Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon Inspectorの進化がアツい!脆弱性管理サービスをよりインテリジェントに / Amazon Inspector's Evolution is Hot! Making Vulnerability Management Services more Intelligent

Yuji Oshima
November 15, 2023
Technology
1
260

Amazon Inspectorの進化がアツい!脆弱性管理サービスをよりインテリジェントに / Amazon Inspector's Evolution is Hot! Making Vulnerability Management Services more Intelligent

「JAWS-UG横浜 #61 AWS re:Invent 2023 去年のアレどうなった?スペシャル」
https://jawsug-yokohama.connpass.com/event/296736/

Yuji Oshima

November 15, 2023
Tweet

More Decks by Yuji Oshima

See All by Yuji Oshima
AWS BuilderCardsの遊び方 / How to play AWS BuilderCards
yuj1osm
1
90
2023年のAWSセキュリティと生成AIを振り返る / Review AWS Security and Generative AI in 2023
yuj1osm
0
140
re:Invent 2023で感じたセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as I felt at re:Invent 2023
yuj1osm
2
330
AWS Top Engineer (Security)がre:Invent 2023で見たセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as seen by AWS Top Engineer (Security) at re:Invent 2023
yuj1osm
0
200
AWS re:Invent 2023に参加してきた ~Amazon Inspectorのアップデートを添えて~ / AWS re:Invent 2023 Participation Bulletin with Amazon Inspector Updates
yuj1osm
0
530
クラウド時代を生き抜くためのセキュリティ技術と人材育成 / Security Technology and Human Resource Development to Survive in the Cloud Era
yuj1osm
0
120
アナハイムに行ってきた!AWS re:Inforce 2023参加報告(速報版) / AWS re:Inforce 2023 Participation Bulletin
yuj1osm
0
780
AWS Summitを戦略的に楽しむ方法 / How to Enjoy AWS Summit Strategically
yuj1osm
0
610
Change Managerで始める本番アクセス統制 / Access Control Starting with Change Manager
yuj1osm
1
480

Other Decks in Technology

See All in Technology
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
8
620
2024春 注目のWeb系 OSS & SaaS 3選
makies
0
180
Rustで「プリズモイダル法」を利用して「土量計算」をガチでやる
nokonoko1203
1
300
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
Grafana x PagerDuty Better Together
jacopen
1
260
Babylon.js JAPAN活動紹介 (2024/4)
limes2018
1
120
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
1.6k
Android Target SDK 35 (Android 15) 対応の概要
akkie76
0
150
Gradle Build Scanを使ってビルドのことを知ろう potatotips #87
tomorrowkey
2
160
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
5
18k
Google Cloud Next '24 Recap(Cloud Run/k8s)
mokocm
0
330
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
1
160

Featured

See All Featured
Documentation Writing (for coders)
carmenintech
61
4k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Optimizing for Happiness
mojombo
370
69k
Unsuck your backbone
ammeep
663
57k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
245
20k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
126
32k
Code Reviewing Like a Champion
maltzj
515
39k
VelocityConf: Rendering Performance Case Studies
addyosmani
321
23k
The Illustrated Children's Guide to Kubernetes
chrisshort
32
46k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
19
6.9k
Product Roadmaps are Hard
iamctodd
45
9.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
228
16k

Transcript

  1. Amazon Inspectorの進化がアツい! 脆弱性管理サービスをよりインテリジェントに 大島 悠司 JAWS-UG横浜 #61 AWS re:Invent 2023

    去年のアレどうなった?スペシャル

  2. 自己紹介 ◼ 大島 悠司 (Yuji Oshima) • ニューリジェンセキュリティ株式会社 • クラウドセキュリティアーキテクト/SREリーダー

    • AWS Community Builders (Security & Identity) • 2023 Japan AWS Top Engineers (Security) • 2022-2023 Japan AWS All Certifications Engineers ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • ニューリジェンの創業メンバーとして サービス開発 / 基盤構築運用 / 研究開発 などに従事 yuj1osm 2

  3. Amazon Inspectorについて ◼ Amazon Inspectorとは • EC2インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出 • ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャン

    • SSMエージェントを使うことで、EC2インスタンスのソフトウェアのインベントリを収集 • CVE情報と関連したリスクスコアの可視化 • 他サービスとの組み合わせで、脆弱性管理のワークフローを自動化 3 Amazon Inspector

  4. Amazon Inspectorのアップデート ◼ re:Invent 2022以降の主なアップデート 4 2022/11/28 Lambda関数とLambda Layersの脆弱性スキャンに対応 https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-amazon-inspector-support-aws-lambda-functions/

    2023/2/28 Lambda関数のコードスキャンに対応 [プレビュー] https://aws.amazon.com/jp/about-aws/whats-new/2023/02/code-scans-lambda-functions-amazon-inspector-preview/ 2023/4/19 EC2インスタンスのディープインスペクションのサポート https://aws.amazon.com/jp/about-aws/whats-new/2023/04/amazon-inspector-deep-inspection-ec2-instances/ 2023/5/2 脆弱性インテリジェンスデータベースの検索をサポート https://aws.amazon.com/jp/about-aws/whats-new/2023/05/amazon-inspector-vulnerability-intelligence-database/ 2023/6/13 Lambda関数のコードスキャンに対応 [一般提供] https://aws.amazon.com/jp/about-aws/whats-new/2023/06/amazon-inspector-code-scans-aws-lambda-function/ 2023/6/13 ソフトウェア部品表(SBOM)のエクスポート機能に対応 https://aws.amazon.com/jp/about-aws/whats-new/2023/06/software-bill-materials-export-capability-amazon-inspector/ 2023/7/31 検出結果に対する脆弱性インテリジェンスを強化 https://aws.amazon.com/jp/about-aws/whats-new/2023/07/amazon-inspector-vulnerability-intelligence-findings/

  5. Lambda関数とLambda Layersの脆弱性スキャンに対応 ◼ 脆弱なLambda関数とレイヤーを検知 5 Lambda関数に脆弱なレイヤーを設定 Package Vulnerabilityとして検知 サードパーティ製品を使わずに標準機能で診断可能 さすがにコードの脆弱性までは診断できない、と思っていたら・・

  6. Lambda関数のコードスキャンに対応 ◼ インジェクションの欠陥、データ漏えい、弱い暗号化などのコードに潜む脆弱性を検知 6 Lambda関数に脆弱なコードを記述 Code Vulnerabilityとして検知 関連するCWE情報やコードの脆弱な部分が ハイライトされる

  7. EC2インスタンスのディープインスペクションのサポート ◼ OS標準搭載のyumやaptでインストールしたパッケージしか検知できなかったが、 明示的にスキャンパスを設定でき、 pipやnmpでインストールしたパッケージも検知可能 7 スキャンパスを設定 設定したパス配下も検知

  8. ソフトウェア部品表(SBOM)のエクスポート機能に対応 ◼ ソフトウェアを構成するコンポーネントや関連する脆弱性情報をS3バケットに出力可能 8 エクスポート対象や ファイルタイプを選択 ソフトウェアや脆弱性の 情報が分かる

  9. 脆弱性インテリジェンスデータベースの検索をサポート ◼ Inspectorスキャンエンジンの対象となるCVEを検索可能 9 脆弱性スコアや更新日付などが 分かるため、CVEの予備調査が 行いやすくなる さらに、InspectorはCISAやRecorded Futureから 「強化された脆弱性インテリジェンス」として情報を収集している

  10. まとめ ◼ re:Invent 2022以降、Amazon Inspectorのアップデートが急速に増加 ◼ パッケージだけでなくコードの診断も実施可能になり、スキャンパスの明示なども制御が可能 ◼ SBOMエクスポートにも対応したため、サプライチェーンの脆弱性などの分析も可能 ◼

    脆弱性インテリジェンスが増強され、より高度な脆弱性管理が可能 10 Amazon Inspectorの動向に注目!