DevSecOps ライフサイクルを AWS のセキュリティサービスと OSS で実現

Threat Composer : AWS ラボで提供されており、脅威モデリングの理解を支援してくれる OSS です。脅威モデリングを実践したことがない方のために脅威モデリングのプロセスについて理解することが可能なものになっています。

• OWASP Threat Dragon : ソフトウェア設計段階での脅威モデリングを支援する無料ツールです。Web 版とデスクトップ版があり、直感的な操作でデータフロー図を作成し、脅威を整理・評価できます。STRIDE など複数の分析手法に対応しています。
• OWASP Risk Rating Calculator : OWASP の Risk Rating Methodology をベースにしたリスクのスコアリングと意思決定を行うことを支援してくれるツールです。脅威エージェントや脆弱性、技術的影響、ビジネスインパクトの要因に関する各種リスクスコアを元に全体的なリスクの深刻度を算出するのをサポートしてくれます。

• Amazon Q Developer : アプリケーションのコードはもちろん、テストのためのコード生成やコードレビューの実施も可能なサービスです。AWS セキュリティベストプラクティスに基づく指摘も可能な次世代の開発者支援ツールです。
  
• Amazon Q Developer CLI : Amazon Q Developer をコマンドラインから利用できる OSS の CLI ツールです。
  

• Pylint : Python に対応した Linter です。

• tslint : TypeScript に対応した Linter です。

• Open Policy Agent : Policy as Code や Security as Code を実現するためのポリシーエンジンです。セキュリティやコンプライアンスのルールをコード (Rego 言語) として定義します。
  

• Amazon Inspector : Amazon EC2 や AWS Lambda などのワークロード、コンテナイメージとのスキャンを CI/CD に統合し、脆弱性の検出を行うことが可能です。また、最近、Github や Gitlab と統合し、ソースコードのセキュリティスキャンや IaC スキャンも可能となりました。

• git-secrets : AWS ラボで提供されており、ビルド前のコード内に AWS キーやパスワードなどの秘密情報が誤って含まれていないか検出し、クレデンシャル漏洩を防ぎます。
  

• semgrep : ビルド時にコードを静的解析し、脆弱性やセキュリティ上の不適切な実装を検出して修正を促すことで、安全なコードを保証します。また、semgrep は 35 以上の言語にも対応しています。

• trivy : コンテナイメージや IaC をビルド段階でスキャンし、既知の脆弱性や構成不備を検出して、デプロイ前にリスクを低減します。

• OWASP ZAP : OWASP が提供するオープンソース DAST ツールです。Web アプリケーションや API の通信をプロキシ経由で監視・改ざんすることが出来ます。自動スキャナーや手動検査機能を備えており、SQL インジェクションや XSS といった典型的な脆弱性を発見可能です。スクリプトによる拡張も可能で、教育用途から実務の簡易診断まで幅広く活用されています。

• Burp Suite : PortSwigger 社が開発・提供している商用の Web アプリケーション脆弱性診断ツールです。有償版以外にもコミュニティ版があります。ZAP と同じくプロキシ型で、ブラウザ通信を傍受・操作しながら脆弱性検査を行います。
  

• AWS Signer : マネージドなコード署名サービスで、ソフトウェアアーティファクトに対してデジタル署名を行い、改ざん防止や出所証明を実現します。利用者は署名プロセスを自動化でき、署名鍵は AWS KMS によって安全に管理されるため、鍵の取り扱いリスクを最小化できます。Lambda 関数やコンテナイメージ、その他のアプリケーションパッケージなどに対応しています。

• cosign : sigstore プロジェクトが提供するオープンソースの署名ツールで、コンテナイメージやアーティファクトに対して軽量かつシンプルにデジタル署名を行えます。

• HashiCorp Vault : 秘密情報や暗号鍵の管理を行う OSS のセキュリティプラットフォームです。署名専用ツールではありませんが、署名鍵を安全に保管し、API 経由で署名操作を提供することができます。これにより、ソフトウェアアーティファクトへの署名を Vault を介して行い、署名鍵を開発者やパイプラインに直接触れさせない仕組みを構築可能です。

• AWS CodePipeline / AWS CodeBuild / AWS CodeDeploy : CI/CD を構成するための AWS ネイティブサービス群です。これらを組み合わせることで、ソースコードのビルドからテスト、ステージング環境への展開、本番環境へのリリースまでを自動化し、セキュリティチェックを組み込むことが可能になります。
  

• ArgoCD : Kubernetes に特化した GitOps ツールです。アプリケーションの望ましい状態を Git リポジトリで宣言的に管理し、実際のクラスタ環境と同期させることで、自動的かつ一貫したデプロイを実現します。

• GitLab CI/CD : GitLab に統合された CI/CD 機能です。パイプライン定義を .gitlab-ci.yml ファイルでコードとして記述できるため、ビルド、テスト、セキュリティチェック、デプロイをすべて自動化できます。OSS ツールとの親和性が高く、これまで紹介した OSS のスキャン結果やリリース状況を一元的に把握できます。
  

• AWS Config : AWS リソースの構成変更を自動的に記録・評価するサービスです。事前にセキュリティルールを定義しておけば、デプロイ後にリソースが規定に違反していないかを自動チェックできます。たとえば、Amazon S3 Bucket は暗号化必須、 Security Group は特定 IP アドレスのみに制限する等です。さらに、修復アクションを自動適用することも可能です。

• AWS WAF : Web アプリケーションへの攻撃を防御するマネージド型のファイアウォールです。デプロイ工程では、アプリケーションが本番に公開される段階で、即座に WAF を適用して SQL インジェクションや XSS といった一般的な攻撃から防御できます。
  

• Cloud Custodian : クラウドリソースのポリシー管理と自動修復を行う OSS です。YAML 形式で「ルール」を定義し、デプロイ後にクラウド環境がそのルールに準拠しているかをチェックできます。たとえば、「暗号化されていない Amazon EBS ボリュームを検出したら自動で暗号化を適用する」といった自動修復を可能にします。

• AWS Systems Manager Patch Manager : Patch Manager は、AWS Systems Manager の機能の一つで、Amazon EC2 インスタンスやオンプレミスサーバーに対して OS やソフトウェアのセキュリティパッチを自動適用 できます。パッチ適用スケジュールを定義して定期的に実行したり、重大度に応じて即時適用したりすることが可能です。

• Amazon Inspector : Amazon EC2 や AWS Lambda などのワークロード、コンテナイメージとのスキャンを CI/CD に統合し、脆弱性の検出を行うことが可能です。ソースコードのセキュリティスキャンや IaC スキャンも可能となりましたが、ここでのスキャンは必ずしも、CI/CD に組み込んだ中で実施するだけではなく、例えばデイリースキャン、ウィークリースキャンなどを実施し、早期脆弱性を発見するためのスキャンを実施することとなります。

• AWS Security Hub : クラウド環境全体のセキュリティ状況を可視化する CSPM サービスです。Amazon Inspector や Amazon GuardDuty の検出結果を集約し、CIS ベンチマークや PCI DSS などのセキュリティ標準に照らして自動評価を行います。

• AWS Audit Manager : セキュリティやコンプライアンス監査を効率化するサービスです。監査証跡を自動的に収集し、ISO 27001、FedRAMP、NIST などのフレームワークに沿った監査レポートを生成できます。

• Prowler : AWS 環境のセキュリティ監査や CIS ベンチマーク準拠チェックを行う OSS です。CLI から簡単に実行できことはもちろん、CI/CD に組み込むことも可能です。IAM ポリシーの過剰権限、Amazon S3 の公開設定、暗号化の有無などを包括的にチェック可能です。
  

• Amazon GuardDuty : マネージドな脅威検出サービスです。アカウントの不審な API コール、外部からの不正アクセスを機械学習で検知します。運用者はインフラにセンサーを仕込む必要がなく、導入後すぐに監視を開始できます。近年は機能も拡充され、ランタイムの監視、Amazon S3、Amazon RDS、Amazon EKS、AWS Lambda 向け保護対策、マルウェアの検出にも役立ちます。

• Amazon Macie : Amazon S3 に保存された機密データを自動的に検出・分類するデータセキュリティサービスです。個人情報 (PII)、認証情報、財務データなどを識別し、不必要に公開されているストレージを検出できます。「どのデータがどこに存在し、誰がアクセス可能か」を継続的に監査できるため、データ漏洩リスクを事前に発見し、リリース後の不正公開や情報流出を未然に防止します。

• Amazon CloudWatch : AWS リソースとアプリケーションの統合監視サービスです。ログ、メトリクス、イベントを収集・分析し、システムの健全性をリアルタイムに監視します。Anomaly Detection を利用すれば、通常と異なるトラフィックやリソース利用を自動検出可能です。

• AWS Distro for OpenTelemetry : OpenTelemetry の AWS 公式ディストリビューションで、メトリクス、ログに加え、トレースを標準化形式で収集するためのツールセットです。クラウドネイティブ環境において、サービス間通信や API 呼び出しを可観測化し、異常挙動を追跡できます。

• Amazon Managed Service for Prometheus & Grafana : Amazon Managed Service for Prometheus はクラウドやコンテナ環境のメトリクスを収集・監視します。セキュリティ運用においては、いくつかの OSS で生成されたメトリクスも取り込むことができます。そうしたデータを Amazon Managed Service for Grafana で可視化することが可能で、異常行動の確認に役立ちます。

• IAM Access Analyzer : IAM ポリシーやリソースポリシーを解析し、外部からの不正アクセスリスクを検出するセキュリティ機能です。「最小権限の原則」を徹底していく上でも重要な機能であり、リスクに直結するポリシー設定を特定して修正を促すことができます。

• AWS Budgets : コストと利用量を監視し、異常を検知するサービスです。一見コスト管理のツールですが、セキュリティ分析においては「急激なリソース消費増大 \= 不正利用の兆候」を把握するのに有効です。

• Amazon Detective : セキュリティインシデントの調査を効率化する分析サービスです。AWS CloudTrail、VPC Flow Logs、Amazon GuardDuty などのログをグラフベースで関連付け、攻撃の流れや影響範囲を可視化するなどフォレンジックに活用します。

• Amazon Route53 Health Check : DNS レベルでアプリケーションやエンドポイントのヘルスチェックを行う機能です。アプリケーションや API がセキュリティ攻撃などでダウンした場合、可用性の低下を迅速に検知できます。また、ヘルスチェックの結果を Route 53 のルーティングに反映させることで、障害発生時に安全なリージョンへトラフィックを自動的に迂回させることも可能です。

• AWS Fraud Detector : 機械学習を用いて不正行為を検出するサービスです。ログイン試行やトランザクションデータを分析し、アカウント乗っ取りや不正利用の兆候を早期に見つけます。

• AWS Security Lake : セキュリティデータを統合・標準化して分析基盤を構築するサービスです。OCSF (Open Cybersecurity Schema Framework) に準拠した形式でログを一元管理できます。

• Amazon Q in Quicksight : BI/分析が可能な Amazon Quicksight に、生成 AI の Amazon Q を組み込んだサービスです。自然言語を用いてセキュリティデータを探索でき、即座に可視化レポートを生成することが可能です。
  
• SIEM on Amazon OpenSearch Service : AWS 上にオープンソースの SIEM 環境を構築できる仕組みです。Amazon OpenSearch Service を基盤に、セキュリティログやイベントを収集・検索・可視化し、脅威の検出や監査対応を実現します。

• OWASP Amass : 外部攻撃面管理 (Attack Surface Management; ASM) のための OSS です。ドメイン調査やサブドメイン列挙、ネットワークマッピングにより、攻撃対象となり得るアセットを特定できます。

• Falco : ランタイムセキュリティツールで、Kubernetes や Linux のシステムコールを監視して不審な挙動を検知します。マルウェアによるプロセス起動や予期しないファイルアクセスなどをリアルタイムに検出可能です。Sysdig 社によって開発されました。

• ThreatMapper : 稼働中のコンテナやクラウド環境をスキャンし、攻撃経路を可視化します。脆弱性や機密情報の露出を検出するだけでなく、攻撃シナリオに基づいたリスク優先度付けが可能です。Deepfence 社によって開発されました。

• wazuh : ログ収集、脆弱性検出、ファイル改ざん検知を統合し、分析結果をダッシュボードで提供してくれる OSS の SIEM です。Amazon S3 に貯められたログや AWS サービスの監視データと組み合わせて二重の可視化を行うことができます。

• stratoshark : Wireshark をベースにしたトラフィック解析ツールで、システムコールやログを詳細に分析できます。通常のログ監視では見えにくい通信パターンを可視化でき、セキュリティインシデントの原因調査に強みを発揮します。こちらも、Sysdig 社によって開発されました。