Amazon Inspector とは?EC2/ECR/Lambda の脆弱性自動スキャン
Amazon Inspector は EC2 / ECR コンテナイメージ / Lambda の脆弱性を継続的にスキャンするサービス。CVE データベースと自動照合し、ソフトウェアの脆弱性・誤った設定を検出する。設定不要・継続スキャンで、新たな CVE 公表時にも即座に検知...
EC2 / ECR / Lambda の脆弱性を自動スキャンするサービス。CVE 情報と継続的に照合。
1. 概要(端的に)
Amazon Inspector は EC2 / ECR コンテナイメージ / Lambda の脆弱性を継続的にスキャンするサービス。CVE データベースと自動照合し、ソフトウェアの脆弱性・誤った設定を検出する。設定不要・継続スキャンで、新たな CVE 公表時にも即座に検知できる。
2. 何ができるか
- EC2 の脆弱性スキャン:OS パッケージ・Docker
- ECR コンテナイメージスキャン:プッシュ時 + 継続
- Lambda 関数スキャン:コード + 依存関係
- CVE データベース照合:MITRE / NVD ベース
- CIS ベンチマーク:設定基準チェック
- Security Hub 統合:統合表示
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | スキャン対象数 + 評価回数 |
| 対応 | EC2 / ECR / Lambda |
| スキャン方式 | エージェント不要(SSM 経由) |
| 継続性 | 新規 CVE 公表時に自動再評価 |
| マルチアカウント | Organizations 対応 |
vs GuardDuty
| 観点 | Inspector | GuardDuty |
|---|---|---|
| 検知対象 | 脆弱性(潜在リスク) | 攻撃・侵害(実害) |
| データ | OS / 依存ライブラリ | ログ・トラフィック |
| 用途 | 予防 | 検知・調査 |
| 補完関係 | 両方有効化が標準 |
4. 仕組み
Inspector は SSM Agent 経由で EC2 をスキャン、ECR API 経由でコンテナイメージをスキャン、Lambda コードを直接スキャンする。
動作の流れ
- Inspector 有効化(リソースタイプ別)
- EC2:SSM 経由でパッケージリスト取得
- ECR:Push 時に自動スキャン
- Lambda:コード + Layer をスキャン
- CVE 照合 → Finding 生成
- Security Hub 集約 / EventBridge 通知
重要度
- Critical:即時対応必須
- High:早期対応
- Medium / Low:計画的対応
- Informational:参考情報
5. ユースケース
ユースケース 1:本番 EC2 のパッチ管理
脆弱性検知 → Patch Manager で自動パッチ。
ユースケース 2:ECR イメージ脆弱性
CI/CD で Push 時の自動スキャン。
ユースケース 3:Lambda 依存ライブラリ
古い Node.js / Python ライブラリの脆弱性検出。
ユースケース 4:コンプライアンス
PCI DSS 等の脆弱性管理要件への対応。
6. 関連用語
- GuardDuty — 補完関係(侵害検知)
- Security-Hub — 統合表示
- ECR — コンテナイメージスキャン対象
- Lambda — スキャン対象
- SSM — EC2 エージェント基盤
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 中 | 脆弱性スキャンの概念 |
| SAA | 中 | セキュリティ設計選定 |
| DVA | 低 | 出題稀 |
| SOA | 中 | パッチ管理運用 |