性能検証：AWS 向けセキュリティ診断「Amazon Inspector」

　日本電気株式会社（NEC）は10月25日、AWS向けセキュリティ診断「Amazon Inspector」の性能検証記事を同社セキュリティブログで発表した。サイバーセキュリティ戦略統括部 セキュリティ技術センターの谷口氏が執筆している。

　「Amazon Inspector new window」はAWSのEC2やECR、Lambdaに対し、自動かつ継続的に脆弱性スキャンを行い、診断結果を管理するサービス。2021年にAmazon Inspector v2として大幅に機能やUIなどがアップデートされ、旧バージョンのAmazon Inspector classicに比べ利便性が向上している。2024年1月にはCISベンチマーク評価がサポートされるようになっている。

　同記事では、AWSのPrivate Subnet上に配置したEC2インスタンスに対し、Public Subnet上に配置した踏み台サーバを経由して、Amazon InspectorでEC2スキャンとCISスキャンを実行している。検出結果比較のために同じプラットフォーム診断ツールである「Nessus Professional」によるスキャンも行っている。

　脆弱性スキャンを実行した結果、Amazon Inspectorでは「Microsoft Edge (Chromium ベース) のなりすましの脆弱性（CVE-2024-38083）」が、Nessus Professionalでは「Intel: CVE-2022-0001 Branch History Injection（CVE-2022-0001）」が未検出となっており、同記事では見解を述べている。

　同記事ではまとめとして、Nessus ProfessionalとAmazon Inspectorは同等の脆弱性を検出できていることがわかったとしている。