Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
Search
アキキー | Akihisa Ikeda
May 20, 2026
Programming
240
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
アキキー | Akihisa Ikeda
May 20, 2026
More Decks by アキキー | Akihisa Ikeda
See All by アキキー | Akihisa Ikeda
ECSアプリログをFireLensでコスト削減しようとしたけど諦めた話 in Fargate×Node.js
akihisaikeda
2
3.9k
AWSはOSSをどのように 考えているのか?
akihisaikeda
1
150
最初からAWS CDKで技術検証してもいいんじゃない?
akihisaikeda
4
230
責任感のあるCloudWatchアラームを設計しよう
akihisaikeda
4
240
AWS CDKの推しポイントN選
akihisaikeda
1
320
地獄絵図!CDKプロジェクトを手動更新して生まれた大量のプロパティ差分を解消する方法
akihisaikeda
5
1.1k
AWS CDK初期設定のプラクティス集 with Projen
akihisaikeda
2
480
AWS CDKの推しポイント 〜CloudFormationと比較してみた〜
akihisaikeda
4
760
AI生成記事をリライトし満足度を上げようとしたら大変だった話
akihisaikeda
0
63
Other Decks in Programming
See All in Programming
AIで効率化できた業務・日常
ochtum
0
120
CLIであることを活かしたGitHub Copilot CLI活用術 / GitHub Copilot CLI Pro Tips & Tricks
nao_mk2
1
1.2k
気づいたらRubyで100作品 ー クリエイティブコーディングが生活の一部になるまで / 100 Ruby Sketches Later: How Creative Coding Became Part of My Life
chobishiba
3
550
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
terryu16
0
250
ユニットテストの先へ:テスト技法で要求・仕様を整理するJava開発実践 / Beyond_Unit_Testing_Practical_Java_Development_Techniques_for_Organizing_Requirements_and_Specifications
shimashima35
0
380
不変条件と整合性境界—ビジネスが決める設計判断と実現パターン / Invariants and Consistency Boundaries
nrslib
13
3.6k
Claspは野良GASの夢をみるか
takter00
0
180
dRuby over BLE
makicamel
2
330
Vite+ Unified Toolchain for the Web
naokihaba
0
170
AIチームを指揮するOSS「TAKT」活用術 / How to Use “TAKT,” an OSS Tool for Orchestrating AI Teams
nrslib
6
850
Webフレームワークの ベンチマークについて
yusukebe
0
150
JJUG CCC 2026 Spring: JSpecify で実現する Kotlin フレンドリーな Java API 設計
ternbusty
1
150
Featured
See All Featured
Producing Creativity
orderedlist
PRO
348
40k
The browser strikes back
jonoalderson
0
1.2k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.8k
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
4k
How STYLIGHT went responsive
nonsquared
100
6.2k
Paper Plane (Part 1)
katiecoart
PRO
0
8.7k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
270
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
230
Scaling GitHub
holman
464
140k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
580
The Spectacular Lies of Maps
axbom
PRO
1
790
Transcript
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた 2026.5.20 池田 晃尚(@akikii__)
アキキー | 池田 晃尚 株式会社メイツ バックエンドエンジニア / SRE 推しサービス AWS
CDK AWS CDKへのコントリビュート 8件 JAWS-UG CDK支部運営
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath → たくさんのツールがサプライチェーン攻撃による侵害を受けています!
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは SBOMを利用してコンテナイメージへの影響範囲を 一瞬で特定する方法を紹介します!
SBOM?
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0"
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0" ECR拡張スキャンを利用すると SBOMをエクスポートできる!
ECR拡張スキャン?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) ECRイメージスキャン(拡張スキャン)とは?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) OS・パッケージ/ライブラリの脆弱性を検出 脆弱性DBにCVEが追加されるとスキャン(継続スキャンの場合) コンテナイメージの SBOM をエクスポートできる ECRイメージスキャン(拡張スキャン)とは? ※
ECRベーシックスキャン、プッシュスキャンはSBOMエクスポート非対応
サプライチェーン攻撃の影響範囲を調査する
SBOM なし SBOM あり 攻撃が公表される イメージごとに手動で調査 する SBOM を横断検索して影響イ メージを抽出
対策を行う サプライチェーン攻撃の影響範囲調査(例)
アーキテクチャ CI/CDで拡張スキャンのAPIを呼び出してSBOMをエクスポート
影響調査デモ AthenaでSBOMを検索して影響調査を行う 0:00 / 0:17
まとめ SBOMを横断で検索する仕組みを作ると サプライチェーン攻撃の影響調査が爆速で 終わる!!!
宣伝
AWS CDK Conference Japan 2026 7.18(土) 開催決定! JAWS-UG CDK支部 主催
詳細は近日公開予定 Call for Proposal 登壇者募集中! (5/31 23:59まで)
株式会社メイツ Mates Inc. AWS Summit Japan 2026 2026.6.25 (木) –
26 (金) 幕張メッセ S P E A K E R A N N O U N C E M E N T 弊社チーフエンジニアが AWS Summit Japan に登壇します S P E A K E R 後藤 健太 AWS DevTools Hero 株式会社メイツ / Chief Engineer D E V 3 5 2 B R E A K O U T S E S S I O N 2026.6.26 (金) 13:40 – 14:10 幕張メッセ Hall 4 / Room 11
リードエンジニア(バックエンド/フロントエンド/SRE) 積極採用中 株式会社メイツ Mates Inc. カジュアル面談はこちら
Thank You! \ ご清聴ありがとうございました! /
akihisaikeda
ochtum
nao_mk2
chobishiba
terryu16
shimashima35
nrslib
takter00
makicamel
naokihaba
yusukebe
ternbusty
orderedlist
jonoalderson
aleyda
inesmontani
raygrieselhuber
nonsquared
katiecoart
cassininazir
.png){kind=avatar}
helenjbeal
holman
baasie
axbom
