title: “Prowler / ScoutSuite によるクラウド評価” part: “Part 6” chapter: “6-3”
Prowler / ScoutSuite によるクラウド評価
本章では、AWS 環境を中心としたクラウドセキュリティ評価ツールである Prowler と ScoutSuite の概要と、Pentest における活用方法を整理する。ツールのバージョンや対応サービスは頻繁に更新されるため、本書では 2024 年時点の一般的な機能を前提とし、概念レベルで説明する。
本章のゴール
- 前提:クラウド基盤の構成要素(IAM / VPC / S3 等)と、評価目的(攻撃チェーンへの影響)を把握している。
- 到達目標:Prowler / ScoutSuite の出力を「設定の健全性」ではなく「攻撃者の横展開を容易にする要素」として読み替え、優先度を付けて報告できる。
- 対応演習:合意された検証環境でツール出力を確認し、過剰権限・公開設定・監査不足など、影響の大きい指摘を抽出して整理する。
Prowler
Prowler は、AWS や他クラウドに対するセキュリティベースラインチェックツールであり、CIS ベンチマークや各種ベストプラクティスに基づいたチェックを自動で実行する。
代表的なチェック項目は次のとおりである。
- IAM ユーザ/ロールの設定(MFA、有効なアクセスキー、過剰権限など)
- S3 バケットの公開設定
- CloudTrail や Config の有効化状況
- セキュリティグループの開放状況
Pentest の文脈では、Prowler の結果を「クラウド構成の健全性評価」として利用し、アプリケーションレイヤの脆弱性と組み合わせたリスクを整理する。
ScoutSuite
ScoutSuite は、AWS / Azure / GCP など複数クラウドに対応したマルチクラウドセキュリティ評価ツールであり、ブラウザベースのレポートを生成する。
特徴としては次のような点がある。
- 各種サービス(EC2、RDS、IAM、S3 等)の設定状況を一覧化
- リソースごとのリスクと推奨事項を視覚的に表示
- 複数アカウント・リージョンにまたがる構成の俯瞰
Pentest チームとクラウド運用チームが共通のレポートを見ながら議論することで、「どの設定が攻撃チェーンにとって重要か」を合意しやすくなる。
単一クラウド(特に AWS)の CIS 準拠状況を手早く確認したい場合は Prowler が有用であり、マルチクラウド環境全体の構成を俯瞰しながら議論したい場合は ScoutSuite が有用である。本書では両者のいずれか一方に依存することを意図しておらず、評価目的や組織の環境に応じて使い分けることを前提とする。
図6-3: クラウド評価ツールの出力を「攻撃チェーン観点」に読み替える流れ(概要)
flowchart LR
AWS[AWS アカウント] --> Perm[合意された権限\n(原則 Read-only)]
Perm --> Tool[Prowler / ScoutSuite]
Tool --> Out[出力(指摘一覧)]
Out --> Triage[攻撃チェーン観点で整理\n(横展開に効く要素)]
Triage --> Report[報告・改善タスク化]
図6-3 のように、ツールの出力(指摘一覧)は「構成の健全性」そのものではなく、侵害後の横展開や権限拡大に効く要素を抽出する入力として扱うと、Pentest の成果物(攻撃チェーン、優先度付きの改善提案)に接続しやすい。
ツール利用時の考慮事項
これらのツールは強力だが、次の点に注意する必要がある。
- 実行には対象アカウントの認証情報(アクセスキーやロール)が必要であり、事前の合意とアクセス制御が必須
- 出力結果は膨大になりがちで、すべてを Pentest の範囲で扱うことは現実的でない
- ベストプラクティスからの逸脱が「必ずしも直ちに exploitable な脆弱性」とは限らない
Pentest では、「アプリケーションからの侵害を前提として利用されうる設定」や「攻撃者の横展開を容易にする設定」にフォーカスして、優先度を付けて報告することが重要である。
次に読む章
本章のポイント
- Prowler はベースライン(CIS 等)確認、ScoutSuite は構成の俯瞰とレポーティングに強みがあり、目的と環境に応じて使い分ける。
- ツール結果は運用チームとの共通言語として有用だが、出力が膨大になりやすいため、攻撃チェーンに効く設定に焦点を当てて整理する。
- 認証情報の扱い、事前合意、アクセス制御を前提にしつつ、ベストプラクティス逸脱を機械的に「脆弱性」と断定せずに評価する。