Amazon Web Services ブログ

Amazon Inspector が AWS Lambda 関数をスキャンして脆弱性を検出するようになりました

Amazon Inspector は脆弱性管理サービスで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Elastic Container Registry (Amazon ECR) 内のコンテナイメージにまたがるワークロードを継続的にスキャンしますが、本日より AWS Lambda 関数と Lambda レイヤーのワークロードも対象になりました。

今日まで、混在ワークロード (EC2 インスタンス、コンテナイメージ、Lambda 関数など) を一般的な脆弱性に対して分析したいと考えていたお客様は、AWS やサードパーティーのツールを使用する必要がありました。これにより、すべてのワークロードを安全に保つことが複雑になっていました。

さらに、数か月前に発生した Log4j の脆弱性の例を見ると、デプロイ前にのみ関数の脆弱性をスキャンするだけでは不十分であることがよくわかります。新しい脆弱性はいつでも出現する可能性があるため、ワークロードを継続的に監視し、新しい脆弱性が公開されたときにほぼリアルタイムで再スキャンすることがアプリケーションのセキュリティにとって非常に重要です。

開始方法
使用を開始するための最初のステップとして、Amazon Inspector をアカウントまたは AWS Organizations 全体で有効にします。一度アクティブ化すると、Amazon Inspector は選択したアカウントの関数を自動的にスキャンします。Amazon Inspector は AWS のネイティブサービスです。つまり、これを機能させるためにライブラリやエージェントを関数やレイヤーにインストールする必要はありません。

Amazon Inspector は、Java、NodeJS、および Python で記述された関数とレイヤーについて、本日よりご利用いただけます。デフォルトでは、アカウント内のすべての関数が継続的にスキャンされますが、キーが InspectorExclusion で値が LambdaStandardScanning のタグをアタッチすると、特定の Lambda 関数を除外できます。

Amazon Inspector は、デプロイ時に関数とレイヤーを最初にスキャンし、Lambda 関数が更新されたときや新しい脆弱性 (CVE) が公開されたときなど、ワークロードに変更があったときに自動的に再スキャンします。

Amazon Inspector の検出結果の要約

Amazon Inspector では、関数に加えて Lambda レイヤーもスキャンしますが、スキャンされるのは関数で使用される特定のレイヤーバージョンのみです。レイヤーまたはレイヤーバージョンは、どの関数でも使用されていない場合、分析されません。サードパーティーのレイヤーを使用している場合、Amazon Inspector はそれらのレイヤーも脆弱性がないかスキャンします。

Amazon Inspector [Findings] (検出結果) コンソールで、さまざまな関数の検出結果を [By Lambda function] (Lambda 関数別) でフィルタリングして確認できます。Amazon Inspector で何か検出されると、すべての検出結果が AWS Security HubAmazon EventBridge に転送されるため、デベロッパーやシステム管理者に通知を送信するなどの自動化ワークフローを構築できます。

関数別の検出結果

今すぐ利用可能
Amazon Inspector による AWS Lambda 関数とレイヤーのサポートは、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、アジアパシフィック (香港)、アジアパシフィック (ムンバイ)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、カナダ (中部)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (ミラノ)、欧州 (パリ)、欧州 (ストックホルム)、中東 (バーレーン)、および南米 (サンパウロ) で一般提供を開始しました。

この新機能を試してみたい場合は、15 日間無料で試用できます。サービスと無料トライアルの詳細については、サービスページを参照してください

Marcia

原文はこちらです。