こんにちは、小寺です。
Amazon InspectorのエージェントレススキャンモードがGAになりました。
https://aws.amazon.com/about-aws/whats-new/2024/04/amazon-inspector-agentless-vulnerability-assessments-ec2-ga/

Inspector使っている方も多くいらっしゃると思います。SSMを有効にして使い始めるイメージだったAmazon Inspectorですが、昨年のre:Inventで発表されたエージェントレスなスキャンにも対応しました! EC2スキャンでは「ハイブリッド スキャン モード（エージェントレススキャン）」と「エージェントベーススキャンモード」の2つが提供され、GAになった 「ハイブリッド スキャン モード（エージェントレススキャン）」 が利用できることで、SSMがインストールされていない環境でも、Inspectorでのカバー率を100％にすることができるようになりました。SSMが入っていないと利用ができなかった現状と比較するとセキュリティレベルも向上したと言えるかと思います。

GAになったエージェントレスなモードについては、Inspectorの「全般設定」の「 EC2 scanning settings 」から確認することができます。

元々の設定がされているので「Scan Mode」は「Agend based」と表示がされます。

「編集」をクリックします。「Hybrid」が表示されるようになりました！「Hybrid」を選択して、「保存」をクリックします。

Hybridへの変更中です。

無事にHybridスキャンモードへ変更されました。

2つのモードの比較

スキャン対象

・エージェントベーススキャンモードでは、 SSM エージェントがインストールおよび構成されているEC2インスタンスのみをスキャン
・ハイブリッド スキャン モードでは、全てのEC2インスタンスが対象

スキャンするときの脆弱性評価

・エージェントベーススキャンモードはSSM エージェントに依存してインスタンスから情報を収集して脆弱性評価
・Inspector は EBS ボリュームのスナップショットを取得して、インスタンスからソフトウェア アプリケーション インベントリを収集し、脆弱性評価を実行

エージェントレススキャンの特徴

・サポートされるOSはこちらから確認できます。
・ボリュームの暗号化に使用される AWS KMS キーに InspectorEc2Exclusion タグを付けることで、暗号化された EBS ボリュームをエージェントレス スキャンから除外できます。
・EBSのファイルフォーマットが、ext3、ext4、xfsの3つがサポートされます。
・スキャンは24時間ごとで、新規にインスタンスが追加された場合は1時間ごとにスキャンされます。

今日はAmazon Inspectorのエージェントレススキャンについて、お伝えしました。推奨としては、ハイブリッドスキャンを有効にして、スキャン対象を増やすことが良いと思います。