AWSのセキュリティ監視に向けて:主要OSSアセスメントツールの特徴と概要比較 〜AWS Service Screener V2 / Prowler / Steampipe の特性調査〜
2026.04.30
- AWS
- クラウド
- セキュリティ
はじめに(概要)
Re:Q Techブログをご覧いただきありがとうございます。 クラウド&ネットワーク技術統括部のN.Tです。
AWS環境を利用・運用するにあたり、セキュリティアセスメント(現状の構成がベストプラクティスに沿っているかの監査)の仕組みづくりは重要です。
しかし、手作業では到底追いつかず、ツール化を検討し始めても様々なOSS(オープンソースソフトウェア)ツールが存在しており、「結局どれを選べばいいの?」と迷う方も多いかと思います。
本記事では、本格的な実機検証に入る前の事前レイヤーとして、代表的なAWS向けセキュリティ監査OSSツールである 「AWS Service Screener V2」「Prowler」「Steampipe」 の3つをピックアップしました。各ツールの特性やアーキテクチャの違い、対応フレームワークなどについて概要調査を行い、比較・整理します。
比較一覧表
| 比較項目 | AWS Service Screener V2 | Prowler Check | Steampipe |
|---|---|---|---|
| ツール概要 | AWS特化のベストプラクティス・セキュリティチェックツール | マルチクラウド対応の統合セキュリティ評価・監査ツール(デファクトスタンダード) | クラウド設定をSQLでクエリして確認できる「ゼロETL」ツール |
| 主な強み・特徴 | 【AWS特化の基準チェック】 業界標準の評価に加え、AWS独自のベストプラクティス(Well-Architected等)に特化したチェックが可能 |
【幅広い環境の網羅的監査】 対応サービス数が最も多く、マルチクラウドを含めた包括的なセキュリティ基準の監査に優れている |
【独自のカスタム探索】 SQLを用いた直感的な操作により、独自の監査ルール作成や柔軟なリソース探索に優れている |
| AWS環境の実行コスト | APIコール料金 (通常数ドル以下程度) | APIコール料金 (通常数ドル以下程度) | APIコール料金 (通常数ドル以下程度) |
| ツール利用費用(SaaS) | なし (完全無料OSS) | 月額$49~$99/クラウドアカウント (OSS CLI版は無料) | 月額$19/ユーザー (OSS CLI版は無料) |
各種ツールの詳細
1. AWS Service Screener V2
要約
- AWS Service Screener V2ではCISやNISTなどの業界標準とされるセキュリティ基準の他に、AWSのベストプラクティスに基づいているかどうかをチェックできます。
- +αでAWS環境特化のチェックが行われるため、AWS環境を利用している場合では採用価値あり
1-1. 特徴
以下のようなセキュリティ基準(フレームワーク・ガイドライン)によるチェックが可能
- AWS Well-Architected Framework: 6つの柱(運用、セキュリティ、信頼性、パフォーマンス、コスト、持続可能性)をカバー。
- AWS Foundational Technical Review (FTR): パートナー認定に必要な技術基準。
- AWS Startup Security Baseline (SSB): スタートアップ向けの最小限かつ強力なセキュリティ基準。
- CIS Benchmark / NIST 800-53: 業界標準のセキュリティ要件。
AWS Well-Architected Toolとの連携が可能
- 作成したアーキテクチャがAWS Well-Architected フレームワークに則った設計になっているかを設問に答えることでチェックすることができるツール
- Screenerのスキャン結果を本ツールに渡すオプションがあり、いくつかの設問内容の回答が省略可能。
zipファイルとして出力され、レポートはhtml形式で出力される
参考:service-screener-v2(frameworks)
参考:AWS Well-Architected Tool とは
1-2. サポート対象サービス
- v2では以下のサービスをサポートしています。
- コンピューティング: EC2, Lambda, EKS
- ストレージ: S3, EFS
- データベース・分析: RDS, DynamoDB, ElastiCache, Redshift, OpenSearch
- ネットワーキング: API Gateway, CloudFront
- メッセージング: SQS
- セキュリティ・ガバナンス: IAM, KMS, CloudTrail, GuardDuty, CloudWatch
参考: service-screener-v2(services)
1-3. コスト
- 実行時にAWS APIが使用されるため、APIコール料金がかかります。
- API コール料金: 約0.01ドル以下/回
- CloudShellを利用してツールを動かす場合はCloudShellの利用料金分のコストが発生します。
- AWS CloudShell 使用料: 無料(月 1 GB、12 時間まで)
参考: すぐに始められるセキュリティレポート作成 - Service Screener v2とAWSセキュリティフレームワークの活用
1-4. 導入方法
- AWS CloudShell: ソースコードのREADMEより、CloudShell上でセットアップし動かす手順の記載があり。
- Docker: コンテナ化してローカル環境で実行することもできます。
1-5. 前提条件
- 既存のAWSアカウント
- 十分な読み取り権限を持つIAMユーザーの用意(サンプルポリシーあり)
- AWSクラウドシェルフルアクセス
- cloudformation:スタックの作成
- cloudformation:スタックの削除
クロスアカウント操作を実行する場合のみ
- iam:SetSecurityTokenServicePreferences
ローカル環境では、以下が必要
- Gitがインストール済みであること
- Python インストールされていること(明示的なバージョン指定なし)
- pip(Python パッケージ管理システム)がインストールされていること
参考: Prerequisites
2. Prowler Check
要約
- Prowlerは、AWS、Azure、GCPなどのマルチクラウド環境において、セキュリティのベストプラクティス評価、監査、コンプライアンス対応を行うためのオープンソースツール
- デファクトスタンダードのツールにあたる
- AWSのサポート対象サービスを比較したところ、Prowler Checkの方が対象として記載されているサービス数がはるかに多い。
- ただし、AWS Well-Architected FrameworkのチェックはSecurity Pillarに限定
2-1. 特徴
主要なコンプライアンス基準に対応:
- CIS Benchmarks (AWS, Azure, GCP, Kubernetes)
- PCI-DSS, HIPAA, ISO-27001, SOC2
- NIST 800-53, NIST CSF
- AWS Well-Architected Framework (Security Pillar)
柔軟な出力形式:
- レポート用: HTML, CSV
- システム連携用: JSON, JSON-OCSF
- AWS統合: AWS Security Hub (ASFF形式) への直接送信が可能。
参考: セキュリティチェックフレームワーク
参考: Supported Output Formats
参考: AWS Security Hub Integration with Prowler
2-2. サポート対象サービス
AWSの主要なサービスを網羅しています。
- コンピューティング: EC2, Lambda, EKS, AppRunner
- ストレージ/DB: S3, RDS, DynamoDB, EBS, EFS, WAFv2
- ネットワーク: VPC, CloudFront, API Gateway, ELB
- セキュリティ: IAM, KMS, CloudTrail, GuardDuty, Secrets Manager
- その他: 30以上のAWSサービスと数百のリソースをサポート。
- ツールをインストールした上で
prowler aws --list-servicesコマンドを実行することで出力・確認することが公式推奨
参考: prowlerソースコード
参考: AWSサービス対応一覧
2-3. コスト
Prowler CLI (オープンソース版)
- ライセンス費用 : 無料
- 実行コスト: 実行時に大量のAWS APIをコールするため、わずかなAPI使用料が発生します(通常は数ドル以下)。
Prowler SaaS(Prowler Cloud)
- ダッシュボードや継続監視が必要な場合は有料プランが提供されています。
- ライセンス費用: 有料(サブスクリプション形態)
- Starterプラン: 対象クラウドアカウントあたり月額 $79
- Advancedプラン: 対象クラウドアカウントあたり月額 $99 (SSO対応)
- AWS Marketplace経由: 月額 $49(50,000リソースまで)
- 大規模向け(Enterprise)、シングルテナントSaaS(政府機関向け)の場合は要見積もり
参考: Prowler Official Website Pricing
参考: Prowler SaaS on AWS Marketplace
2-4. 導入方法
環境に合わせて以下の方法で導入可能
- pip(推奨): pip install prowler ですぐに実行可能。
- Docker: 公式イメージを使用して、環境を汚さずに実行可能。
- AWS CloudShell: インストール不要(または一時的なインストール)でブラウザから即座に実行可能。
- AWS Marketplace: 構築済みの環境をマーケットプレイスからデプロイ可能。
- Ubuntu, Amazon Linux2等にも導入可能
2-5. 前提条件
- Python 3.9 ~ 3.12がインストールされていること
- pipxもしくはpip(Python パッケージ管理システム)がインストールされていること
AWS, GCP, Azure, M365 and/or Kubernetes credentials
マルチアカウントを統合して調査する場合はAWS Organizations 管理アカウント、または CloudFormation の委任管理者権限を持つアカウントへのアクセスが必要
- 公式マニュアルに記載はないが、Service Screener V2同様にIAM権限の付与が必要な認識
参考: Installation
参考: 複数の AWS アカウントからの Prowler セキュリティ検出結果を統合したレポートを作成する
3. Steampipe 概要
要約
- Steampipeは、クラウドのAPIをSQLでクエリできるオープンソースの「ゼロETL」ツールです。
- AWS、Azure、GCPなどのリソース情報をPostgreSQLのテーブルとして扱い、使い慣れたSQL(SELECT文)で構成確認や監査が可能です。
- セキュリティ・コンプライアンス対応(CIS、NIST、PCI-DSS等)に特化した「Mod」と呼ばれる拡張機能が提供されており、Prowlerと同様に強力なセキュリティ診断ツールとして機能します。
- データの取得方法がSQLベースであるため、独自のカスタム監査ルールを作成しやすいのが最大の特徴です。
3-1. 特徴
- SQLによるクラウド管理:
select * from aws_s3_bucketのように、SQLを投げるだけでリソース情報を取得可能です。
- 多様なコンプライアンス Mod:
- AWS Compliance Modにより、以下の基準への適合性を自動診断します。
- CIS AWS Foundations Benchmark
- AWS Foundational Security Best Practices
- NIST (800-53, CSF), PCI-DSS, SOC2, HIPAA等
- AWS Compliance Modにより、以下の基準への適合性を自動診断します。
- 高速なスキャンと可視化:
- 内部でPostgreSQLを使用しており、リレーション(IAMユーザーとポリシーの紐付けなど)を高速に処理します。
- HCLで記述されたダッシュボード機能により、Webブラウザ上でリソース状況をグラフ表示可能です。
- マルチクラウド・マルチソース:
- AWSだけでなく、GitHub、Okta、Slack、TerraformファイルなどもSQLで横断的に検索可能です。
参考: Steampipe Official Website
参考: Steampipe AWS Compliance Mod (GitHub)
3-2. サポート対象サービス
AWSのほぼ全てのサービスを網羅しており、3,000種類以上のテーブルをサポートしています。
- 主要なサポート範囲:
- コンピューティング: EC2, Lambda, EKS, ECS, App Runner
- ストレージ・DB: S3, RDS, DynamoDB, ElastiCache, Redshift
- ネットワーク: VPC, Route53, CloudFront, API Gateway, ELB, WAF
- セキュリティ: IAM, KMS, CloudTrail, GuardDuty, Shield, Macie
- ガバナンス・管理: Organizations, Config, CloudWatch, Trusted Advisor
- プラグインを導入することで、最新のAWSサービスにも迅速に対応します。
参考: Steampipe Hub - AWS Plugin Tables
3-3. コスト
- Steampipe CLI (オープンソース版):
- ライセンス費用: 無料(AGPLv3ライセンス)。
- 実行コスト: 実行時にAWS APIをコールするためAPI使用料が発生する場合があるが、通常は無視できる範囲です。
- Turbot Pipes (SaaS版/マネージドサービス):
- チームでの共有やホスティングが必要な場合に提供されます。
- Developerプラン: 無料(個人利用向け)。
- Teamプラン: 1ユーザーあたり月額 $19 + コンピューティング・ストレージ利用料。
- Enterprise: 要見積もり。
3-4. 導入方法
環境に合わせて数分で導入可能です。
- macOS (Homebrew):
brew install turbot/tap/steampipe
- Linux / WSL2 (インストールスクリプト):
sudo /bin/sh -c "$(curl -fsSL https://steampipe.io/install/steampipe.sh)"
- AWSプラグインのインストール:
steampipe plugin install aws
- Docker:
- 公式イメージを利用してコンテナ環境での実行も可能です。
参考: Steampipe Download & Install
3-5. 前提条件
- 対応OS: Linux (glibc 2.34以上), macOS, Windows (WSL2)。
- 認証:
- AWS CLIと同様の認証情報(環境変数、AWS構成ファイル、またはIAMロール/プロファイル)が必要です。
- 権限:
- 調査対象サービスに対する
ReadOnlyAccessまたはSecurityAudit権限が推奨されます。
- 調査対象サービスに対する
- 拡張機能 (Mod):
- セキュリティ診断(CISチェック等)を実行するには、別途
aws-complianceMod のクローンが必要です。
- セキュリティ診断(CISチェック等)を実行するには、別途
参考: Steampipe AWS Plugin - Authentication
参考: Steampipe Documentation - Pre-requisites
まとめと所感
今回の概要調査を通じて、AWS環境のアセスメント(構成監査)に利用できる主要OSSツールには、それぞれ明確な方向性やアプローチの違いがあることが分かりました。
- AWS Service Screener V2: AWS純正ツールやフレームワークとの親和性が最も高く、AWSのベストプラクティス(Well-Architected)に愚直に沿った監査を行いたい場合の手法として優秀です。
- Prowler: 圧倒的な網羅性を誇り、対応サービス数の多さとマルチクラウドへの対応力から、包括的なセキュリティ基準を満たしたい場合に強力な基盤(デファクトスタンダード)となります。
- Steampipe: クラウドの構成情報をSQLでクエリできるという独特なアプローチを持ち、自社特有のルールや詳細な構成の探索といった柔軟性を最優先する場合に非常に魅力的です。
皆さまの環境でも「自社ならどれを導入すべきか」と悩まれるかもしれません。
クラウド監査ツールにおいて「これ一つで全て解決」という絶対的な正解はないため、皆様の運用体制(CI/CDへの組み込みやすさなど)や、目指すセキュリティ要件・フレームワークに合致するかどうかを、ぜひ以下のツール特性も参考にチーム内で見極めてみてください。
RELATED ARTICLE関連記事
RELATED SERVICES関連サービス
Careersキャリア採用
この記事をシェアする
