Amazon InspectorでEC2の脆弱性を見るときに混同しやすいこと

結論

Amazon Inspector は、EC2 の脆弱性管理を継続的に回すためのサービスです。OS パッケージやソフトウェアに紐づく CVE、外部から到達可能なネットワーク経路などを検出できます。

一方で、Inspector は GuardDuty の代わりではありません。Inspector は脆弱性や露出を見つけるサービス、GuardDuty は不審な挙動を検知するサービスです。この違いを曖昧にすると、セキュリティ運用の責任分界が崩れます。

この記事では、EC2 を例に Amazon Inspector の基本と、混同しやすい周辺サービスとの違いを整理します。

EC2 に対する Inspector の主な役割は、脆弱性と露出の可視化です。

| 観点 | 例 |

|---|---|

| ソフトウェア脆弱性 | OS パッケージ、ランタイム、ライブラリに関連する CVE |

| ネットワーク到達性 | 外部から到達可能なポートや経路 |

| 優先度 | CVSS、悪用可能性、影響範囲を踏まえた重要度 |

| 影響リソース | 問題がある EC2 インスタンスや関連メタデータ |

たとえば、古いパッケージが原因で High severity の CVE に該当する場合、Inspector は Finding として検出します。そこから先は、パッチ適用、AMI 更新、インスタンス置き換えなどの運用判断になります。

AWS のセキュリティサービスは名前だけ見ると似ています。ここを雑に覚えると、設計も説明も崩れます。

| サービス | 何を見るか | 主な使いどころ |

|---|---|---|

| Amazon Inspector | 脆弱性、露出、CVE | 修正すべき弱点を見つける |

| Amazon GuardDuty | 不審な通信、API 操作、挙動 | 侵害や攻撃の兆候を見つける |

| AWS Security Hub | 複数サービスの Findings、基準チェック | 集約、優先付け、標準への準拠確認 |

Inspector は「この EC2 には既知の弱点があるか」を見ます。GuardDuty は「この環境で怪しいことが起きていないか」を見ます。Security Hub は「検出結果を集約して、どう扱うか」を助けます。

つまり、どれか 1 つを入れれば全部解決、という話ではありません。

Inspector を有効化すると Findings が出ます。ここで満足すると失敗します。

脆弱性管理として必要なのは、次のような運用です。

例えば Auto Scaling Group 配下の EC2 にだけ手作業でパッチを当てても、根本対応にならないことがあります。次に起動するインスタンスが古い AMI から作られるなら、問題は戻ってきます。直すべき場所はインスタンスそのものではなく、イメージや構成管理かもしれません。

CVE の severity は重要ですが、それだけで修正順を決めると現実からズレます。

見るべき観点は複数あります。

| 観点 | なぜ見るか |

|---|---|

| Severity | 脆弱性そのものの危険度を見る |

| Exploitability | 悪用可能性を判断する |

| Internet Exposure | 外部から到達できるかを見る |

| Business Criticality | その EC2 が重要システムかを見る |

| Ownership | 誰が修正するかを決める |

たとえば High severity でも閉じた検証環境の一時インスタンスと、インターネットに露出した本番 EC2 では優先度が違います。Inspector の結果を、そのまま機械的に上から潰すだけでは足りません。

導入初期に最低限決めるべきことは、かなり実務的です。

このあたりがないと、Inspector はただ Findings を増やす機械になります。セキュリティダッシュボードが赤くなるだけで、誰も直さない。よくある地獄です。

Amazon Inspector は、EC2 の脆弱性や露出を継続的に検出するためのサービスです。ただし、GuardDuty や Security Hub と役割を分けて使う必要があります。

Inspector を有効化することはスタートです。Findings を運用の流れに乗せて、修正まで閉じるところが本番です。