絶対にやっておくべき！Amazon Inspectorを使ったセキュリティ対策

いまや、どの企業でも何らかの情報システムを持っており、
その中には多くの機密情報が蓄積されています。

これらの機密情報が外部に漏れてしまうといったセキュリティリスクを下げるため、
企業はセキュリティ対策に多額の投資を行います。

例えばアンチウイルスソフトやファイアウォールの導入、
最近ではWAFも注目されています。

ですが、いくらこのようなセキュリティ対策を行なったところで、
情報システム自体に致命的な穴(セキュリティホール)が空いていたら、これらの効果は薄れてしまいます。

薄れるどころか、
モノによっては１つのセキュリティホールによって、それまでのセキュリティ対策を台無しにしてしまう可能性だってあります。

まず大事なのは、御社の情報システムに致命的な穴が空いているのか否かを知ることです。
そこで役立つのがAmazon InspectorというAWSサービスです。

本記事の内容を知ることで、御社の情報システムに致命的な穴があるのかどうかを簡単に調べる術を身につけることができます。

というわけで、今回はAmazon Inspectorをご紹介致します。

★本記事では以下の目次で進めさせていただきます!!( ^ω^ )

セキュリティリスクを高める３要素
Amazon Inspectorとは？
Amazon Inspectorの利用料
1. ネットワークを対象とする診断
2. サーバー自体を対象とする診断
<注意> Amazon Inspectorはリージョンサービス
Amazon Inspectorの使い方
1. EC2の事前準備
2. Amazon Inspectorの実行方法
Amazon Inspectorの診断結果サンプル

セキュリティリスクを高める３要素

一般的にセキュリティリスクは次の３つの要素に分解できます。

これらの要素のレベルがそれぞれ高ければ高いほど、セキュリティリスクは高まるということになります。

では、これらの要素についてレベルを下げやすいとしたら、それはどこになるでしょうか？

答えは「脆弱性」です。

「脅威」は外部からの攻撃です。

WAFやファイアウォールによって脅威に対して防衛することはできますが、
脅威そのものを無くすことはできません。

同様に「情報資産」はビジネスに依存する要素となりますので、こちらも容易に無くすことはできません。

では「脆弱性」はどうでしょうか？

脆弱性は適切な診断を行うことによって、ある程度無くすことが可能な要素です。

結果として、脆弱性を取り除くことがセキュリティリスクを下げる一番の近道と言えます。

Amazon Inspectorとは？

Amazon Inspectorとは、EC2を対象とした「脆弱性診断ツール」です。

脆弱性診断とは、大きく以下の２つに分けられます。

アプリケーション診断：アプリケーション層を対象とした診断
プラットフォーム診断：ネットワーク、OS、ミドルウェア層を対象とした診断

Amazon Inspectorは上記のうち、「2.プラットフォーム診断」に当てはまります。

その他、Amazon Inspectorの特徴として以下の点があげられます。

人の手をかえさず、好きなタイミングで行える
脆弱性を発見するだけでなく、推奨の対応方法も教えてくれる

一般的には脆弱性診断を行う場合、
申込みを行ってから実施するまで数日かかるといったことはザラにあります。

ですが、Amazon Inspectorの場合は事前申し込みは必要ありません。

好きな時にエージェントを対象サーバーにインストールし、ボタンをポチポチ押せば完了です。

EC2サーバーを停止させておくとか、再起動するといったことも必要ありません。

まぁ、お金のことを心配せねば、いわば”やりたい放題”というわけです！

また、脆弱性を見つけるだけでなく見つかった脆弱性に対してどのような対応を行うべきか、
推奨される対応方法もレポートとして出力されます。

もちろん、脆弱性の情報は日々AWS側で収集され、エンジンの更新がされておりますので、
いつでも最新の状態で診断を行うことが可能です。

Amazon Inspectorの利用料

Amazon Inspectorの料金体系は、どこを対象として診断するかによって大きく２つに分かれます。

ネットワークを対象とする診断
OSやミドルウェアといったサーバー本体を対象とする診断

どちらも1インスタンス１回の診断で１回とカウントされます。
10インスタンスをそれぞれ１回診断したら10回とカウントされます。

ネットワークを対象とする診断

診断回数/月	料金(ドル)/回	料金(円)/回 ※1ドル＝115円換算
1〜250回	0.15	17.25
251〜1,000回	0.13	14.95
1,001〜5,000回	0.10	11.5
5,001〜50,000回	0.07	8.05
50,001回以上	0.04	4.6

サーバー自体を対象とする診断

診断回数/月	料金(ドル)/回	料金(円)/回 ※1ドル＝115円換算
1〜250回	0.30	34.5
251〜1,000回	0.25	28.75
1,001〜5,000回	0.15	17.25
5,001〜50,000回	0.10	11.5
50,001回以上	0.05	5.75

いかですか？
なんか「めっちゃ安いなぁ」という印象を受けたのは私だけでしょうか・・・。

しかも、どちらの場合も、Amazon Inspectorの利用を開始してから90日間は無料利用枠が利用できます。

無料利用枠では、それぞれ250回分が無料で利用できます。
250回を超える、または超えなくても90日を過ぎてしまうと、料金がかかりますのでご注意ください。

料金詳細はこちらをご確認ください。

<注意> Amazon Inspectorはリージョンサービス

Amazon Inspectorの診断対象は、同リージョンのVPC・EC2となります。
異なるリージョンに対して診断は行えませんのでご注意ください。

現時点(2018.12.13)対応しているリージョンは以下の通り。

バージニア北部
オハイオ
北カルフォルニア
オレゴン
ムンバイ
ソウル
シドニー
東京
フランクフルト
アイルランド

Amazon Inspectorの使い方

ご紹介する方法は、「ネットワーク診断」と「サーバー自体の診断」両方となります。

EC2の事前準備

「サーバー自体の診断」を行うためには、事前にEC2へAmazon Inspectorのエージェントをインストールしておく必要があります。
※「ネットワーク診断」のみ行う場合は、以下の事前準備作業は不要です

以下より、診断対象のEC2の事前準備の方法をご紹介します。

(1)診断対象のEC2へログインします

(2)以下のコマンドを入力し、EC2へエージェントをインストールします
※LinuxベースのOSの場合のコマンドとなります。

wget https://inspector-agent.amazonaws.com/linux/latest/install
sudo bash install
sudo /opt/aws/awsagent/bin/awsagent status

wget https://inspector-agent.amazonaws.com/linux/latest/install

sudo bash install

sudo /opt/aws/awsagent/bin/awsagent status

最後のコマンドで”error”が出ないことを確認しましょう。

以下のように”Messages successfully”が出たらエージェントは問題なく稼働していることを意味します。

(3)EC2インスタンス一覧画面から、診断対象のEC2インスタンスを選択して[タグ]をクリックする

(4)わかりやすい任意の”Key”と”値”のタグをつけます
※下の画像ではkeyに”Inspector”、値に”True”とつけました

これで”サーバー自体を対象とする診断”を行うためのEC2の事前準備は完了です。

Amazon Inspectorの実行方法

では実際にAmazon Inspectorを実行してみましょう！

(1)Inspectorコンソール画面を開いて[今すぐ始める]をクリックする

(2)[Advanced setup]をクリックする
※[Run weekly]や[Run once]の場合、すべてのEC2インスタンスを対象に実行します。
今回は指定のタグをつけたEC2を診断対象とするため、[Advanced setup]を選択しましたが、すべてのEC2を対象に診断するのであれば、[Run weekly]や[Run once]でも問題ありません。
その場合は、以下の作業はすべて不要です。

(3)任意の”名前”を入力。”All Instances”のチェックをはずします。

(4)先ほどEC2につけたタグを設定して、[続行]をクリックします
※これで診断対象を「すべてのEC2インスタンス」から「”Inspector”タグに”True”という値を持っているインスタンス」へ変更されます

(5)任意の”名前”を入力。
所用時間は推奨の1時間のまま(※1)としましょう。
“Assessment Schedule”はチェックをはずして(※2)[続行]をクリックします。

※1 所用時間を短くすると、その分実施できない診断項目が出てきてしまいます。可能な限り推奨以上の時間を設定しましょう。
※2 “Assessment Schedule”にチェックを入れると7日毎や30日毎といったスケジュールを組むことが可能となります。今回は1回だけのテストなのでチェックを外します。

(6)[作成]をクリックします

これでAmazon Inspectorの診断テンプレートが作成されました。
自動で診断が実行開始されます。
※診断テンプレートとは、診断を実行するための設定情報です。診断実行は、この診断テンプレートをもとに行われます。

Amazon Inspectorの診断結果サンプル

Inspectorコンソールの左メニュー[結果]より、以下のように診断結果が表示されます。

※めちゃくちゃ”High”レベルの警告が出てきました・・・汗

各行の[▶︎]をクリックすると、詳細が表示され、推奨の対応方法（推奨事項）も記載されています。

説明や推奨事項については”英語”で記載されておりますので、
英語が読めない方はGoogle翻訳を使って読んでみましょう。

いかがでしたでしょうか？

Amazon Inspectorを使って、脆弱性を可視化する方法がわかっていただけたかと思います。

以上、hidesanでした！