Amazon Web Services ブログ

Amazon Inspector の更新 – 評価レポート、プロキシサポートなど

by AWS Japan Staff | on | in Amazon Inspector |

Amazon Inspector は当社の自動セキュリティ評価サービスです。このサービスは AWS で実行するアプリケーションの動作を分析し、セキュリティ問題を識別する上で役立ちます。Inspector については 2015 年の後半にこのブログで紹介し、その使い方についてご説明したことがあります (「Amazon Inspector – 自動セキュリティ評価サービス (Amazon Inspector – Automated Security Assessment Service)」)。同サービスを使うには、まずタグを使用してアプリケーションを生成する AWS リソースのコレクションを定義します。次に、セキュリティ評価テンプレートを作成し評価の一部として実行したい一連のルールを特定します。

評価ターゲットとセキュリティ評価テンプレートを作成したら、クリック 1 つでターゲットリソースに対して実行することができます。この評価は Linux と Windows ベースの EC2 インスタンスで実行するエージェントを活用します (詳細については「AWS エージェント (AWS Agents)」をご覧ください)。評価は手動で実行したり、AWS Lambda を使用して既存の発券システムに結果を転送することができます (手順については「Amazon Inspector でセキュリティ脆弱性テストをスケールする (Scale Your Security Vulnerability Testing with Amazon Inspector)」をご覧ください)。実行するインスタンスが 1 件または何千件とある場合でも、定期的かつ頻繁に評価を行うことをおすすめします。デプロイや統合インスタンスといった DevOps パイプラインの一部として実行できます。そうすることで、セキュリティ評価テンプレートの作成時に選択したルールパッケージによる条件に見合った本稼働環境で、コードやシステムを安心してデプロイすることが可能になります。また、設定ドリフトを回避するため、本稼働システムに対しても頻繁に評価を実行することをおすすめします。Amazon Inspector には、次の強力な新機能を追加したばかりです。

  • 評価レポート – 新しい評価レポートはエグゼクティブサマリーから始まり、評価の総合的な概要を提供します。このレポートはチームやリーダーシップとの共有そしてコンプライアンス監査のドキュメントとしても使用できるように作成されています。
  • プロキシのサポート – プロキシ環境内で実行するようにエージェントを設定できるようになりました (これについては多くのお客様からリクエストいただきました)。
  • CloudWatch メトリクス – 長期に渡り変更をトラックして確認できるように、Inspector が Amazon CloudWatch にメトリクスを発行するようになりました。
  • Amazon Linux 2017.03 のサポートAmazon Linux AMI の新しいバージョンを本日リリースしました。Inspector もこれに対応しています。

評価レポート
評価の実行が完了したら、HTML 形式または PDF 形式で評価レポートの詳細をダウンロードすることができます。

レポートはカバーページとエグゼクティブサマリーで始まります。

評価ルールとテストしたターゲットを要約します。

各ルールパッケージの結果を要約します。

このレポートはコンプライアンス監査のドキュメントであるため、各結果と解決方法のヒントなど詳細情報を含んでいます。

レポートの全文は、すべてのターゲットインスタンスでどのルールがチェックされパスしたかを示します。

Proxy のサポート
Inspector エージェントが HTTP プロキシを介して Inspector と通信できるようになりました。Linux インスタンスでは HTTPS プロキシを、Windows インスタンスでは WinHTTP プロキシをサポートしています。AWS エージェントのプロキシサポート設定に関する手順については「Amazon Inspector ユーザーガイド (Amazon Inspector User Guide)」をご覧ください。

CloudWatch メトリクス
Amazon Inspector が各実行の後において Amazon CloudWatch にメトリクスを発行するようになりました。メトリクスはターゲットとテンプレート別に分類されています。AWS アカウントで実行されてきた評価の実行数を表示する集計メトリクスもご利用いただけるようになりました。これまでのように CloudWatch コンソールでメトリクスを確認できます。

ターゲットごとに発行したメトリクスの例は次をご覧ください。

テンプレートごとのメトリクスの例は次をご覧ください。

Amazon Linux 2017.03 のサポート
AWS の多くのお客様が Amazon Linux AMI をご利用されており、新しいバージョンが利用可能になり次第、自動アップグレードをされています。こうしたお客様に引き続き Amazon Inspector をご利用いただくため、AMI の現状バージョンだけでなく今後のバージョンでも、リリース当日に Amazon Inspector で必ずサポートされるようにしました。

今すぐ利用可能
これらのすべての機能は今すぐご利用いただけます。

料金はエージェント、評価ベースごとに定められます。毎月 45,000 以上の評価を実行する場合は、各評価 0.30 USD からスタートします。(詳しくは「Amazon Inspector の料金表 (Amazon Inspector Pricing)」をご覧ください)。

Jeff;