Amazon Inspector の機能

Amazon Inspector では、エージェントや追加のソフトウェアをインストールしなくても、Amazon EC2 インスタンスのソフトウェアの脆弱性を継続的にモニタリングできます。Amazon Inspector は EBS ボリュームのスナップショットを取得して、システムのデータとインスタンスの設定に関するデータを抽出し、脆弱性評価を実行します。この機能により、SSM エージェントがインストールまたは設定されていない EC2 インスタンスの Amazon Inspector エージェントレススキャンにより、EC2 インフラストラクチャ全体の脆弱性評価の対象範囲を拡大できます。

Amazon Inspector は Lambda 関数内のカスタムプロプライエタリアプリケーションコードをスキャンし、AWS セキュリティのベストプラクティスに基づいて、インジェクションの欠陥、データ漏えい、暗号化の強度不足、暗号化の欠落など、コードセキュリティの脆弱性がないかを確認します。Lambda 関数またはレイヤー内のコードの脆弱性を検出すると、Amazon Inspector は、セキュリティ検出器名、影響を受けるコードスニペット、脆弱性に対処するための是正案など、複数の詳細情報を含む、セキュリティに関する実用的な検出結果を生成します。 Amazon Inspector は、生成系 AI と自動推論を使用して、複数のクラスの脆弱性に対してコンテキストに応じたコードパッチを提供し、コードの脆弱性の修正に必要な労力を軽減します。基礎レイヤーで脆弱性に対処することは、すべてのダウンストリーム Lambda 関数のセキュリティを強化するのに役立ちます。 

Amazon Inspector は、Jenkins や TeamCity などの開発者ツールと統合してコンテナイメージを評価します。これにより、開発者はこれらの CI/CD ツール内でコンテナイメージを評価できるため、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化できます。結果はCI/CDツールのダッシュボードに表示されるため、ビルドのブロックやコンテナレジストリへのイメージのプッシュなど、重大なセキュリティ問題に対応して自動化されたアクションをすぐに実行できます。CI/CD ツールは、AWS、オンプレミス、ハイブリッドクラウドなど、どこでもホストできるため、開発者はすべての開発パイプラインで単一のソリューションを一貫して使用できます。

Amazon Inspector は、Center for Internet Security の CIS Benchmark をサポートしています。Amazon Inspector を実行すると、AWS Organization 全体の Amazon EC2 インスタンスについて、OS レベルの CIS 設定ベンチマークに照らして、対象を絞ったオンデマンド評価を実施できます。Amazon Inspector の CIS 評価は、Amazon Linux 2、Windows 2019、Windows 2022 を含むオペレーティングシステム全体で、レベル 1 と 2 の両方の設定ベンチマークチェックをサポートしています。