社員の不祥事対応マニュアル|発生時のフローから平時の予防策まで解説
catfish_admin
経営リスクナビ
AWSの脆弱性診断、申請は必要?手順とInspector活用法を解説
catfish_admin
AWS環境におけるシステムの安全性を確保するため、脆弱性テストの実施は不可欠ですが、その具体的な進め方やAWS独自のポリシーに戸惑う担当者も少なくありません。AWSの責任共有モデルに基づき、ユーザーは自らが構築した環境のセキュリティに責任を負うため、適切なテストを計画的に実行することが求められます。この記事では、AWSにおける脆弱性診断の基礎知識から、公式ポリシーで定められた申請の要否、具体的なテストの進め方、そして公式ツール「Amazon Inspector」の活用法までを実務的な視点で解説します。
目次
AWSにおける脆弱性診断の基礎
責任共有モデルと診断の対象範囲
AWSを利用する上で、セキュリティの責任範囲を定めた「責任共有モデル」の理解は不可欠です。このモデルでは、AWSと利用ユーザーがそれぞれ責任を負う範囲を明確に定義しています。
| 責任者 | 主な責任範囲 |
|---|---|
| AWS | データセンター、物理ハードウェア、ネットワーク基盤など、クラウド「そのもの」のセキュリティを担保します。 |
| ユーザー | OSより上のレイヤー(アプリケーション、データ)、ネットワーク設定、アクセス権限管理など、クラウド「の中」で構築するもののセキュリティを担保します。 |
このモデルに基づき、ユーザーは自身の責任範囲において脆弱性診断を実施する必要があります。診断対象は、自社で構築・設定したシステム全般です。例えば、仮想サーバーの設定不備やストレージの意図しない公開設定は、ユーザー側の責任範囲の典型例であり、これらの潜在的なセキュリティリスクを発見し、低減させることが診断の主な目的となります。
脆弱性診断とペネトレーションテストの違い
脆弱性診断とペネトレーションテストは、どちらもシステムの安全性を高める手法ですが、その目的とアプローチが異なります。両者は相互に補完する関係にあり、段階的なアプローチが効果的です。
| 項目 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| 目的 | システムに存在する既知の脆弱性を網羅的に発見する。 | 特定の目的(情報窃取など)を達成可能か、実際の攻撃を模倣して検証する。 |
| 手法 | 自動化ツールと手動検査を組み合わせ、広範囲をスキャンする。 | 専門家が攻撃者の視点で、複数の脆弱性を組み合わせて侵入を試みる。 |
| 位置付け | システムの「定期的な健康診断」に例えられる。 | システムの「実践的な避難訓練」に例えられる。 |
まずは脆弱性診断でシステム全体の弱点を洗い出して修正し、その後、より高度な脅威への耐性を確認するためにペネトレーションテストを実施することが推奨されます。
主な診断手法の種類と特徴
脆弱性診断の手法は、主に「ツール診断」と「手動診断」に大別され、それぞれに長所と短所があります。実務では、両者を組み合わせたハイブリッド型のアプローチが一般的です。
| 診断手法 | 特徴とメリット | デメリットと限界 |
|---|---|---|
| ツール診断 | 短時間かつ低コストで、広範囲にわたる既知の脆弱性を網羅的に検出できます。 | 複雑なビジネスロジックの欠陥は発見が難しく、誤検知が発生する可能性があります。 |
| 手動診断 | 専門家が仕様を理解した上で診断するため、ツールでは見つけられない論理的な欠陥も高精度で発見できます。 | 高度な専門知識が必要で、実施に時間とコストがかかる傾向があります。 |
費用対効果の高いセキュリティ対策を実現するためには、まずツール診断で全体を網羅的にスキャンし、決済機能など特に重要な箇所や複雑なロジックを含む部分を手動診断で深く掘り下げる、といった使い分けが有効です。
AWSの脆弱性テストに関する公式ポリシー
テスト実施時の申請要否の確認方法
AWS環境で脆弱性テストを実施する際は、AWSが定めるポリシーを遵守する必要があります。かつては多くのテストで事前申請が必須でしたが、現在ポリシーは緩和され、主要なサービスについては原則として事前申請なしでテストを実施できるようになりました。
事前申請が不要なAWSサービスの例
- Amazon EC2(仮想サーバー)
- Amazon RDS(リレーショナルデータベース)
- Amazon CloudFront(コンテンツ配信ネットワーク)
- Amazon API Gateway(API管理)
- AWS Lambda(サーバーレスコンピューティング)
ただし、許可されているサービスであっても、AWSのインフラ自体や他のユーザーの環境に影響を及ぼすテストは禁止されています。また、一部の新しいサービスや特殊なサービスを対象とする場合は、引き続きAWSサポートへの事前連絡と承認が必要です。テスト計画時には、対象の全サービスが申請不要リストに含まれているかを、必ず最新の公式ドキュメントで確認してください。
AWSが定めるテスト上の禁止事項
事前申請が不要なサービスであっても、テストの実施には厳格な禁止事項が設けられています。これらの行為はクラウド全体の安定性に影響を与えるため、絶対に避けなければなりません。
AWSが定める主なテスト上の禁止事項
- サービス妨害(DoS/DDoS)攻撃およびそのシミュレーション
- ポートフラッディング、プロトコルフラッディング、リクエストフラッディングなどの過剰な負荷をかける行為
- DNSゾーンウォーキング、ハイジャック、ファーミングなどのDNS関連の不正行為
- AWSのサービス自体や他の利用者の環境に対するテスト
使用する診断ツールにこれらの機能が含まれている場合、事前に無効化する責任はユーザーにあります。禁止事項に違反すると、アカウントの利用停止などの厳しい措置が取られる可能性があるため、細心の注意が必要です。
申請不要ポリシーの例外と高負荷テスト実施時の注意点
ネットワークの耐久性を評価するストレステストなど、意図的に高い負荷をかけるテストは、申請不要ポリシーの例外となる場合があります。これは、テストの通信がサービス妨害(DoS)攻撃と区別しにくいためです。このような高負荷テストを実施する際は、事前に「シミュレートされたイベントフォーム」をAWSに提出し、審査と承認を得る必要があります。テストは、他のお客様の環境に影響を与えないよう、許可された範囲内で計画的に実行することが求められます。
AWS環境での脆弱性テストの進め方
ステップ1:計画(対象範囲と目標の設定)
効果的な脆弱性テストの第一歩は、綿密な計画策定です。関係者間でテストの目的を明確にし、診断の対象範囲と境界線を定義します。
計画フェーズでの主なタスク
- テスト目的の明確化:新規リリース前の安全性確認、定期監査、コンプライアンス準拠など、目的を具体化します。
- 診断対象資産の洗い出し:仮想サーバー、データベース、ウェブアプリケーション、APIなど、診断すべき資産をリストアップします。
- 対象範囲の境界設定:個人情報などを扱うシステムを優先し、テストによる影響が許容できない本番環境の一部は除外するなど、範囲を定めます。
- 関連資料の準備:ネットワーク構成図やデータフロー図を用意し、関係者間で認識を統一します。
ステップ2:準備(ツール選定と環境調整)
計画に基づき、テスト実施に向けた具体的な準備を進めます。目的に合った診断手法やツールを選定し、テスト対象となる環境を整えます。
準備フェーズでの主なタスク
- 診断手法の選定:目的に応じてツール診断、手動診断、または両者を組み合わせたハイブリッド手法を選択します。
- ツールの選定:システムの特性に合わせ、クラウド設定ミス検出ツールやソースコード解析ツールなどを選びます。
- テスト環境の整備:本番環境で実施する場合は、業務影響の少ない時間帯を選定し、必ずデータのバックアップを取得します。
- AWSポリシーの最終確認:テスト内容がAWSの規約に準拠しているか再確認し、必要であれば申請手続きを完了させます。
ステップ3:実施(スキャンの実行と分析)
準備が整ったら、計画に沿ってテストを実施します。テスト中はシステムの稼働状況を常に監視し、万一の事態に備えます。
実施フェーズでの主なタスク
- 診断の実行:スケジュールに沿って自動スキャンを実行したり、専門家が手動で疑似攻撃を試みます。
- システムの常時監視:パフォーマンスやエラーログを監視し、過度な負荷や予期せぬ障害が発生していないかを確認します。
- 結果の分析:検出された脆弱性が実際に悪用可能か、あるいはツールの誤検知でないかを専門的な視点から精査し、正確なリスクを判定します。
ステップ4:報告と修正(結果の評価と対応)
分析結果を基に詳細な報告書を作成し、関係者と共有して具体的な修正対応を進めます。対応完了後は、問題が解消されたことを再テストで確認します。
報告・修正フェーズでの主なタスク
- 詳細な報告書の作成:脆弱性の内容、ビジネスへの影響度、危険度スコア、再現手順、具体的な改善策を明記します。
- 関係者への報告:経営層向けには事業リスクの観点から要約し、開発・運用チームには技術的な詳細を伝えます。
- 優先順位付けと修正:報告書に基づき、リスクの高い脆弱性から順次修正プログラムの適用や設定変更を行います。
- 修正確認と記録:修正後に再テストを実施して問題の解消を確認し、一連のプロセスを証跡として記録・保管します。
AWS公式ツール「Amazon Inspector」の活用
Amazon Inspectorの主要な機能
Amazon Inspectorは、AWSが提供する継続的かつ自動的な脆弱性管理サービスです。専門的な知識がなくても、AWS環境のセキュリティリスクを容易に把握できます。
Amazon Inspectorの主要な機能
- AWSワークロードの自動スキャン:EC2インスタンス、コンテナイメージ、Lambda関数などを自動検出し、継続的にスキャンします。
- ソフトウェア脆弱性の検知:OSやソフトウェアパッケージに存在する既知の脆弱性(CVE)を、最新データベースに基づき検出します。
- ネットワーク露出の評価:意図せず外部に公開されているネットワークパスやポートがないかを評価します。
- リスクの可視化:発見された脆弱性を深刻度に応じてスコアリングし、管理ダッシュボードで一覧表示します。
基本的な設定とスキャンの実行手順
Amazon Inspectorは、数回のクリックで簡単に導入でき、組織全体のセキュリティ評価をすぐに開始できます。
Amazon Inspectorの基本的な設定手順
- AWS管理コンソールからAmazon Inspectorのページにアクセスし、サービスを有効化します。
- (複数アカウントの場合) AWS Organizationsと連携し、管理アカウントから全メンバーアカウントの設定を一括で有効化します。
- 有効化後、対象リソースが自動的に検出され、継続的なスキャンが自動で開始されます。
- 新規リソースの作成や脆弱性情報の更新があった場合も、自動で再スキャンが実行されるため、手動での管理は不要です。
診断結果レポートの読み解き方
Amazon Inspectorの診断結果は、コンソール上で直感的に確認でき、具体的な対応を迅速に進めるための情報を提供します。
診断結果レポートに含まれる主な情報
- 脆弱性の名称と影響リソース:どの脆弱性がどのリソースに存在するかを特定します。
- リスクスコア:国際的なCVSSスコアに加え、ネットワーク露出度などを加味したInspector独自のスコアで現実的な危険度を示します。
- 推奨される修正アクション:問題を解決するために更新すべきパッケージのバージョンなど、具体的な対策が提示されます。
- エクスポート機能:検出結果をJSONやCSV形式で出力し、他部署との共有や独自の分析に活用できます。
AWS Security Hubとの連携メリット
Amazon InspectorをAWS Security Hubと連携させることで、クラウド環境全体のセキュリティ管理をさらに効率化・高度化できます。
AWS Security Hubとの連携によるメリット
- アラートの一元管理:Inspectorの検出結果を含む、様々なAWSセキュリティサービスからのアラートを単一のダッシュボードで集約・管理できます。
- セキュリティ状況の俯瞰:システム全体のセキュリティ状況を横断的に把握し、脅威の相関分析が容易になります。
- 対応の自動化:深刻な脆弱性が検出された際に、担当者への通知や関連リソースの自動隔離といった対応を自動化できます。
Amazon Inspectorの検知範囲と限界
Amazon Inspectorはインフラ層の脆弱性管理に非常に強力なツールですが、万能ではありません。その検知範囲と限界を理解しておくことが重要です。
Amazon Inspectorの主な検知範囲
- OSやミドルウェアに含まれる既知のパッケージ脆弱性(CVE)
- 意図しないネットワークの露出(セキュリティグループ設定の不備など)
一方で、自社で開発したウェブアプリケーション固有のロジック上の欠陥や、複雑なビジネス要件に起因する権限設定の不備などを発見することはできません。システムの完全な安全性を確保するには、手動のアプリケーション診断やペネトレーションテストとの併用が不可欠です。
診断体制の構築:自社実施と外部委託
自社で実施するメリット・デメリット
脆弱性診断を自社内で実施する体制には、コストやスピード面でのメリットがある一方、専門人材の確保という大きな課題も伴います。
自社で実施するメリット
- 長期的に見て外部委託費用を削減できる可能性がある。
- 開発サイクルに診断を組み込みやすく、ビジネスのスピードを維持しやすい。
- 自社システムへの深い理解に基づいた、柔軟なテスト設計が可能となる。
- 社内にセキュリティに関する知見やノウハウが蓄積される。
自社で実施するデメリット
- 高度な専門知識を持つ人材の確保や育成が困難で、コストがかかる。
- 開発部門が診断を兼ねる場合、客観性が欠け、評価が甘くなるリスクがある。
- ツールに依存しがちになり、ツールが検知できない論理的欠陥を見逃す可能性がある。
外部ベンダーに依頼するメリット・デメリット
専門のセキュリティベンダーに診断を委託することは、高品質で客観的な評価を得られる確実な方法ですが、コストや調整の手間がかかります。
外部ベンダーに依頼するメリット
- 最新の攻撃手法に精通した専門家による、精度の高い手動診断を受けられる。
- 第三者の視点による客観的で信頼性の高い評価結果が得られる。
- 監査や取引先へのセキュリティ体制の証明として、報告書を活用できる。
- 脆弱性発見時に、具体的な修正方法に関する専門的な助言を得られる。
外部ベンダーに依頼するデメリット
- 高品質な診断は高額になりやすく、頻繁な実施が予算的に難しい場合がある。
- 診断範囲の調整や仕様説明など、ベンダーとのコミュニケーションに工数がかかる。
- 開発のスピードと診断のタイミングを合わせることが難しい場合がある。
よくある質問
AWSへのペネトレーションテスト申請は現在も必要ですか?
いいえ、現在では多くの主要なAWSサービスにおいて事前申請なしでペネトレーションテストを実施できます。ただし、サービス妨害(DoS)攻撃やそれに類する高負荷なテストは引き続き厳しく禁止されています。また、一部の新しいサービスや、意図的に高負荷をかけるストレステストを実施する際は例外的に事前承認が必要なため、計画時には必ず最新の公式ポリシーを確認してください。
Amazon Inspectorの利用料金はどのようになっていますか?
Amazon Inspectorは初期費用不要の完全従量課金制です。料金は主に、スキャンされた仮想サーバーの平均稼働数や、コンテナイメージのスキャン回数に基づいて計算されます。利用開始後15日間は無料トライアルが提供されるため、自社環境での月額コストを正確に見積もることが可能です。
診断ツールが誤検知を報告した場合の対応は?
まず、報告された内容が本当に脆弱性にあたるか、技術的な調査を行います。独自の緩和策が適用されているなど、実際にはリスクがないと判断した場合は、ツールの管理機能でその検出結果を「抑制」するルールを設定します。これにより、次回以降のスキャンから除外され、真に対応が必要なリスク管理に集中できます。ただし、自己判断が難しい場合は、必ずセキュリティ専門家の意見を仰いでください。
どのくらいの頻度で脆弱性診断を実施すべきですか?
システムの重要度によりますが、少なくとも年に1回の包括的な診断が推奨されます。個人情報など機密性の高いデータを扱うシステムでは、四半期に1回など、より頻繁な診断が望ましいです。また、定期診断とは別に、大規模な機能追加やアーキテクチャ変更を行ったタイミングでも、都度診断を実施すべきです。日常的には自動スキャンツールで常時監視し、節目で専門家による手動診断を組み合わせる運用が効果的です。
脆弱性診断が原因でシステム障害が起きた際の初動は?
万が一、診断が原因でシステム障害や著しいパフォーマンス低下が発生した場合、最優先すべき初動は「直ちにテストを停止させること」です。その後、速やかにシステム管理者と連携し、影響範囲の特定と原因究明、復旧作業にあたります。このようなリスクを最小限に抑えるためにも、事前の綿密な計画、関係者との連携体制の構築、そして可能な限りのバックアップ取得が極めて重要です。
まとめ:AWSのポリシーを遵守し、効果的な脆弱性テストで安全な環境を構築する
本記事では、AWS環境における脆弱性テストの進め方とポリシーについて解説しました。AWSのセキュリティは責任共有モデルが基本であり、ユーザーは自らの責任範囲で脆弱性管理を行う必要があります。多くのサービスでテストの事前申請は不要になりましたが、DoS攻撃に類する行為は厳しく禁止されているため、公式ポリシーの遵守が不可欠です。効果的なテストのためには、Amazon Inspectorのようなツールによる継続的な自動診断と、専門家による手動診断を組み合わせ、システムの重要性に応じて計画することが重要です。自社の体制を踏まえ、内製か外部委託かを検討しましょう。まずは自社のAWS環境の対象資産を洗い出し、テスト計画を立てることから始めてください。本記事は一般的な指針であり、AWSの規約は更新されるため、実施前には必ず最新の公式情報を確認し、判断に迷う場合は専門家への相談を推奨します。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
