AWS SSM Agent の自動更新を推奨する理由とその設定方法

マネージドサービス部佐竹です。
本日は AWS Systems Manager Agent の自動更新が推奨される理由2点と、その設定方法をお伝えします。

はじめに
- Agent のバージョンアップによる機能追加
- Agent の自動更新が推奨される理由のまとめ
SSM Agent 自動更新の設定方法
AWS SSM デフォルトホスト管理設定を利用している場合
参考資料
まとめ

はじめに

自動更新が推奨される理由、その1つ目がまず「セキュリティ」です。

具体的に、ここ最近明らかになった情報として、2025年4月8日頃に公開されました AWS Systems Manager Agent (SSM Agent) の脆弱性についてその概要をお伝えいたします。

また、本情報については以下のサイト等の情報を参考にしています。

Amazon EC2 SSM Agent Flaw Patched After Privilege Escalation via Path Traversal thehackernews.com
Path Traversal Vulnerability in AWS SSM Agent's Plugin ID Validation cymulate.com

AWS SSM Agent の Plugin ID の検証処理において、Path Traversal の脆弱性が発見されました。

悪意のある Plugin ID を含む SSM ドキュメントを実行することで、ファイルシステム上の予期せぬ場所にディレクトリが作成され、最終的には root 権限で任意のスクリプトが実行される可能性があります。この脆弱性の原因は、Plugin ID の検証を行う ValidatePluginId 関数における入力のサニタイズ処理の不備とされています。

本脆弱性は、2025年3月5日にリリース済の Amazon SSM Agent の最新バージョンである 3.3.1957.0 で修正されています。

Agent のバージョンアップによる機能追加

自動更新が推奨される理由の2つ目が「機能追加」です。

AWS Systems Manager では定期的な新機能の追加が行われています。この新機能を利用するにあたり、最新バージョンの AWS SSM Agent が必要な場合があります。

例えば、この後紹介する AWS SSM Agent の自動更新ですが、この機能も一定のバージョン以下の SSM Agent では利用できません。他にも IMDSv2 へと対応するには、対応しているバージョン以上の SSM Agent の利用が必要です。

Agent の自動更新が推奨される理由のまとめ

これらの通り「セキュリティ」と「機能追加」という2つの重要な観点から、AWS SSM Agent のバージョンは常に最新を維持するのが推奨される状況です*1。

では、これをどのように設定すれば良いでしょうか？

実はこの設定は、非常に簡単です。以下、マネジメントコンソールから設定する方法をご紹介します。

SSM Agent 自動更新の設定方法

AWS Systems Manager の Fleet Manager には SSM Agent の自動アップデート設定が存在します。

Fleet Manager の設定画面から「Auto update SSM Agent」を有効にするだけで、AWSアカウント内の全てのマネージドノードに対して、最新バージョンの SSM Agent が自動的にチェックされ、必要に応じてアップデートが実行されます。

具体的な設定手順

最初に、AWS Systems Manager のコンソールを開きます。

https://console.aws.amazon.com/systems-manager/

次に画面左端のメニューから「Fleet Manager/フリートマネージャー」を開きます。

画面右上にある「Settings/設定」のタブを開きます。

メニューの一覧から「Auto update SSM Agent/SSM エージェントの自動更新」を選択して開きます。

画面右下に出る「Auto update SSM Agent/SSM エージェントの自動更新」を押下します。

画面上部に「すべてのインスタンスについてエージェントの自動更新が正常に有効化され、～が作成されました。」と表示されれば完了です。

設定の確認方法とその仕組み

本設定の完了後、もう一度「SSM エージェントの自動更新」を押下すると、現在の設定が確認できます。

デフォルトでは「14日に1回」の頻度で最新の SSM Agent がインストールされます。必要に応じて、設定変更も可能です（今回、具体的な設定変更の方法は割愛させて頂きます）。

本仕組みが「裏側でどうなっているのか？」について少し記載しますと、SSM の状態を保つ「ステートマネージャー」で「SystemAssociationForSsmAgentUpdate」の名前で定期実行のスケジュールが組まれます。

これにより定期実行されるものが「AWS-UpdateSSMAgent」のドキュメントであり、ドキュメントの実行結果は「Run Command」としてその履歴が残ります。

本設定を行うとすぐに一度「AWS-UpdateSSMAgent」ドキュメントが全マネージドノードに実行され、「Run Command」で履歴が見られますため、必要に応じてご覧ください。

Successfully downloaded manifest
Successfully downloaded updater version 3.3.1957.0
Updating amazon-ssm-agent from 3.3.1957.0 to 3.3.1957.0
amazon-ssm-agent 3.3.1957.0 has already been installed
update skipped

なお、該当のステートマネージャーの「実行履歴」を確認することで、これまでの結果を追って確認することが可能です。

上画像の履歴は一例ですが、14日に1回の頻度で実際に「AWS-UpdateSSMAgent」が実行されていることが確認できています。

SSM Agent バージョンの確認方法

各 EC2 インスタンスにインストールされている SSM Agent のバージョンは「フリートマネージャー」のマネージドノード一覧にある「エージェントのバージョン」を確認することで判断が可能です。

今現在は 3.3.1957.0 となっていれば最新バージョンであることがわかります。

補足

自動更新が行えず、各 EC2 インスタンスの内部から手動でアップデートが必要な場合は、以下でご紹介します公式ドキュメントの「SSM Agent を手動でインストールおよびアンインストールする」をご確認ください。

AWS SSM デフォルトホスト管理設定を利用している場合

以下のブログでもご紹介しております「AWS SSM デフォルトホスト管理設定（Default Host Management Configuration setting）」をご利用されている場合、Enable automatic updates of the SSM Agent every two weeks の設定を有効化さえしていれば、「AWS-UpdateSSMAgent」が定期的に実行される設定も同時に行われます。

blog.serverworks.co.jp

詳しくは上記のブログ内に記載されている Enable automatic updates of the SSM Agent every two weeks についての設定をご確認ください。

このため、「AWS SSM デフォルトホスト管理設定」を「本オプション有り」で既に組織でご利用されているような場合には、本 AWS SSM Agent の自動更新設定を個別に追加頂く必要はございません。

上画像は実際に「AWS SSM デフォルトホスト管理設定」を利用している環境から取得した画面キャプチャですが、「AWS-QuickSetup-DHMC-UpdateSSMAgent-xxxxx」として、「AWS-UpdateSSMAgent」が設定されていることがわかります。なおこの設定でも、今回と同様に「rate(14 days)」のスケジュール式となっており、14日間に1回の自動更新となります。