AWS認定資格 WEB問題集&徹底解説
CloudOpsエンジニア -アソシエイト
AWSサービスの一つであるAmazon Inspectorはどんな内容なのでしょうか?また、AWS認定資格のSysOpsアドミニストレーター -アソシエイト(SOA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
Amazon Inspector(v2)は、AWS環境内のワークロード(EC2・Lambda関数・コンテナイメージ)の脆弱性を継続的に自動スキャンするマネージドサービスです。エージェントレス(EC2はSSM Agent経由)で動作し、CVE(共通脆弱性識別子)データベースを参照してソフトウェアの既知の脆弱性・ネットワーク設定の問題を検出します。
旧来のInspector(v1)は手動でスキャンをスケジュールする必要がありましたが、Inspector v2は常時継続スキャンに対応し、Security Hubへの統合も強化されています。
2. 主な特徴と機能
2.1 対象リソースと検出タイプ
- EC2インスタンス:
- ソフトウェアパッケージの脆弱性(CVE): OS・ミドルウェア・ランタイムの既知の脆弱性。
- ネットワーク到達可能性: セキュリティグループ・ACL・IGWの設定により外部からポートへアクセス可能かを分析。
- Lambda関数:
- デプロイパッケージのソフトウェア脆弱性(依存パッケージのCVE)。
- Lambda Layerの脆弱性。
- コンテナイメージ(ECR):
- ECRにプッシュされたコンテナイメージのOSパッケージ・言語パッケージの脆弱性を継続スキャン。
- 新しいCVEが公開されると既存イメージも再評価(継続スキャン)。
2.2 リスクスコアとFindings
検出された脆弱性にはCVSSスコア(CVSS v2/v3)とAmazon Inspectorリスクスコアを付与。ネットワーク到達可能性・悪用可能性等を考慮した文脈に応じた優先順位付けが可能です。
2.3 SBOM(Software Bill of Materials)エクスポート
スキャン対象リソースのソフトウェア部品表(SBOM)をCycloneDX・SPDX形式でエクスポート可能(2026年時点で提供中)。サプライチェーンセキュリティ対応に有用。
2.4 Security Hub統合
InspectorのFindingsはASFF形式でSecurity Hubに自動送信。Security Hubのダッシュボードで他のセキュリティアラートと一元管理できます。
2.5 Organizations対応
Organizations内の全アカウントをInspectorの委任管理者アカウントから一元管理。新規アカウントの自動有効化設定も可能。
3. アーキテクチャおよび技術要素
- Inspector v2を有効化(EC2スキャンにはSystems Manager Agentのインストールが前提)。
- Inspectorが継続的にEC2・Lambda・ECRイメージをスキャン。
- 脆弱性検出→ FIndingsを生成→ Security Hubに送信 / EventBridgeでトリガー。
- EventBridge → Lambda等で自動修復・チケット起票・通知を実施。
Inspector v1 vs v2の違い: v1は手動スケジュールスキャン・エージェント必須。v2は継続スキャン・エージェントレス(SSM経由)・Lambda/ECR対応・Security Hub統合強化。
4. セキュリティと認証・認可
- 継続スキャン: 一度有効化するとリソース追加・CVEデータベース更新時に自動再スキャン。手動トリガー不要。
- ネットワーク到達可能性: エージェントなしでセキュリティグループ・ACL設定を静的分析して外部からのポートアクセス可能性を評価。
- IAMアクセス制御: InspectorへのアクセスはIAMポリシーで制御。
- Findings抑制: 許容済みの脆弱性・誤検知を抑制ルールで除外。
5. 料金形態
- EC2スキャン: スキャン対象EC2インスタンス数 × 稼働時間に応じた課金。
- Lambdaスキャン: スキャン対象Lambda関数数に応じた課金。
- ECRコンテナスキャン: スキャンされたコンテナイメージ数に応じた課金。
- 初回有効化から30日間の無料トライアルあり。
6. よくあるアーキテクチャ・設計パターン
- 継続的脆弱性管理: InspectorをEC2・Lambda・ECR全体に有効化→Findingsを重要度でフィルタリングして優先対応。新規CVE公開時に自動再スキャンで常に最新状態を維持。
- CI/CDパイプライン統合: ECRへのイメージプッシュ時にInspectorが自動スキャン→重要脆弱性あればEventBridge → Lambda でパイプラインをブロック。
- Security Hub集約: Inspector Findings → Security Hub → SOCダッシュボードで他アラートと統合管理。
7. 設定・デプロイ手順(ハンズオン例)
- Amazon Inspectorコンソール→「Inspector を有効にする」。
- スキャン対象を選択(EC2・Lambda・ECR)。EC2スキャンはSSM Agentのインストールを確認。
- Findingsタブで検出された脆弱性を確認(重要度・CVSSスコア・対象リソースで絞り込み)。
- EventBridgeルールを設定してCRITICAL Findingsの自動通知・修復を構成。
- Security Hubでの統合確認(Inspector Findingsが集約されていることを確認)。
8. 試験で問われやすいポイント
8.1 Inspectorの役割
- Q: EC2・Lambda・コンテナイメージの脆弱性を継続的に自動スキャンするAWSサービスは?
A: Amazon Inspector v2(CVEデータベースを参照して継続スキャン。Security HubにFindingsを送信)。
8.2 v1 vs v2の違い
- Q: Inspector v1とv2の主な違いは?
A: v2は継続スキャン(常時自動)・エージェントレス(SSM経由)・Lambda/ECR対応・Security Hub統合強化。v1は手動スケジュール・専用エージェント必須・EC2のみ。
8.3 ネットワーク到達可能性
- Q: Inspectorのネットワーク到達可能性とは?
A: セキュリティグループ・ACL・IGWの設定を静的分析し、外部からEC2のポートへのアクセス可能性を評価する機能(エージェント不要)。
8.4 スキャン対象
- Q: Amazon Inspector v2がスキャンできるリソースは?
A: EC2インスタンス(ソフトウェア脆弱性・ネットワーク到達可能性)・Lambda関数(依存パッケージの脆弱性)・ECRコンテナイメージ(OSパッケージ・言語パッケージの脆弱性)。
8.5 GuardDutyとの違い
- Q: InspectorとGuardDutyの違いは?
A: Inspector は脆弱性管理(CVE・ネットワーク設定の問題を検出)。GuardDutyは脅威検出(不審な操作・マルウェア・クレデンシャル侵害等の実際の攻撃を検出)。用途が異なるため併用が推奨。