今回は、Amazon InspectorをAWS Organizationsと連携させるときの初期セットアップ手順について説明します。Amazon InspectorはAWSリソースの実際の使用状況に基づき、ソフトウェアの脆弱性や意図しないネットワーク通信が発生していないかなどをスキャンするサービスです。
本稿執筆時点で、EC2、ECR、Lambdaというサービスに対応しています。Amazon InspectorはAWS Organizationsと連携させることでAWS Organizations配下のすべてのAWSアカウントでの前述のサービスに関する脆弱性情報などを一元的に確認できるようになります。 以下、セットアップ手順について紹介していきます。
想定する構成
Inspectorはセキュリティ関連のサービスとなるため、Security Hubなどのサービス時のセットアップ構成と同じセキュリティアカウントを委任管理者として設定することが多くなると思います。そのため、下記の構成でのセットアップを行っていきます。
委任管理者アカウントの設定
これまで紹介してきたサービスと同じく、まずは管理アカウントで委任管理者の設定を行います。
(1)委任管理者アカウントの設定は、管理アカウントでのみ実施できるため、まず管理アカウントにログインを行い、Organizationsの画面へ遷移します。
(2)サイドメニューから「サービス」をクリックします。
(3)Inspectorを見つけ、クリックします。
(4)「信頼されたアクセスを有効にする」をクリックします。
(5)表示されたポップアップで下記のように入力を行い、「信頼されたアクセスを有効にする」ボタンをクリックします。
(6)ステータスが変更されていることを確認します。
(7)「コンソールに移動する」ボタンをクリックし、Inspectorへ移動します。
(8)サイドメニューから「Inspectorをアクティブ化」をクリックします。
(9)委任された管理者アカウントIDにセキュリティアカウントのアカウントIDを入力し、「委任」ボタンをクリックします。
(10)表示されたポップアップ画面で「委任」ボタンをクリックします。
(11)委任管理者が正しく設定されたことを確認します。
(12)Insepctorを利用するすべてのリージョンでこの操作を繰り返します。管理アカウントでInspectorを利用する場合は、管理アカウントで下記画像の「Inspectorをアクティブ化」ボタンをクリックして、アクティブ化を行ってください。
セキュリティアカウントの設定
(1)委任管理者として指定されたセキュリティアカウントでInspectorへ移動し、サイドメニューから「Inspectorをアクティブ化」をクリックします。
(2)「Inspectorをアクティブ化」ボタンをクリックします。
(3)ダッシュボードが表示されることを確認し、サイドメニューから「アカウント管理」をクリックします。
(4)Organizations配下のAWSアカウントが一覧に表示されていることを確認します。
Organizationsと連携すると、Inspectorの情報が集約されるだけではなく、Organizations配下のAWSアカウントに対して、Inspectorの 有効化を一括で実施できるようになります。 Inspectorは本稿執筆時点で下記の4種類のスキャンオプションがあり、特定のスキャンのみを有効化することも可能です。
| 保護プラン | 内容 |
|---|---|
| EC2スキャン | EC2 インスタンスにインストールされているパッケージの脆弱性などをスキャン |
| ECRスキャン | ECR に保存されているコンテナイメージにインストールされているソフトウェアの脆弱性などをスキャン |
| Lambda標準スキャン | Lambda関数のコードとレイヤーで使用されているアプリケーションパッケージの依存関係にあるソフトウェアの脆弱性をスキャン |
| Lambdaコードスキャン | Lambda標準スキャンに加えて、自身が書いたプログラムコードの脆弱性をスキャン |
本稿では、Inspectorの一括有効化について説明を行います。
(1)サイドメニューから「アカウント管理」をクリックし、表示されているアカウント一覧からスキャンを有効化するアカウントを選択します。
(2)「アクティブ化」ボタンをクリックし、有効化したいスキャンを選択したうえで、「Submit」ボタンをクリックします。
(3)前の手順で選択したスキャンが有効化されていることを確認します。
(4)アカウント管理ページの上部のタブから各種スキャンの状況を一元的に確認が可能になります。
課題となりやすいポイント
(1)Inspectorの委任管理者アカウントではOrganizations配下の全アカウントのInspectorの各種スキャンの有効化/無効化が可能となっているため、管理アカウントのInspectorの設定も変更ができてしまいます。
管理アカウントでは一般的にEC2等のAWSリソースを作成することはないため、仮にInspectorの設定変更がされたとしても、多くの場合は問題ないと思われますが、管理対象アカウントの操作が可能な仕様であることは留意ください(IAMアクションのリソースタイプとしてAWSアカウントがなく、管理アカウントに対する操作制限を行うことが不可のため)。
(2)Inspectorと共にSecurity Hubを利用したいケースも多いので、AWS Security HubをAWS Organizationsと連携させる時の初期セットアップ等の記事もご覧いただき、導入を検討いただければと思います。
まとめ
今回は、Amazon InspectorのOrganizations連携ステップと課題となりやすいポイントについても紹介しました。本稿がOrganizations配下のAWSアカウントのInspectorの管理にお役に立てば幸いです。
次回は、本連載開始後に発表されたAWS Organizations連携サービスの注目すべきアップデートを紹介します。
AWS・Azure・Google Cloud、3大クラウドの特長をエンジニア目線で比較
