Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
reInforce_amazon_inspector_code_security.pdf
Search
Nakagawa Shota
July 03, 2025
0
56
reInforce_amazon_inspector_code_security.pdf
Nakagawa Shota
July 03, 2025
Tweet
Share
More Decks by Nakagawa Shota
See All by Nakagawa Shota
札幌IT石狩鍋_1.pdf
snakagawax227
0
410
AWSで始める負荷テスト入門
snakagawax227
2
5k
これから始める脆弱性診断
snakagawax227
0
1.4k
迅速にAWS移行をすすめるベストプラクティス
snakagawax227
0
1.6k
これから始めるAWS移行のベストプラクティス
snakagawax227
0
3k
AWSコスト最適化のポイントのご紹介
snakagawax227
0
8k
テレワーク化を進めるミツイワ様でAmazon WorkSpacesの支援をした事例紹介
snakagawax227
1
1.8k
AKIBA.AWS#14_AWS_Config_Update
snakagawax227
0
1.1k
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
299
21k
Become a Pro
speakerdeck
PRO
28
5.4k
What's in a price? How to price your products and services
michaelherold
246
12k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
60k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
5.9k
Done Done
chrislema
184
16k
Facilitating Awesome Meetings
lara
54
6.4k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
281
13k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
710
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.1k
Transcript
AWS re:Inforce 2025 振り返り勉強会 @札幌 Amazon Inspector Code Security で実現するシフトレフト・セキュリティ
2025年7月1日 中川翔太
中川翔太(Shota Nakagawa) クラスメソッド株式会社 クラウド事業本部コンサルティング部 ソリューションアーキテクト 仕事: AWS全般のお悩み相談 略歴: N/W製品ヘルプデスク→AWS運用→現職 趣味:
道の駅巡り、キャンプ、ダーツ 活動: ・2025 Japan AWS Top Engineers ・2025 Japan All AWS Certifications Engineers 自己紹介 2
1. ソフトウェア開発ライフサイクルにおけるAmazon Inspector 2. Code Securityの機能紹介 3. 他のサービスとの棲み分け? 4. まとめ
本日のアジェンダ 3
ソフトウェア開発ライフサイクルにおけるAmazon Inspector
開発チームが質の高いソフトウェアを設計および構築するために使用す る、費用対効果と時間効率の高いプロセス SDLC (ソフトウェア開発ライフサイクル) とは何ですか? https://aws.amazon.com/jp/what-is/sdlc/ ソフトウェア開発ライフサイクル 5
ソフトウェア開発ライフサイクルとAmazon Inspector 6
ソースコード段階でのセキュリティ評価を可能に 3つのスキャンタイプを統合(詳細は後述) SAST (Static Application Security Testing): ソースコードの静的解析 SCA (Software
Composition Analysis): 依存関係・OSS脆弱性検出 IaC (Infrastructure as Code): インフラ設定の誤設定検出 スキャンタイミングは 定期スキャン: 週次、月次など 変更ベーススキャン: プルリクエスト/マージリクエスト時 オンデマンドスキャン: 手動実行時など 料金 1スキャンあたり 0.18 USD、東京リージョン 例)20リポジトを週3スキャンの場合、 20リポジトリ × 3スキャン × 4週 * 0.18 USD = 43.2 USD/月 Amazon Inspector Code Security とは 7
右側ほど修正コストが高い ソフトウェア開発ライフサイクルとAmazon Inspector 8
セキュリティリスクを開発初期段階から検出・対策すること シフトレフト 9
Code Securityの機能紹介
Code repository scaning を有効化する Code Security セットアップ 11
Code Security から GitHub 接続を設定する Code Security セットアップ 12
スキャン頻度などの設定はデフォルトのまま Code Security セットアップ 13
インテグレーション名を設定 Code Security セットアップ 14
GitHub を許可 Code Security セットアップ 15
GitHub を許可 Code Security セットアップ 16
GitHub App の接続 Code Security セットアップ 17
リポジトリを選択 Code Security セットアップ 18
セットアップ完了! Code Security セットアップ 19
ソースコードを実行せずに静的解析 主な特徴 コンパイル前のソースコードレベルでの脆弱性検出 アプリケーション実行不要の静的解析 検出可能な主な脆弱性 機密情報の漏洩(ハードコードされたパスワード、APIキー) SQLインジェクション、コマンドインジェクション パストラバーサルなど 対応言語 C/C++,
C#, Go, Java/Kotlin/Scala, JavaScript/TypeScript, Python, PHP, Ruby, Rust, Shell 1. SAST(Static Application Security Testing) 20
脆弱性を含むコードをプッシュ SAST デモ 21
SAST デモ 22
SAST デモ 23
SAST デモ 24
サードパーティの依存関係、ライブラリ、オープンソースパッケージの 脆弱性を特定 主な特徴 - アプリケーションの依存関係を自動解析 既知の脆弱性(CVE)とセキュリティ勧告を照合 重要度に基づく優先度付け(Critical/High/Medium/Low) 修正可能なバージョンの推奨 対応言語 Go
(Go 1.18), Java (Maven/Gradle), JavaScript/TypeScript (npm), PHP (Composer), Python (pip/PyPI), .NET (NuGet), Ruby (RubyGems), Rust (Cargo) 2. SCA(Software Composition Analysis) 25
SCA デモ 26
SCA デモ 27
SCA デモ 28
SCA デモ 29
SCA デモ 30
CloudFormation、Terraform、CDKのIaCテンプレートにおける設定ミス やリスクを早期に特定 検出可能な項目例 パブリックアクセス: S3バケットの意図しない公開設定 暗号化不備: データの暗号化設定の欠落 IAM権限: 過度に広範囲なワイルドカード権限 ネットワークセキュリティ:
セキュリティグループの不適切な設定 ログ設定: 監査ログの無効化 など 対応バージョン、フォーマット AWS CloudFormation (2010-09-09) HashiCorp Terraform (1.6.2以下) AWS CDK (Python、TypeScript) 3. IaC(Infrastructure as Code)スキャン 31
IaC スキャン デモ 32
IaC スキャン デモ 33
IaC スキャン デモ 34
他のサービスとの棲み分け(?)
CodeGuru Security 覚えてますか? 36
2023年6月の re:Inforce で発表 機械学習を用いてセキュリティポリシー違反や脆弱性を検出する静的アプリケーションセキュリテ ィツール リポジトリやIDEと連携し、CI/CDパイプラインにも組み込み可能 2025年6月時点でプレビュー https://dev.classmethod.jp/articles/amazon-inspector-code-security-shift-security-development/ CodeGuru Security
37
IDE連携? 38
そういえば 39
[アップデート]Amazon Q Developerでコードレビューを行えるようになりました! #AWSreInvent https://dev.classmethod.jp/articles/amazon-q-developer-codereview-automation-awsreinvent2024/ 詳細はこちら 40
まとめ
Amazon Inspector で SAST, SCA, IaC スキャンをできるようになりました 従来のスキャンよりも早いタイミングで検知して素早く対応できるようになりました 将来的には Amazon
Q Developer や IDE 連携して、より早く検知できることを期待したいです。 まとめ 42
43