Upgrade to Pro — share decks privately, control downloads, hide ads and more …

reInforce_amazon_inspector_code_security.pdf

Avatar for Nakagawa Shota Nakagawa Shota
July 03, 2025
56

 reInforce_amazon_inspector_code_security.pdf

Avatar for Nakagawa Shota

Nakagawa Shota

July 03, 2025
Tweet

Transcript

  1. ソースコード段階でのセキュリティ評価を可能に 3つのスキャンタイプを統合(詳細は後述) SAST (Static Application Security Testing): ソースコードの静的解析 SCA (Software

    Composition Analysis): 依存関係・OSS脆弱性検出 IaC (Infrastructure as Code): インフラ設定の誤設定検出 スキャンタイミングは 定期スキャン: 週次、月次など 変更ベーススキャン: プルリクエスト/マージリクエスト時 オンデマンドスキャン: 手動実行時など 料金 1スキャンあたり 0.18 USD、東京リージョン 例)20リポジトを週3スキャンの場合、 20リポジトリ × 3スキャン × 4週 * 0.18 USD = 43.2 USD/月 Amazon Inspector Code Security とは 7
  2. CloudFormation、Terraform、CDKのIaCテンプレートにおける設定ミス やリスクを早期に特定 検出可能な項目例 パブリックアクセス: S3バケットの意図しない公開設定 暗号化不備: データの暗号化設定の欠落 IAM権限: 過度に広範囲なワイルドカード権限 ネットワークセキュリティ:

    セキュリティグループの不適切な設定 ログ設定: 監査ログの無効化 など 対応バージョン、フォーマット AWS CloudFormation (2010-09-09) HashiCorp Terraform (1.6.2以下) AWS CDK (Python、TypeScript) 3. IaC(Infrastructure as Code)スキャン 31
  3. 43