Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【大阪開催】Amazon InspectorとAmazon Verified Permissi...

Avatar for Yudai Jinno Yudai Jinno
July 05, 2025
92

【大阪開催】Amazon InspectorとAmazon Verified Permissionsのアップデート& 現地情報の紹介.pdf

Avatar for Yudai Jinno

Yudai Jinno

July 05, 2025
Tweet

Transcript

  1. ⾃⼰紹介 簡単な⾃⼰紹介をさせていただきます。本⽇はどうかよろしくお願いいたします。 名前 神野 雄⼤(Jinno Yudai) 所属 クラスメソッド株式会社 クラウド事業本部 コンサルティング部

    ソリューションアーキテクト 資格 • 2025 Japan AWS Top Engineers • 2025 Japan All AWS Certifications Engineers 得意領域 • アプリケーション全体の設計‧開発 • IoT ブログはこのアイ コンで書いていま す!
  2. 早速アップデート紹介 Amazon Inspector Amazon Inspector でアプリケーションコードと IaC コードの静的解析がサポー トされました!! 今まで

    SCA(Software Composition Analysis)と呼ばれ る、ソフトウェアのライブラリに含まれる脆弱性検 査をサポートされていた。SAST (Static Application Security Testing)はAmazon CodeGuru Securityでサ ポートされているのみで使い分けが必要だった ‧‧‧ 今回 InspectorでもSASTおよびIaCコードの静的解析をサ ポート!!⼀元管理できるよー!!
  3. 試してみる 脆弱性を⼤量に含んだレポジトリを作成して、Code SecurityでScanしてみま す。(こんなアプリケーションが世に公開されたら恐ろしいですよね‧‧‧) Repository Amazon Inspector Code securityで Scan

    含んでいる脆弱性 • 機密情報のハードコーディング • 脆弱性が報告されているライブラリ • 不適切な設定のIaCコード • etc‧‧‧
  4. 補⾜:Amazon Q Detector Libraryとは Amazon Q Detector Libraryは、Amazon Q Developerがコードレビュー機能

    (/review)でセキュリティ脆弱性やコード品質問題を検出する際に使⽤する ディテクターの詳細情報と修正⽅法を提供するドキュメントリソースです。
  5. 料⾦ 料⾦情報はAmazon Inspector料⾦ページをご確認ください。⽇本語はまだ料⾦は反映され ていないので英語で確認してください‧‧‧! 基本料⾦ • リポジトリあたり、スキャンタイプ(SAST、SCA、IaC)ごとに $0.18/スキャン • 10MBを超えるリポジトリは複数リポジトリとしてカウントされます

    ◦ 例:100MBのリポジトリは10リポジトリとして課⾦ 料⾦計算例 500リポジトリで週1回の定期スキャン(SAST、SCA、IaC)を設定した場合 • 初回スキャン:500リポジトリ × $0.18 × 3スキャンタイプ = $270 • 定期スキャン(⽉4回):500 × 4 × $0.18 × 3 = $1,080 • ⽉額合計:$1,350
  6. まとめ 静的解析の⼀元化とサポート範囲の拡⼤ アプリケーションコードのSASTおよびIaCコードの静的解析機能が追加されました。これ により、これらの脆弱性検出を⼀元的に管理できるようになりました! 検出結果と改善提案 機密情報のハードコーディングや既知の脆弱性を持つライブラリの使⽤、不適切なIaCコー ドの設定など、幅広い脆弱性を検出可能です!関連するCWEやAmazon Q Detector Library

    を参照した詳細な情報と具体的な修正案が提供されるため、対応もしやすいです! 早期のセキュリティチェック 現状のAmazon Inspector Code Securityはデフォルトブランチのみをチェック対象とする ため、PRをmainブランチにマージする運⽤の場合、チェックのタイミングが遅くなる可 能性があります。より開発初期段階でセキュリティチェックを⾏いたい場合は、Amazon Q DeveloperやCodeGuru Securityといったツールを活⽤する必要があります!
  7. 早速アップデート紹介 Amazon Verified PermissionsのExpress.js統合ライブラリがリリースされまし た! Amazon Verified Permissions • OpenAPIスキーマからの⾃動⽣成

    ◦ APIの定義から⾃動的にCedarスキーマを ⽣成 ◦ エンドポイントとアクションの⾃動マッ ピング • Express.jsミドルウェアの提供 ◦ わずか数⾏のコードで統合可能 ◦ リクエストの⾃動解析と認可判定 ◦ トークンベースの認証との連携
  8. Amazon Verified Permissionsについて Amazon Verified Permissions 特徴 • Cedar⾔語を使った柔軟な権限制御 •

    ユーザーの⾝元を考慮してリアルタイムで評価で きる • Cognitoのユーザーグループとの連携 Amazon Verified Permissionsは認可機能をマネージドなサービスとしてオフ ロード可能です。Cedar⾔語といった直感的な⾔語を活⽤して、権限をコント ロールできます。 構成要素 • Policy Store: Cedarポリシーを格納するコンテ ナ。 • ポリシー: Cedarで記述された認可ルール • スキーマ: エンティティとアクションの定義 • Identity Source: CognitoなどのIDプロバイダーと の連携設定
  9. なぜ認可を外部に切り出すのか。 従来のアプリケーション開発では、認可ロジックを埋め込むケースが多いと思いますが、 アプリケーションの成⻑に伴って認可ロジックが肥⼤化してコードの保守が困難に、また 認可ロジックの変更にはアプリケーションの再デプロイが必要になります。そこを Amazon Verified Permissionsにオフロードして解決を図ります。 今まで AVPを 使⽤

    • 認可ロジックが複雑化し、 コードの保守が困難に • セキュリティ監査が⼤変 • 認可ルールの変更に伴う影響範囲 が広い • 認可ロジックをオフロードし、コン ソール上から変更可能へ • 認可ロジックの変更を⾏なっても、ア プリケーションの再デプロイ不要 • CloudTrailにログを記録
  10. スケジュール ジャパンツアーで6/15~6/21まで移動込みでNY‧フィラデルフィアに⾏っていま した! 6/15 6/16 ~ 6/18 • 11時に⽻⽥発 •

    11時にNY着 • フィラデルフィア 観光 • ジャパンナイト • レジストレーション • セッション • Keynote • ご飯配布 • クロージングパーティ 6/19 • NY軽く観光 • AWS NYオフィス ⾒学 • 国連ツアー • NY観光 6/20 • ホテルで朝ごはん • 13時にNY発