目次
AWS configとinspectorの違い
| 観点 | AWSConfig | Inspector |
|---|---|---|
| 見るもの | リソースの設定(構成) | ソフトウェアの脆弱性 |
| 主な目的 | 構成管理・コンプライアンス | 脆弱性診断 |
| 検知する例 | S3公開、暗号化漏れ、SG設定ミス | CVE、古いパッケージ、公開ポート |
| 時系列記録 | あり(構成履歴を保持) | スキャン結果が中心 |
| 例えると | 設計図・ルールの監査担当 | 弱点・穴の検査担当 |
AWSConfig:リソースの設定が正しいかを監視・記録する(構成管理・コンプライアンス)。
Inspector:リソースの脆弱性を見つける(弱点診断)。
Configで設定の正しさを管理し、Inspectorで弱点を診断するという役割分担になります。
これらの検出結果は、いずれもSecurityHubに集約して一元管理できます。
AWS configとは
AWSリソースの設定(構成)の記録と評価を行うサービスです。
主な役割
・リソースの設定変更を時系列で記録する(いつ、誰が、何を変えたか)
・あるべき設定をルール(ConfigRules)として定義し、違反を検知する
・例:S3バケットが公開されていないかEBSが暗号化されているかセキュリティグループで0.0.0.0/0が開いていないか
・コンプライアンス遵守の証跡として使える
・過去の構成状態を遡って確認できる(構成履歴)
設定がルールどおりになっているか、いつ変わったかを管理するサービスです。脆弱性そのものは見ません。
例
| EC2のセキュリティグループ | SSHの22番ポートが0.0.0.0/0へ公開されていないか |
| S3バケット | パブリックアクセスが許可されていないか |
| EBS | 暗号化されているか |
| CloudTrail | 証跡が有効になっているか |
また、リソースの構成履歴から次のような調査ができます。
| 6月10日:SGに社内IPだけ設定 6月15日:0.0.0.0/0が追加 6月16日:0.0.0.0/0が削除 |
Inspectorとは
リソースの脆弱性評価を行うサービスです。
主な役割
・EC2、ECRコンテナイメージ、Lambdaのソフトウェア脆弱性(CVE)をスキャン
・ネットワーク到達性(意図せず外部公開されているポート)を検出
・検出結果に深刻度スコアを付け、パッチ適用などの対策につなげる
ソフトウェアに既知の弱点(攻撃される穴)がないかを診断するサービスです。設定の履歴管理はしません。
例
| EC2 | OSパッケージに既知のCVEがある インターネットから到達可能な経路がある アプリケーション言語のパッケージに脆弱性がある |
| ECR | コンテナイメージ内のOS・ライブラリにCVEがある |
| Lambda | 関数コードやLayerに含まれる依存パッケージに脆弱性がある |
関連の記事