[log4j][脆弱性対応][AWS] Amazon Inspectorや拡張スキャンを使ってlog4jのゼロデイ脆弱性を検出する方法
Amazon Inspectorや拡張スキャンを使ってlog4jのゼロデイ脆弱性を検出する方法
log4jのゼロデイ脆弱性が発表されて、バタバタされた方も多いと思います。
プロジェクトソースにlog4jが使われていないか、依存関係にlog4jが含まれていないか等
確認作業が大変だったと思います。
そんな中AWSがAmazon Inspectorや拡張スキャンを使ってのlog4j脆弱性を検出を推奨しているのでご紹介します。
Amazon Inspector チームは、お客様の Amazon EC2 インスタンスと Amazon Elastic Container Registry Images (Amazon ECR) にこの脆弱性が存在することを特定する機能を追加しました。
そもそもAmazon Inspectorとは?
Amazon Inspectorとは、Amazon EC2 インスタンスのネットワークアクセシビリティとそれらのインスタンスで実行されるアプリケーションのセキュリティ状態をテストするというものです。
これを利用すると、ECRリポジトリに対してスキャンを行い、log4jの脆弱性をソースコードに含んでいないかチェックすることができます。
それで拡張スキャンとは?
拡張スキャンはInspectorとECRが統合されたようなイメージの機能で、こちらを利用してもlog4jの脆弱性をチェックすることができます。
(こっちの方が金額的には安い)
利用方法は?
Amazon Inspectorと拡張スキャンのどちらを使うかはどちらでも良いと思いますが、
簡単なのは拡張スキャンだと思います。
使い方としては、
登録してるECRリポジトリに対して、設定から通常スキャンではなく、拡張スキャンを有効化させるだけ。
その後、イメージをpushするたびに自動でスキャンを行ってくれます。
スキャンされた結果は、リポジトリの詳細にある脆弱性一覧に記載が登録されます。
ここでlog4jを含んでいれば脆弱性として警告が登録されると言った流れです。
参考ページ
拡張スキャンでの検出:https://dev.classmethod.jp/articles/amazon-ecr-enhanced-scanning/
AWS公式:https://aws.amazon.com/jp/blogs/news/using-aws-security-services-to-protect-against-detect-and-respond-to-the-log4j-vulnerability/
