Amazon Inspectorの
エージェントレス脆弱性評価
は、病院の「レントゲン検査」に似ています。
体の中に何も入れなくても(ソフトウェアをインストールしなくても)、外部から内部の状態をチェックできるのです。
従来の方法は「常駐の健康管理担当者」を各部署に配置するようなもの。エージェントレスは「定期的な外部検査」で同じ情報を得る方法です。
会社で働く従業員のように、様々なサーバーが稼働しています。全員の健康状態を把握したいですよね。
サーバーのディスクの「写真」を撮影。この写真を分析することで、中に潜む問題(脆弱性)を発見できます。
撮影したレントゲン写真を専門家が分析。「このソフトウェアにセキュリティホールがありますよ」と報告してくれます。
見つかった問題とその深刻度を詳細にレポート。「要治療」「経過観察」など優先度も教えてくれます。
= 「常駐医師」が毎日チェック
= 「外部検査」でレントゲン撮影
| 項目 | エージェントベース | エージェントレス |
|---|---|---|
| SSM Agent | ❌ 必須 | ✅ 不要 |
| セットアップ | エージェント設定が必要 | ✅ 有効化のみ |
| スキャン頻度 | リアルタイム | 24時間ごと |
| インスタンス負荷 | ⚠️ あり | ✅ なし |
| レガシーOS | ❌ 限定的 | ✅ 対応 |
| ネットワーク到達性 | ❌ 必要(到達性検出) | ✅ 不要 |
| Deep Inspection | ✅ 対応 | ❌ 非対応 |
| 推奨用途 | 本番環境の詳細監視 | 幅広いカバレッジ確保 |
有効化するだけで、すべてのEC2インスタンスのスキャンが始まります。設定に時間をかける必要なし!
本番インスタンスに直接アクセスせず、スナップショットを分析。稼働中のシステムに影響を与えません。
SSM Agentが入っていないインスタンスも含め、環境全体の脆弱性を把握できます。
エージェント管理の人的コストが不要。スナップショットは分析後自動削除されるので課金も最小限。
古いOSや特殊な環境でも問題なし。エージェントがサポートしていないシステムもカバーできます。
エージェントベースと併用可能。重要なインスタンスは両方でスキャンして、検出漏れを防げます。
💡 ポイント: エージェントレススキャンは EC2のソフトウェア脆弱性 に対応しています。 ネットワーク到達性の評価(どのポートが外部に公開されているか等)は引き続きエージェントベースが必要です。
AWS Management Console → Amazon Inspector → Get Started
Account management → EC2 scanning → Scan mode で「Hybrid」または「Agentless」を選択
設定完了後、24時間以内に初回スキャンが実行されます
# エージェントレススキャンを有効化(Hybridモード) aws inspector2 update-ec2-deep-inspection-configuration \ --scan-mode "HYBRID" # エージェントレスのみに設定する場合 aws inspector2 update-ec2-deep-inspection-configuration \ --scan-mode "AGENTLESS" # 現在の設定を確認 aws inspector2 get-ec2-deep-inspection-configuration # スキャン結果を取得 aws inspector2 list-findings \ --filter-criteria '{ "findingType": [{"comparison": "EQUALS", "value": "PACKAGE_VULNERABILITY"}] }'
SSM Agentをインストールできない古いOS(Windows Server 2012など)や特殊な環境でも脆弱性を検出。移行前のリスク評価に最適です。
本番サーバーに追加ソフトウェアをインストールしたくない金融・医療機関。外部からのスキャンでセキュリティポリシーを維持できます。
数百〜数千台のEC2インスタンスを一括スキャン。「管理漏れ」のインスタンスも含めて、環境全体の脆弱性状況を把握できます。
新規AWSアカウントやプロジェクト開始時に、即座にセキュリティスキャンを開始。個別設定なしで全インスタンスをカバーできます。
※ 料金は東京リージョン(ap-northeast-1)の場合。最新の料金は AWS 公式サイトをご確認ください。
※ 15日間の無料トライアルあり(新規アカウント)
おすすめは「Hybrid」モード です。SSM Agentがあるインスタンスはエージェントベースで、ないインスタンスはエージェントレスで自動的にスキャンされます。これにより、環境全体のカバレッジを最大化できます。リアルタイム検出が重要な本番環境ではエージェントベースを優先し、管理外やレガシーシステムはエージェントレスで補完する運用がベストプラクティスです。
パフォーマンスへの影響はほぼありません 。AWSのスナップショット機能はインスタンスを停止せずに「ポイントインタイム」のコピーを作成します。ただし、スナップショット作成中はI/Oが一時的に増加する場合があるため、非常にI/O負荷が高いワークロードでは注意が必要です。また、 スナップショットは分析後に自動削除 されるため、ストレージコストも最小限です。
はい、スキャン可能です
。AWS管理キー(aws/ebs)で暗号化されている場合は追加設定不要です。カスタマーマネージドキー(CMK)を使用している場合は、Amazon InspectorのサービスロールにKMSキーへのアクセス許可を付与する必要があります。具体的には、
kms:CreateGrant
と
kms:Decrypt
権限が必要です。
エージェントレススキャンは 24時間ごと に自動実行されます。新しいEC2インスタンスが起動すると、最初のスキャンサイクルで検出されスキャンが開始されます。また、新しいCVE(脆弱性)がInspectorのデータベースに追加されると、次回スキャン時に既存の検出結果が更新されます。より高頻度のスキャンが必要な場合は、エージェントベース方式を併用してください。
以下のインスタンスはエージェントレススキャンの
対象外
です:
• Instance Storeのみを使用しているインスタンス(EBSボリュームなし)
• 停止中のインスタンス
• 一部の特殊なOSやカスタムAMI
これらのケースでは、可能であればエージェントベーススキャンの使用を検討してください。
Amazon Inspector エージェントレス脆弱性評価は、
「健康診断のレントゲン」
のようにサーバーの中身を外部からチェックする機能です
Created by SSuzuki1063
AWS SAP Learning Resources