【Security Hub修復手順】[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

【Security Hub修復手順】[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

Clock Icon2024.08.21

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda standard scanning should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

本コントロールは、Amazon Inspector Lambda 標準スキャンが有効になっているかどうかをチェックします。
Lambda 標準スキャンが無効の場合、コントロールは「失敗」と判定されます。

Lambda 標準スキャンは、Lambda関数やLambdaレイヤーの依存パッケージ(外部のライブラリやモジュール)をスキャンし、脆弱性を特定します。

たとえば、Lambda 関数が既知の脆弱性があるバージョンの python-jwt パッケージを使用している場合、Lambda 標準スキャンはその関数の検出結果を生成します。

サポートされているプログラミング言語には、以下があります。詳細

  • Java
  • Node.js
  • Python
  • Go
  • Ruby
  • .NET

Lambda 標準スキャンを有効化しない場合、以下のようなセキュリティリスクが生じる可能性があります。代替のソリューションを導入していない場合は、有効化をお勧めします。

  • 依存パッケージに含まれる既知の脆弱性を見逃す可能性がある
  • 古いバージョンのライブラリやパッケージが使用されたままになる可能性がある
  • 新たに発見された脆弱性(CVE)に対して迅速に対応が難しい

東京リージョンでの料金は、以下の通りです。1ヶ月間でLambda関数1つあたり、0.36 USDかかります。

  • Lambda コードスキャンで、1か月あたりにスキャンされた AWS Lambda 関数の平均数: 0.36 USD per Lambda 関数
    • Lambda 関数の平均数 = (Lambda 関数に対する Amazon Inspector のカバー時間の合計)/(1ヶ月、つまり720時間)

https://aws.amazon.com/jp/inspector/pricing/?nc=sn&loc=3

Lambda 標準スキャンを有効化すると、過去90日間に呼び出されたか更新されたすべての Lambda 関数がスキャンの対象となります。

また、以下のタイミングでLambda関数がスキャンされます。

  • 既存の Lambda 関数を検出した時(標準スキャンを有効化したタイミング)
  • 新しいLambda関数がデプロイした時
  • 既存の Lambda 関数またはLambda Layerが更新された時
  • Inspector データベースに新しい共通脆弱性識別子 (CVE) 項目が追加され、既存のLambda関数に関連している場合

事例

AWSによる本機能の有効性を示す事例として、2021年に発生したLog4jの脆弱性が挙げられます。
この事例では、既存のワークロードで利用されているパッケージに新たな脆弱性が発見された場合でも、ほぼリアルタイムでスキャンし、検知できることが示されています。

https://aws.amazon.com/jp/blogs/news/amazon-inspector-now-scans-aws-lambda-functions-for-vulnerabilities/

マルチアカウントの場合

マルチアカウント環境では、このコントロールは委任された Amazon Inspector 管理者アカウントでのみ評価されます。

組織内のメンバーアカウントにおけるLambda 標準スキャン機能の有効化または無効化は、委任された管理者アカウントのみが実行できます。

メンバーアカウントは、自身のアカウントからこの機能の設定を変更することはできません。

修復手順

1 コントロールの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「Inspector.4」を検索し、タイトルを選択します。
    cm-hirai-screenshot 2024-08-15 14.24.43
  2. リソースの欄から失敗が確認できます。
    cm-hirai-screenshot 2024-08-15 14.24.51

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。

  • Inspector Lambda 標準スキャンを有効化してよいか
    • 有効化しない場合は、Security Hubで当該コントロールを「抑制済み」に設定します。

3 有効にする

  1. AWSマネジメントコンソールからInspectorサービスページに移動し、「Inspectorをアクティブ化」をクリックします。
    cm-hirai-screenshot 2024-08-06 16.48.40
  2. 「AWS Lambda スキャン」が有効化されていれば、作業は完了です。
    cm-hirai-screenshot 2024-08-15 13.34.48
  3. アクティブ化されていない場合、[アクティブ化] から [AWS Lambda 標準スキャン]もしくは[AWS Lambda 標準スキャン + AWS Lambda コードスキャン] を選択し、[Submit] をクリックすることで有効化できます。
    cm-hirai-screenshot 2024-08-15 14.24.27

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

参考

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/scanning-lambda.html

https://dev.classmethod.jp/articles/code-scans-lambda-functions-amazon-inspector/

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.