Amazon Inspector Classic と Amazon Inspector v2 の違いをまとめてみた

Amazon Inspector Classic と Amazon Inspector v2 の違いをまとめてみた

Clock Icon2024.03.21

はじめに

こんにちは。AWS事業本部コンサルティング部に所属している和田響です。

re:Invent2021で「Amazon Inspector v2」としてリニューアルされたAmazon Inspectorですが、それ以前のAmazon Inspectorは「Amazon Inspector Classic」として現在も使用可能です。

この記事では「Amazon Inspector Classic」と「Amazon Inspector v2」の違いをまとめてみました。

どなたかのお役に立てれば幸いです。

前提

前述の通りre:Invent2021で「Amazon Inspector v2」が発表され、それまでのAmazon Inspectorは「Amazon Inspector Classic」と呼ばれることになりました。

したがって、現時点においてのAmazon Inspectorとは多くの場合「Amazon Inspector v2」のことを指していることを理解しておきましょう。

両者の違い

前提として「Amazon Inspector Classic」 と 「Amazon Inspector v2」かなり差分があるので、この記事における比較はあくまでも重要な部分を比較するものであることをご理解いただければと思います。

先にまとめ

Classic v2
検出対象 EC2インスタンス EC2 インスタンス
ECRリポジトリのコンテナイメージ
Lambda 関数
検出結果タイプ 一般的な脆弱性とその危険性
ネットワーク到達可能性
セキュリティのベストプラクティス(linux)
CISベンチマーク
パッケージ脆弱性
コードの脆弱性
ネットワーク到達可能性
CISベンチマーク
エージェント Amazon Inspector Classic エージェント SSM エージェント
料金体系 基本的に評価数によって課金 基本的にリソース数に応じて課金
Inspector スコア なし あり

検出対象のリソース

Classic v2
EC2インスタンス EC2 インスタンス
ECRリポジトリのコンテナイメージ
Lambda 関数

ClassicではEC2インスタンスのみでしたが、v2の登場以降はECRリポジトリのコンテナイメージおよびLambda 関数が検出対象になりました。

検出結果タイプ

Classic v2
一般的な脆弱性とその危険性
ネットワーク到達可能性
セキュリティのベストプラクティス(linux)
CISベンチマーク
パッケージ脆弱性
コードの脆弱性
ネットワーク到達可能性
CISベンチマーク

v2の登場以降はLambda 関数が検出対象になったことにより、コードの脆弱性を評価してくれるようになりました。
一方でClassicでLinuxのみ評価対象だったセキュリティのベストプラクティスは、v2では評価の対象ではないようです。(Security Hubと役割が被るからでしょうか?)

インストールが必要なエージェント

Classic v2
Amazon Inspector Classic エージェント SSM エージェント

ClassicではAmazon Inspector専用のエージェントをインストールする必要がありましたが、v2ではSSM エージェントに変更されました。
SSM エージェントはSystemsManagerの機能を使う上でも必要になるため、結果的にSSM エージェントの対応範囲が広がった形になりました。

料金体系

Classic v2
基本的に評価数によって課金 基本的にリソース数に応じて課金

Classicでは基本的にインスタンス評価数によって課金されていましたが、v2ではインスタンスごとに月額で費用がかかりす。
Classicの場合

月額 インスタンス評価ごと
最初の 250 件のインスタンス評価 $0.15
最初の 750 件のインスタンス評価 $0.13
最初の 4,000 件のインスタンス評価 $0.10
最初の 45,000 件のインスタンス評価 $0.07
他のすべてのインスタンス評価 $0.04

v2の場合
「1 か月あたりにスキャンされた Amazon EC2 インスタンスの平均数」 * 1.512USD

詳しくは各料金表を参照ください。

Inspector スコア

Classic v2
なし あり

v2からの機能でInspectorスコアというのもが実装されました。
ベンダーのスコアとAWSの環境をもとに集計してくれるようで、個別の環境に応じたスコアリングが可能になりました。

Amazon Inspector スコアは、Amazon Inspector が各 EC2 インスタンス検出結果ごとに作成される、状況に応じたスコアです。Amazon Inspector スコアは、CVSS v3.1 の基本スコア情報を、ネットワーク到達可能性の結果や悪用可能性データなど、スキャン中にコンピューティング環境から収集された情報と関連付けることによって決定されます。たとえば、脆弱性がネットワーク上で悪用可能であるのに、Amazon Inspector が脆弱なインスタンスへのオープンネットワークパスがインターネットから利用できないと判断した場合、検出結果の Amazon Inspector スコアは基本スコアよりも低くなる可能性があります。

サポートOS

Classicとv2ではサポートされているOSの種類、ディストリビューション及びバージョンが異なります。
サポートOSの種類は以下の差があり、v2ではLinuxとWinsows Serverに加えてmacOSをサポートしています。

Classic v2
Linux Linux
Windows Server Windows Server
macOS

サポートされているLinuxディストリビューションの種類は以下の差があり、v2の方が多くのディストリビューションをサポートしています。

Classic v2
Amazon Linux Amazon Linux
Ubuntu Ubuntu
Debian Debian
RHEL RHEL
CentOS CentOS
Bottlerocket
Fedora
openSUSE
Oracle Linux
Rocky Linux
SUSE Linux

サポートされているOSのバージョンもClassicとv2で差があり、基本的にはv2の方が新しいバージョンをサポートしています。
以下にWIndows Serverの例を挙げます。

Classic v2
Windows Server 2008 R2 Windows Server 2016
Windows Server 2012 Windows Server 2019
Windows Server 2012 R2 Windows Server 2022
Windows Server 2016
Windows Server 2019

どちらを使うべきか

ここまで「Amazon Inspector Classic」と「Amazon Inspector v2」の違いについてまとめてきましたが、「結局どっちを使えば良いのか?」と疑問を持たれると思います。
これに対する回答としては、「新規でAmazon Inspectorを使用する場合は基本的にv2を使用すべき」といえます。

前述の通りAmazon Inspector v2はAmazon Inspector Classicに比べて対応範囲が広くなり、非常に使い勝手が良くなりました。反対に現在ではAmazon Inspector ClassicではできたけどAmazon Inspector v2ではできないことはほとんどありません。
したがって、新規でAmazon Inspectorを利用する場合はAmazon Inspector v2を使用することをお勧めします。

Classicからv2へ移行すべきか

現在Amazon Inspector Classicを使っているがAmazon Inspector v2に切り替えるべきかという疑問も湧くはずです。
これに対する回答としては、「急務ではないが長期的にみてv2に移行した方が良い」といえます。

Amazon Inspector v2の登場でかなり便利にはなったものの、Amazon Inspector Classicが利用できなくなったわけではないので、Amazon Inspector Classicを利用している方は引き続き利用可能です。そのため、急いでAmazon Inspector v2に移行する必要があるわけではありません。
しかしながら、将来的にECRやLambdaを利用する可能性や、Amazon Inspector v2のアップデートでより使い勝手が良くなる可能性を考えると、可能であればAmazon Inspector v2に移行すべきだと思います。

最後に

この記事では「Amazon Inspector Classic」と「Amazon Inspector v2」の違いについてまとめてみましたが、個人的には必要なエージェントがSSMエージェントになったことが一番のメリットだと感じます。
この記事がどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.