/ 2023/2/28 Lambda関数のコードスキャンに対応 ［プレビュー］ https://aws.amazon.com/jp/about-aws/whats-new/2023/02/code-scans-lambda-functions-amazon-inspector-preview/ 2023/4/19 EC2インスタンスのディープインスペクションのサポート https://aws.amazon.com/jp/about-aws/whats-new/2023/04/amazon-inspector-deep-inspection-ec2-instances/ 2023/5/2 脆弱性インテリジェンスデータベースの検索をサポート https://aws.amazon.com/jp/about-aws/whats-new/2023/05/amazon-inspector-vulnerability-intelligence-database/ 2023/6/13 Lambda関数のコードスキャンに対応 ［一般提供］ https://aws.amazon.com/jp/about-aws/whats-new/2023/06/amazon-inspector-code-scans-aws-lambda-function/ 2023/6/13 ソフトウェア部品表（SBOM）のエクスポート機能に対応 https://aws.amazon.com/jp/about-aws/whats-new/2023/06/software-bill-materials-export-capability-amazon-inspector/ 2023/7/31 検出結果に対する脆弱性インテリジェンスを強化 https://aws.amazon.com/jp/about-aws/whats-new/2023/07/amazon-inspector-vulnerability-intelligence-findings/

Lambda関数とLambda Layersの脆弱性スキャンに対応 ◼ 脆弱なLambda関数とレイヤーを検知 5 Lambda関数に脆弱なレイヤーを設定 Package Vulnerabilityとして検知 サードパーティ製品を使わずに標準機能で診断可能 さすがにコードの脆弱性までは診断できない、と思っていたら・・

Lambda関数のコードスキャンに対応 ◼ インジェクションの欠陥、データ漏えい、弱い暗号化などのコードに潜む脆弱性を検知 6 Lambda関数に脆弱なコードを記述 Code Vulnerabilityとして検知 関連するCWE情報やコードの脆弱な部分が ハイライトされる

EC2インスタンスのディープインスペクションのサポート ◼ OS標準搭載のyumやaptでインストールしたパッケージしか検知できなかったが、 明示的にスキャンパスを設定でき、 pipやnmpでインストールしたパッケージも検知可能 7 スキャンパスを設定 設定したパス配下も検知

ソフトウェア部品表（SBOM）のエクスポート機能に対応 ◼ ソフトウェアを構成するコンポーネントや関連する脆弱性情報をS3バケットに出力可能 8 エクスポート対象や ファイルタイプを選択 ソフトウェアや脆弱性の 情報が分かる

脆弱性インテリジェンスデータベースの検索をサポート ◼ Inspectorスキャンエンジンの対象となるCVEを検索可能 9 脆弱性スコアや更新日付などが 分かるため、CVEの予備調査が 行いやすくなる さらに、InspectorはCISAやRecorded Futureから 「強化された脆弱性インテリジェンス」として情報を収集している

まとめ ◼ re:Invent 2022以降、Amazon Inspectorのアップデートが急速に増加 ◼ パッケージだけでなくコードの診断も実施可能になり、スキャンパスの明示なども制御が可能 ◼ SBOMエクスポートにも対応したため、サプライチェーンの脆弱性などの分析も可能 ◼ 脆弱性インテリジェンスが増強され、より高度な脆弱性管理が可能 10 Amazon Inspectorの動向に注目！