reInforce_amazon_inspector_code_security.pdf

Transcript

1. AWS re:Inforce 2025 振り返り勉強会 ＠札幌 Amazon Inspector Code Security で実現するシフトレフト・セキュリティ

   2025年7月1日 中川翔太

2. 中川翔太（Shota Nakagawa） クラスメソッド株式会社 クラウド事業本部コンサルティング部 ソリューションアーキテクト 仕事: AWS全般のお悩み相談 略歴: N/W製品ヘルプデスク→AWS運用→現職 趣味:

   道の駅巡り、キャンプ、ダーツ 活動： ・2025 Japan AWS Top Engineers ・2025 Japan All AWS Certifications Engineers 自己紹介 2

3. 1. ソフトウェア開発ライフサイクルにおけるAmazon Inspector 2. Code Securityの機能紹介 3. 他のサービスとの棲み分け？ 4. まとめ

   本日のアジェンダ 3

4. ソフトウェア開発ライフサイクルにおけるAmazon Inspector

5. 開発チームが質の高いソフトウェアを設計および構築するために使用す る、費用対効果と時間効率の高いプロセス SDLC (ソフトウェア開発ライフサイクル) とは何ですか? https://aws.amazon.com/jp/what-is/sdlc/ ソフトウェア開発ライフサイクル 5

6. ソフトウェア開発ライフサイクルとAmazon Inspector 6

7. ソースコード段階でのセキュリティ評価を可能に 3つのスキャンタイプを統合（詳細は後述） SAST (Static Application Security Testing): ソースコードの静的解析 SCA (Software

   Composition Analysis): 依存関係・OSS脆弱性検出 IaC (Infrastructure as Code): インフラ設定の誤設定検出 スキャンタイミングは 定期スキャン: 週次、月次など 変更ベーススキャン: プルリクエスト/マージリクエスト時 オンデマンドスキャン: 手動実行時など 料金 1スキャンあたり 0.18 USD、東京リージョン 例）20リポジトを週3スキャンの場合、 20リポジトリ × 3スキャン × 4週 * 0.18 USD = 43.2 USD/月 Amazon Inspector Code Security とは 7

8. 右側ほど修正コストが高い ソフトウェア開発ライフサイクルとAmazon Inspector 8

9. セキュリティリスクを開発初期段階から検出・対策すること シフトレフト 9

10. Code Securityの機能紹介

11. Code repository scaning を有効化する Code Security セットアップ 11

12. Code Security から GitHub 接続を設定する Code Security セットアップ 12

13. スキャン頻度などの設定はデフォルトのまま Code Security セットアップ 13

14. インテグレーション名を設定 Code Security セットアップ 14

15. GitHub を許可 Code Security セットアップ 15

16. GitHub を許可 Code Security セットアップ 16

17. GitHub App の接続 Code Security セットアップ 17

18. リポジトリを選択 Code Security セットアップ 18

19. セットアップ完了！ Code Security セットアップ 19

20. ソースコードを実行せずに静的解析 主な特徴 コンパイル前のソースコードレベルでの脆弱性検出 アプリケーション実行不要の静的解析 検出可能な主な脆弱性 機密情報の漏洩（ハードコードされたパスワード、APIキー） SQLインジェクション、コマンドインジェクション パストラバーサルなど 対応言語 C/C++,

    C#, Go, Java/Kotlin/Scala, JavaScript/TypeScript, Python, PHP, Ruby, Rust, Shell 1. SAST（Static Application Security Testing） 20

21. 脆弱性を含むコードをプッシュ SAST デモ 21

22. SAST デモ 22

23. SAST デモ 23

24. SAST デモ 24

25. サードパーティの依存関係、ライブラリ、オープンソースパッケージの 脆弱性を特定 主な特徴 - アプリケーションの依存関係を自動解析 既知の脆弱性（CVE）とセキュリティ勧告を照合 重要度に基づく優先度付け（Critical/High/Medium/Low） 修正可能なバージョンの推奨 対応言語 Go

    (Go 1.18), Java (Maven/Gradle), JavaScript/TypeScript (npm), PHP (Composer), Python (pip/PyPI), .NET (NuGet), Ruby (RubyGems), Rust (Cargo) 2. SCA（Software Composition Analysis） 25

26. SCA デモ 26

27. SCA デモ 27

28. SCA デモ 28

29. SCA デモ 29

30. SCA デモ 30

31. CloudFormation、Terraform、CDKのIaCテンプレートにおける設定ミス やリスクを早期に特定 検出可能な項目例 パブリックアクセス: S3バケットの意図しない公開設定 暗号化不備: データの暗号化設定の欠落 IAM権限: 過度に広範囲なワイルドカード権限 ネットワークセキュリティ:

    セキュリティグループの不適切な設定 ログ設定: 監査ログの無効化 など 対応バージョン、フォーマット AWS CloudFormation (2010-09-09) HashiCorp Terraform (1.6.2以下) AWS CDK (Python、TypeScript) 3. IaC（Infrastructure as Code）スキャン 31

32. IaC スキャン デモ 32

33. IaC スキャン デモ 33

34. IaC スキャン デモ 34

35. 他のサービスとの棲み分け(？)

36. CodeGuru Security 覚えてますか？ 36

37. 2023年6月の re:Inforce で発表 機械学習を用いてセキュリティポリシー違反や脆弱性を検出する静的アプリケーションセキュリテ ィツール リポジトリやIDEと連携し、CI/CDパイプラインにも組み込み可能 2025年6月時点でプレビュー https://dev.classmethod.jp/articles/amazon-inspector-code-security-shift-security-development/ CodeGuru Security

    37

38. IDE連携？ 38

39. そういえば 39

40. [アップデート]Amazon Q Developerでコードレビューを行えるようになりました！ #AWSreInvent https://dev.classmethod.jp/articles/amazon-q-developer-codereview-automation-awsreinvent2024/ 詳細はこちら 40

41. まとめ

42. Amazon Inspector で SAST, SCA, IaC スキャンをできるようになりました 従来のスキャンよりも早いタイミングで検知して素早く対応できるようになりました 将来的には Amazon

    Q Developer や IDE 連携して、より早く検知できることを期待したいです。 まとめ 42

43. 43