APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

AWS Inspector version 1 vs version 2の機能比較

はじめに

こんにちは、クラウド事業部の清水です。

最近、所属プロジェクトにてInspectorの検討から実際に導入までを経験しました。

コンソールからInspectorを設定する際にv1である【Inspector classicに切り替える】タブを選択するとデフォルト設定と何が変わるのか気になり調査してみました!

こんな方へおすすめの記事です

  • Inspectorの導入を検討している方
  • AWS Certified Security - Specialty受験勉強している方
  • AWSサービスを用いたセキュリティ運用の知見を広げたい方

AWS Inspectorとは

Inspectorは自動化された脆弱性管理サービスであり、EC2,ECS,Lambda関数を継続的にスキャンしてソフトウェアの脆弱性と意図しないネットワークのリスクを検出することができます。

現在のデフォルト設定

コンソールから有効化設定する際、デフォルトでInspector v2が選択されます。

v1を選択したい場合は【Inspector classicに切り替える】タブを選択するとv1に切り替えて設定することができます。

v1 v2比較

v1 v2 備考
スキャン対象 EC2のみ EC2, ECS, Lambda v2からECR, Lambdaスキャンが追加された
マルチアカウント対応 なし あり v1は単一アカウントのみだった
エージェント Inspectorエージェント SSMエージェント
v2からはSSMエージェントをインストールしていればスキャン対象に入る
評価方法 個別に設定する必要あり
【ネットワーク到達可能ルール】
【ホスト評価ルール】
統合されている v2からは評価方法が統合された
スキャンタイミング コントロール可能
1週間1度など設定した場合、自動的にEventBridgeが作成される
コントロール不可
自動的に実行される。有効時や作成時にスキャンされ、その後再スキャンされる。

★再スキャン条件→既存リソースが再起動/更新/CVEが公開されたとき
v2からはSSMエージェントをインストールしていればスキャン対象に入る
コスト 【ネットワーク到達可能ルール】
→最初の250件のインスタンス評価0.15USD/month
→次の750件のインスタンス評価0.13USD/month

【ホスト評価ルール】
→最初の250件のインスタンス評価0.30USD/month
→次の750件のインスタンス評価0.25USD/month
EC2
1インスタンス→1.512USD/month

ECR
最初にスキャンされたイメージごとに0.11USD/month
再スキャンごとに0.1USD/month

Lambda
Lambda関数ごとに0.36USD/month
東京リージョンのコストで算出。
脆弱性スコア なし あり v2からはネットワーク情報も加味して脆弱性をスコア付けしてくれる

メリットデメリット要約

  • v1
    メリット→Inspector agentをインストールしたEC2しか対象にならないため対象を絞りやすい。
    デメリット→Inspector agentのインストールや初期設定の煩雑さがある。

  • v2
    メリット→設定の煩雑さから解放され、多くの機能がv1より向上している。EC2以外にもECR, Lambda関数のスキャンができる。脆弱性をスコア付けしてくれる。
    デメリット→特にないがSSM agentがインストールされているEC2は全てスキャンしてしまう。

v2ここがいいなと感じたところ

もし、EC2のみスキャンしたい場合はコンソールからECRとLambdaをスキャン対象から外すこともできますのでここら辺も柔軟でいいなと思いました。

ただ、SSMエージェントがスキャンされている EC2はスキャンから逃れることができないので注意してください。

まとめ

特に要件がない場合はv2を採用することになると思います。
機能が向上し、スキャンできるサービスも増えなにより設定も簡単になったため私の現場でもv2を採用することになりました。

【Inspector classicに切り替える】タブを気にしなければ何も気にせず素通りしていたことですが改めて調べてみるととても良い勉強となりました。

おわりに

APCはAWSセレクトティアサービスパートナー認定を受けております。

その中で私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。

https://www.ap-com.co.jp/service/utilize-aws/

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

本記事の投稿者: gomezshimi
AWSをメインにインフラ系のご支援を担当しています。 Shumpei Shimizu - Credly