はじめに
こんにちは。サーバワークスの林です。
今回は、Amazon Inspectorの最新アップデートについてご紹介します。
これまでEC2の脆弱性管理といえば、SSM Agentなどのエージェントをインスタンスに導入することが前提でした。
しかし2026年3月、Amazon Inspectorがエージェントレスでのスキャン機能を大きく拡張しました。Windows OSのエージェントレス対応と、KBベースのファインディング統合という2つのアップデートです。
本記事では、この内容と実務への影響を整理します。
参照:Amazon Inspector expands agentless EC2 scanning and introduces Windows KB-based findings
従来の課題
脆弱性スキャンを行うためにはエージェントの導入が必要でしたが、以下のような課題がありました。
- エージェントの導入・管理が必要
- 未導入インスタンスはスキャン対象外
- マルチアカウント環境での統制が困難
- 一時的なインスタンスや検証環境での導入漏れ
特にWindows環境では、パッチ管理とエージェント管理が二重に煩雑になりがちです。
エージェントレスEC2スキャンとは
エージェントレススキャンは、インスタンスに何もインストールせず、内部的にEBSスナップショットを使って脆弱性を検出する仕組みです。Inspectorを有効化していれば、追加のエージェント導入なしで利用可能で、スキャン完了後は自動的にクリーンアップされます。
エージェントベースとエージェントレスの違いは以下の通りです。
| スキャン方式 | 前提条件 | スキャン頻度 |
|---|---|---|
| エージェントベース | SSM Agent + Inspector SSM Plugin | 通常数時間ごと(おおよそ6時間) |
| エージェントレス | なし | 通常24時間ごと |
今回のアップデート概要
今回のアップデートは大きく2点です。
1. エージェントレススキャンのWindows対応
従来、エージェントレスEC2スキャンはWindowsに対応していませんでした。今回のアップデートにより、SSM Agentを導入していないWindowsインスタンスでもスキャンが可能になりました。
また、OSに加えて以下のアプリケーションも検出対象に含まれます。
- WordPress
- Apache HTTP Server
- Pythonパッケージ
- Ruby gems
設定変更は不要です。 既存の環境でも自動的に新しいソフトウェアのファインディングが生成されるようになります。
なお、エージェントレスのスキャン頻度は通常24時間程度の間隔です。リアルタイム性の高い脆弱性管理が求められる環境では、引き続きエージェントベーススキャンの利用を検討してください。
2. KBベースのファインディング(Windows)
もうひとつの変更が、WindowsのファインディングがCVEベースからKBベースに変わる点です。
従来は1つのWindowsパッチ(KB)が複数のCVEに対応している場合でも、CVEごとに個別のファインディングが生成されていました。これが運用上の煩雑さにつながっていました。
今回から、1つのKBに関連する複数のCVEが1件のファインディングに統合されます。
KBファインディングには以下が含まれます。
- 関連CVEの中で最も高いCVSSスコア・EPSSスコア
- exploit情報
- 該当するMicrosoft KB記事への直リンク
「どのパッチをあてればいいか」が一目でわかるようになります。
既存のCVEベースのWindowsファインディングは自動的にKBベースの形式で表示されるようになります。 こちらも追加対応は不要です。
実際に試してみた
Windows Server 2022 BaseのAMIを使い、SSM Agentを無効化した状態でエージェントレススキャンを試してみました。
スキャンモードの確認
Inspector → 設定 → EC2スキャン設定 でスキャンモードが「ハイブリッド」になっていることを確認します。
ハイブリッドモードでは、SSM Agentが動いているインスタンスはエージェントベースで、SSM Agentが止まっているインスタンスは自動的にエージェントレスでスキャンされます。
注意:AWS Organizationsを利用している場合、スキャンモードの変更はdelegated administratorアカウントから行う必要があります。メンバーアカウントからはUIでの変更もCLIでの変更も権限エラーになります。
個人アカウントや独立したアカウントでは、新規にInspectorを有効化するとデフォルトでハイブリッドモードになっています。
Resource Coverageで確認
Resource Coverageの画面で確認すると、「使用中の監視」列が「エージェントレス」になっていることが確認できます。
ファインディングの確認
スキャン完了後、ファインディング一覧を確認すると、CVEベースのファインディングに混じってKBベースのファインディングが出ていました。
KBファインディングの詳細
KB5034272の詳細を開くと、以下の情報が確認できます。
- 脆弱性ID:KB5034272(MicrosoftのKB記事への直リンク付き)
- Inspectorスコア:9.1(Critical)
- EPSS:0.9374(悪用される可能性の推定値:約93.7%!!)
- 関連するCVE:CVE-2024-21312、CVE-2024-0057、CVE-2023-36042、CVE-2024-29059、CVE-2024-0056
1つのKBに5つのCVEが紐づいており、「KB5034272をインストールすればこれらすべてが解消される」ということが一目でわかります。従来のCVEベースであれば5件のファインディングとして表示されていたものが、1件に集約されています。
メリット
1. カバレッジの向上
エージェント未導入のインスタンスも含めてスキャン可能になるため、「見えていないリスク」を減らせます。特に検証環境や一時的なインスタンスでの導入漏れがなくなる点は大きいです。
2. 運用負荷の低減
エージェントの導入・更新・トラブル対応が不要になるため、運用コストを削減できます。スキャン後は自動クリーンアップされるため、追加のコストも最小限です。
3. Windowsのパッチ管理が直感的に
KBベースの統合により、「このKBをあてれば何件のCVEが解消されるか」が明確になります。パッチ適用の優先順位判断がしやすくなります。
注意点
1. リアルタイム性はない
スキャン頻度は通常24時間程度の間隔です。即時検知が必要な環境ではエージェントベースを併用してください。
2. ランタイム情報は取得できない
実行中プロセスやメモリ上の挙動などは対象外です。
3. 完全な代替ではない
エージェントによる詳細スキャンと比べると、取得できる情報には限りがあります。
4. Organizationsを使っている場合はスキャンモードの設定に注意
delegated administratorアカウントからの設定変更が必要です。メンバーアカウントからは変更できません。
エージェントとの使い分け
| 項目 | エージェントレス | エージェント |
|---|---|---|
| カバレッジ | 高い(未導入も含む) | 漏れやすい |
| 検出精度 | 中 | 高 |
| 即時性 | 低(24時間ごと) | 高(6時間ごと) |
| 運用コスト | 低 | 高 |
現実的な設計は、
- 全体はエージェントレスでカバー
- 重要なサーバはエージェントで詳細監視
というハイブリッド構成になるかと思います。
まとめ
今回のアップデートのポイントは2つです。
- エージェントレスのWindows対応:Windows OSのパッケージに加え、WordPress・Apache・Python・Rubyも対象に
- KBベースのファインディング統合:複数CVEが集約され、対応パッチが一目でわかるように
いずれも設定変更なしで自動的に有効になります。「エージェントを入れていないから見えていなかったリスク」を拾えるようになる点で、特にWindows環境を多く抱える組織には実務的な価値が大きいアップデートです。
おわりに
エージェントレスという選択肢が広がったことで、脆弱性管理のハードルは下がりました。一方で、エージェントが完全に不要になるわけではなく、適切な使い分けが引き続き重要です。 まずはエージェントレスで全体を把握し、必要に応じてエージェントで深掘りする、という設計が今後の主流になっていくと思います。
