AWS Startup ブログ

すぐに始められるセキュリティレポート作成 – Service Screener v2とAWSセキュリティフレームワークの活用

この記事はこんな方におすすめです

  • AWS 上でサービスを運用しているけれど、セキュリティ対策を何から始めればよいかわからないエンジニア
  • 開発スピードを落とさずに効率的なセキュリティ評価を行いたいエンジニア
  • Service Screener v2 の実用性をサクッと知りたい技術者

目次

はじめに

今回のテーマはセキュリティアセスメント(セキュリティの評価)です。近年、セキュリティインシデントの増加やコンプライアンス要件の厳格化を背景に、AWS 環境のセキュリティ対策を体系的に実施する企業が増えています。AWS もセキュリティを最優先事項として位置づけ、多くのセキュリティサービスや機能をリリースしています。 一方で、セキュリティ対策はプロダクトの価値向上に対して直接的な影響を与えることが少なく、結果として対応や検討が後回しになっているスタートアップも多いのではないでしょうか。特にシード・アーリーステージでは、限られたリソースをプロダクト開発に集中させたいという思いが強く、「セキュリティは後で」と考えがちです。 しかし、初期のスタートアップにおいてこそ、最低限のセキュリティ対策が重要です。皆さんが真に作り上げているものはプロダクトだけでなく、ビジネスであり事業です。セキュリティインシデントは、顧客の信頼を失い、ビジネスの成長を大きく阻害します。特にPMF (プロダクトマーケットフィット) 発見後の以下のような重要なタイミングでは、セキュリティ対策の不備が致命的な影響を与える可能性があります:

  • 資金調達時: 投資家からのデューデリジェンスでセキュリティ体制が評価される
  • 大手企業との契約時: セキュリティ要件を満たせず商談が進まない
  • 急成長期: インシデント対応に追われ、開発スピードが大幅に低下する

だからこそ、問題が起きてから対応するのではなく、早い段階で現状を把握し、最低限の対策を講じることが重要です。これは健康診断に例えると分かりやすいでしょう。体調を崩してから病院に行くのではなく、定期的に検診を受けることで重大な疾患を防ぎます。セキュリティも同じです。この記事では、AWS のセキュリティリスクを自動で可視化・レポート化できる Service Screener v2 と、それと併せて活用する AWS セキュリティフレームワークの使い方を紹介します。

一言説明

AWS Well-Architected Framework とは? AWS Well-Architected Framework とは、AWS が提供するクラウドアーキテクチャ設計・運用のベストプラクティス集となっています。6 つの柱(運用の優秀性、セキュリティ、信頼性、パフォーマンス効率、コストの最適化、持続可能性)から構成され、安全で高性能、回復力があり、効率的なインフラストラクチャの構築を支援します。

AWS Startup Security Baseline (SSB) とは? AWS Startup Security Baseline とは、初期段階のスタートアップ向けに設計されたセキュリティガイドラインとなっています。約 27 の最小限対策により、大きな労力を必要とせずに最も一般的なセキュリティリスクを軽減できます。

Service Screener v2 とは? Service Screener v2 とは、AWS 環境に対して自動チェックを実行し、AWS のベストプラクティスに基づいた推奨事項を提供するオープンソースツールです。数分 〜 20分程度で AWS リソース全体のセキュリティ状況を可視化し、具体的な改善提案を含むレポートを無料で生成します。 (※ 処理時間はスキャン対象のリソースの量により変動します。)

ユースケース – どんな時に使うべき?

既存の AWS 環境のセキュリティ状況の評価 

  • 「AWS でサービスを始めたけど、セキュリティって何からやればいいの?」
  • 「そもそもセキュリティに課題があるのかわからない」

セキュリティフレームワークへの準拠状況の把握

  • AWS Well-Architected Framework Security Pillar – セキュリティの柱 (WAFS) への準拠度確認
  • AWS Startup Security Baseline (AWS SSB) の実装状況評価

セキュリティ改善のための最初のロードマップ作成

  • 優先度付きのアクションプラン策定
  • 開発スピードを落とさない段階的なセキュリティ強化

デモ – とりあえず動かしてみる

Service Screener v2 を実際に動かしてみるための、最も簡単な方法を紹介します。 また、実行手順の詳しい詳細は Github 上に説明が書いてあります。

前提条件:

  • AWS アカウント
  • 適切な IAM 権限(ReadOnlyAccess 推奨)

AWS CloudShell を使用した実行
AWS CloudShell は無料のブラウザベースシェルサービスで、最も簡単に Service Screener v2 を実行できます。

  1. AWS マネジメントコンソールで CloudShell を開く
  2. 以下のコマンドを実行:

cd /tmp
python3 -m venv .
source bin/activate
python3 -m pip install --upgrade pip
rm -rf service-screener-v2
git clone https://github.com/aws-samples/service-screener-v2.git
cd service-screener-v2
pip install -r requirements.txt
python3 unzip_botocore_lambda_runtime.py
alias screener='python3 $(pwd)/main.py'

主な実行オプション


# 特定のリージョンのみをスキャン
$ screener --regions ap-northeast-1
# 特定のリージョンの特定のサービスのみをスキャン
$ screener --regions ap-northeast-1 --services ec2,s3,iam

レポートのダウンロード方法
実行完了後、以下の方法でレポートを取得できます:

  1. 実行完了後、output.zip ファイルにレポートが生成されます
  2. CloudShell の「Actions」→「Download file」を選択
  3. ファイルパス(例:/tmp/service-screener-v2/output.zip)を入力してローカルにダウンロード
  4. ローカルで output.zip ファイルを解凍し、/aws/<アカウントID>/*.html ファイルをブラウザで開く

特徴 – どこが便利なの?

実環境に対する自動チェック

従来の手動チェックでは数日かかるセキュリティ評価を、Service Screener v2 なら短時間で実行できます。AWS リソース全体を自動スキャンし、具体的なリソース名を含めたリスクを特定します。

複数のセキュリティフレームワーク/コンプライアンスとの連携

  • AWS Well-Architected Framework セキュリティの柱 (WAFS)
  • AWS Startup Security Baseline (SSB)
  • 業界標準のセキュリティベストプラクティス

レポートの Rule ID とフレームワークの番号が紐づいているため、セキュリティフレームワークに基づいた体系的なセキュリティ改善が可能です。

AWS Well-Architected Tool との統合

Service Screener v2 は、AWS Well-Architected Tool と直接連携する機能を提供します:

  • 自動ワークロード作成: スキャン結果を基に Well-Architected Tool のワークロードを自動作成
  • マイルストーン管理: 改善進捗を追跡するためのマイルストーンを作成
  • 継続的な改善追跡: Well-Architected Tool を使用した継続的なセキュリティ改善を行う

統合手順: Well-Architected Tool との統合を行うには、以下のパラメータを使用します:


# Well-Architected Tool 統合オプション付きで実行
$ screener --regions ap-southeast-1 --others '{"WA": {"region": "ap-southeast-1", "reportName": "SS_Report", "newMileStone": 1}}'

実行後、Well-Architected Framework Tool にレポートが作成されます。 このため、Service Screener v2 にてカバーされない項目 (Service Screener にて Not Available と表示される項目) については、Well-Architected Framework Toolで自動生成される包括的なレポートを使って、継続的なアーキテクチャ評価と改善を行うことが可能です。
Well-Architected Framework Tool の詳細についてはドキュメントを参照ください。

料金 – 月額どれくらい?

Service Screener v2 の実行コスト Service Screener v2 自体は無料のオープンソースツールですが、実行時に AWS API を使用するため、わずかなコストが発生します。

  • API コール料金: 約0.01ドル以下/回
  • AWS CloudShell 使用料: 無料(月 1 GB、12 時間まで)

おわりに

本記事では、AWS でのセキュリティ対策を何から始めればよいかわからないスタートアップ企業の方や、Service Screener v2 についてサクッと知りたいエンジニアの方に向けて、ユースケース、デモ、特徴、料金について簡単に解説しました。 Service Screener v2 と AWS のセキュリティフレームワークを活用することで、現状の可視化から AWS フレームワークの活用、せキィリティ改善のネクストアクションを決定するという体系的なアプローチが可能になります。 開発スピードを落とすことなく、一般的な基準のセキュリティを確保できるため、スタートアップ企業にとって非常に実用的なソリューションです。まずはセキュリティレポートを作成し、自社の AWS 環境の現状を把握することから始めてみてはいかがでしょうか。

注意: Service Screener v2 の仕様は継続的にアップデートされるため、最新版については GitHub リポジトリの内容を直接ご確認ください。

著者情報

佐藤雄太(Sato Yuta)佐藤 雄太(Sato Yuta)

AWS Japanのスタートアップソリューションアーキテクトとして、普段は幅広いスタートアップのお客様への技術支援、趣味でデザインを勉強しています。