はじめに
「また脆弱性が見つかった…今度はどのサーバーが影響を受けるんだ?」
ある月曜日の朝、インフラ担当のAさんは、セキュリティアラートのメールを見て頭を抱えていました。
管理している数十のAWSアカウント、多数のEC2インスタンス。
それぞれの管理者に連絡を取り、影響範囲を調査し、報告書をまとめる…。
この作業だけで丸一日が潰れてしまいます。
「もっと効率的に調査できる方法はないだろうか?」
そんなお悩みを解決してくれるのが「Amazon Quick Suite Flows」です。これを使えば、朝のコーヒーを飲んでいる間に脆弱性の影響調査レポートが自動作成されます。
本記事では、プログラミング不要で、自然言語で指示することによって複雑なワークフローを構築できるAmazon Quick Suite Flowsを活用し、Red Hat系Linuxの脆弱性影響調査を完全自動化する方法をご紹介します。
今回想定している利用者について
ペルソナ
- 社内システムのインフラ担当者(セキュリティ担当を兼務しているが、各サービスの管理者ではない)
社内システムのインフラの特性および管理方法
- 管理しているAWSアカウントは50アカウント存在する。
- 各AWSアカウントにはEC2インスタンスが多数あり、管理者(サービス主管)はそれぞれ異なる。
- EC2インスタンスはLinux(Red Hat)が利用されている。
- インフラ担当者は基本的にEC2インスタンスにアクセスすることを許可されておらず、アクセスする場合は別途申請が必要となる。
課題
- OSやミドルウェアで緊急度の高い脆弱性が発見された際、影響調査および影響を受ける対象EC2インスタンスの特定に時間がかかる
解決手段の全体像
構成
前提
以下のブログの手順に従って、Amazon Quick Suite でEC2インスタンスのインベントリ情報を一元管理できるようにしておきます。
Amazon Quick Suite Flows について
Amazon Quick Suite Flowsは、コーディング不要のインターフェースを通じて、データ分析、AI応答、アクション実行を統合するワークフロー自動化機能です。
この機能の最大の特徴は、自然言語での指示だけでワークフロー(Flows)を作成、カスタマイズ、共有できる点です。AIチャットエージェントとの会話や、要件を文章で説明するだけで、自動化ロジックを構築できます。
実際に脆弱性影響調査を自動化してみる
1. Amazon Quick Suite Flows を作成する
まずは、Amazon Quick Suite のコンソール画面から、フローを作成します。
今回は以下のプロンプトを入力として与え、フローを生成します。
STEP1. Red Hat Customer Portal(https://access.redhat.com/security/security-updates/security-advisories?q=&p=1&sort=portal_update_date+desc&rows=10&portal_advisory_type=Security+Advisory&documentKind=Errata&portal_severity=Critical)にアクセスする STEP2. Severity が Critical の脆弱性の内容を確認する STEP3. ダッシュボード(ec2-instance-app-inventory)を検索して、脆弱性の影響を受けるEC2インスタンスをリストする
すると、Amazon Quick Suite がプロンプトに応じたフローを以下のように自動生成してくれます。
作成したフロー処理の流れ
- Red Hat Customer Portal にアクセスして公開されているSecurity Advisoriesをチェックする。
- Severity が Critical のAdvisoryについて詳細に分析する。
- EC2のインベントリ情報を取得する。
- 「2」と「3」を照合して、パッチ適用の必要性がある(影響を受ける可能性がある)EC2インスタンスを特定してレポートする。
補足事項
フローの1つ目のステップ「Red Hat Customer Portal にアクセスして公開されているSecurity Advisoriesをチェックする。」では、「UIエージェント」と呼ばれるステップを利用しています。これは、ユーザーが自然言語で指示するだけで、ユーザーに代わってウェブブラウザ上の操作を自動的に実行するAIエージェントです。なお、2025年12月5日時点では、「UIエージェント」はプレビュー機能となっています。
2. Amazon Quick Suite Flows を実行する
Amazon Quick Suite Flows には動作確認ができる「実行モード」がありますので、これを用いて動作確認を行います。
処理1. Red Hat Customer Portal にアクセスして公開されているSecurity Advisoriesをチェックする。
検索結果として「Critical: lasso security update」に関する3個のAdvisoryについて、まとめられていました。
実際にRed Hat Customer Portal を確認すると「Critical: lasso security update」に関するAdvisoryは10個ありましたが、いずれも検索結果の要約に記載されていた「CVE-2025-47151」に関連するものでした。
Summary: All three critical vulnerabilities are related to the same CVE-2025-47151 affecting the lasso library across different Red Hat Enterprise Linux versions and architectures. The vulnerability involves type confusion in Entr'ouvert Lasso and affects SAML-based federation handling.
要約:3つの重大な脆弱性はすべて、異なるRed Hat Enterprise Linuxバージョンおよびアーキテクチャにわたるlassoライブラリに影響を与える同一のCVE-2025-47151に関連しています。この脆弱性はEntr'ouvert Lassoにおける型混同を伴い、SAMLベースのフェデレーション処理に影響を及ぼします。
Red Hat Customer Portal は1ページあたり10個のAdvisoryを表示しているので、フローのプロンプトには「10個検索して」など、具体的に指示した方がよいかもしれません。
処理2. Severity が Critical のAdvisoryについて詳細に分析する。
「脆弱性の概要」「対象パッケージ」「影響を受けるRHELバージョン」が記載されています。
「推奨される対策とパッチ情報」として、実際のパッチ適用コマンド(yum)やパッケージの確認コマンド(rpm)が記載されており、情報量としては問題なさそうです。
処理3. EC2のインベントリ情報を取得する。
事前作成したインベントリ情報のダッシュボード(ec2-instance-app-inventory)をデータソースにして、EC2インスタンスの情報をきちんと取得しています。
処理4. パッチ適用の必要性がある(影響を受ける可能性がある)EC2インスタンスを特定してレポートする。
「インスタンス別脆弱性影響分析」として、インスタンスごとのリスク評価や対応緊急度をテーブル形式で整理してくれており、非常に分かりやすいです。
一方で、「重要な注意事項」として以下の記述がありました。
lassoパッケージの詳細確認が必要: 現在のインベントリデータでは、各インスタンスにlassoパッケージがインストールされているかの詳細情報が不足しています。以下の分析は、Red Hat系OSの使用状況に基づいた潜在的リスク評価です。
インスタンスのインベントリ情報が不足していることから、詳細な分析ができていないようです。
そこで、チャット画面を開いて追加質問をしてみます。
lassoパッケージの詳細確認をするためには、どのようなインベントリデータが必要ですか?現状、SSM Inventoryで「AWS:Application」のみ取得しています。
どうやら、「AWS:Application」インベントリだけでは不十分であり、他のインベントリ情報も収集しておく必要があることが分かりました。以降は「必要な追加インベントリタイプ」に列挙されているものについても、Amazon Quick Suite のQuickSightでダッシュボードを作成し、スペースのナレッジに追加しておけばきちんと分析してくれそうです。
このように、実行したフローの処理結果に対しても、チャットで質問できるのがAmazon Quick Suite Flows の良い点だと思います。
その他、「実行すべき確認コマンド」や「実行計画」についても触れられており、レポートとしては十分な内容だと感じました。
3. 作成したフローをスケジュール実行する
Amazon Quick Suite Flows では、作成したフローをスケジュール実行することが可能です。
今回は平日の朝7時にフローを実行するようにスケジュール実行しました。
設定したスケジュールジョブは、Active / InActive が可能です。
設定した時間になると、フローが自動的に実行され、Amazon Quick Suite に登録しているメールアドレス宛に完了通知が送信されます。あらかじめAmazon Quick Suite にログインしておく必要はありますが、「実行を表示」をクリックすると、フローの実行結果を閲覧することができます。
これなら、朝に出社してPCを開き、メールチェックをする流れで調査レポートを確認する習慣が身に付きそうです。
まとめ
本記事では、Amazon Quick Suite Flowsを活用した脆弱性影響調査の自動化について解説しました。
実現できたこと
| 項目 | 従来 | Amazon Quick Suite Flows活用後 |
|---|---|---|
| 脆弱性情報の収集 | 手動でポータルを確認 | 自動収集・分析 |
| 影響範囲の特定 | 各インスタンスに個別アクセス | インベントリ情報から自動判定 |
| 調査レポート作成 | 手作業で整理 | AI が自動生成 |
| 実行タイミング | 不定期 | 毎朝7時に自動実行 |
| 所要時間 | 数時間~数日 | 数分(自動) |
ポイント
自然言語でワークフロー作成
- プログラミング不要で複雑な処理を自動化
- プロンプトの工夫で精度向上が可能
UIエージェント機能の活用
- ログイン不要の公開サイトから情報取得
- ※プレビュー機能のため、本番利用時は最新情報を確認
インベントリ情報の充実が鍵
- 「AWS:Application」だけでは不十分
- 「AWS:PatchSummary」「AWS:InstanceInformation」なども収集推奨
対話型の改善サイクル
- 実行結果に対してチャットで追加質問可能
- 不足情報の特定と改善が容易
汎用的な利用について
この仕組みをベースに、以下のような拡張も検討できそうです。
- 他のOSディストリビューション対応(Ubuntu、Amazon Linux等)
- 定期的なコンプライアンスレポート生成
Amazon Quick Suite Flowsは、インフラ担当者の「定型的だが重要な作業」を自動化し、より戦略的な業務に時間を使えるようにする強力なツールです。ぜひ、皆さんの環境でも活用してみてください。
山﨑 翔平 (Shohei Yamasaki) 記事一覧はコチラ
カスタマーサクセス部所属。2019年12月にインフラ未経験で入社し、AWSエンジニアとしてのキャリアを始める。2023 Japan AWS Ambassadors/2023-2024 Japan AWS Top Engineers
