みなさん、こんばんは。サニービュー事業部の小寺です。
re:Inventの発表でAmazon Inspector が Lambda 関数をスキャンして脆弱性の検出ができるようになりました。

https://aws.amazon.com/jp/blogs/news/amazon-inspector-now-scans-aws-lambda-functions-for-vulnerabilities/

Amazon Inspectorとは

Amazon Inspectorは、AWSのEC2 インスタンス、Amazon Elastic Container Registry(Amazon ECR)のコンテナイメージに対して脆弱性診断を自動で行うマネージドサービスです。脆弱性診断とは、特定のWebサイトや公開サーバに対してサイバー攻撃でよく使われる手法のパケットを送信するなどして対象のセキュリティレベルを判定する仕組みのことです。

ソフトウェアの脆弱性やネットワーク構成の問題を見つけると、ファインディングと呼ばれるレポートを作成します。ファインディングは、脆弱性を説明し、影響を受けるリソースを特定し、脆弱性の重大性を評価し、改善ガイダンスを提供します。Amazon Inspectorコンソールを使用してファインディングを分析したり、他のAWSサービスと連携して表示および処理することができます。

アップデート内容

Amazon Inspector がLambda 関数及びLambdaレイヤーをサポートするようになりました。
今までのサポート範囲としては、Amazon EC2 インスタンスの脆弱性や、Amazon ECR に存在するコンテナイメージの脆弱性を継続的にスキャンできました。
今回アップデートとして追加された機能としては、AWS Lambda 関数と Lambda レイヤ全体の脆弱性を継続的にスキャンできるようになりました。
AWS Organizationsと組み合わせて利用することで、組織のすべてのAWSアカウントでの脆弱性の管理を行うこともできます。

前提条件

アップデート発表の2022年11月29日時点では、Java、NodeJS、Python で記述された関数とレイヤーに対してのスキャンが実行できます。
デフォルトでは、アカウント内のすべての関数を継続的にスキャンしますが、特定の Lambda 関数を除外したい場合は、キー「InspectorExclusion」と値「LambdaStandardScanning」を含むリソースタグを付けておきます。

試してみた

(1)まずはInspectorを有効化してみます。 一度有効化しておくと、Amazon Inspector は選択したアカウントの関数を自動的にスキャンします。

(2)「Inspectorへようこそ。最初のスキャンが進行中です」と表示されます。

(3)「設定」→「アカウント管理」を確認してみると、もともとAmazon Inspector v2を有効にしていなかったのでEC2のスキャン、ECRコンテナのスキャン、Lambdaスキャンが「Activated」になります。
元から有効化されている方は「Lambdaスキャン」はデフォルトでは、「Disabled」になっているはずです。

(4)Amazon Inspector Findings コンソールで、さまざまな関数の検出結果を [By Lambda function] (Lambda 関数別) でフィルタリングして、確認することができます。

https://aws.amazon.com/jp/blogs/news/amazon-inspector-now-scans-aws-lambda-functions-for-vulnerabilities/より引用

まとめ

本アップデートにより、既知の脆弱性があるLambda関数を確認できて非常に良いですね。
GAの発表があった時点では、Amazon Inspector v2のLambdaスキャンは1ヶ月1関数あたり東京リージョンでは$0.36です。
時間課金であるため、無効化しておけば費用を抑えることは可能です。正式な料金はこちらから。

有効化するかどうかは、コスト、セキュリティとのバランスも考慮する必要があるかと思いますが、例えば有効化している場合、新しいCVEがデータベースに追加された際に自動的にスキャンが実施されるばどリアルタイムに脆弱性の管理が可能です。

※このアップデートの機能は15日間無料で試すことができます。今までInspectorを有効化してこなかった方もぜひ試してみてはいかがでしょうか。
既にEC2インスタンスやAmazon ECRのコンテナイメージの診断にAmazon Inspector v2を利用しているアカウントでもトライアル可能です。