翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる
<a name="image-scanning-basic"></a>

Amazon ECR 基本スキャンでは、 AWS ネイティブテクノロジーを使用してコンテナイメージをスキャンし、ソフトウェアの脆弱性を調べます。ベーシックスキャンは、一般的なオペレーティングシステムの幅広いセットで脆弱性を検出し、50 を超えるデータフィードを調達して、一般的な脆弱性と露出 (CVEs) の検出結果を生成します。これらのソースには、ベンダーのセキュリティアドバイザリ、データフィード、脅威インテリジェンスフィード、国家脆弱性データベース (NVD)、MITRE などがあります。

Amazon ECR 基本スキャンは、「リージョン[AWS 別のサービス」に記載されているすべてのリージョン](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)でサポートされています。

Amazon ECR では、アップストリームのディストリビューションソースからの CVE の重要度が使用されます (使用可能な場合)。それ以外の場合は、共通脆弱性評価システム (CVSS) のスコアが使用されます。CVSS スコアは、NVD 脆弱性の重大度評価を取得するために使用できます。詳細については、「[NVD 脆弱性の重大度](https://nvd.nist.gov/vuln-metrics/cvss)」を参照してください。

Amazon ECR 基本スキャンでは、プッシュ時にスキャンするリポジトリを指定するフィルターがサポートされています。プッシュ時のスキャンフィルターと一致しないリポジトリは、**手動**スキャン頻度に設定されます。つまり、スキャンを手動で開始する必要があります。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。基本スキャンでは、特定のレジストリで 24 時間あたり最大 100,000 個のイメージをスキャンできます。

最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR は Amazon EventBridge にイベントを送信します。詳細については、「[Amazon ECR イベントと EventBridge](ecr-eventbridge.md)」を参照してください。

## 基本スキャンのオペレーティングシステムのサポート
<a name="image-scan-basic-support-operating-systems"></a>

セキュリティのベストプラクティスとして、また継続的なカバレッジのために、サポートされているバージョンのオペレーティングシステムを使い続けることをお勧めします。ベンダーのポリシーに従い、サポートが終了したオペレーティングシステムはパッチによる更新が行われなくなり、多くの場合、新しいセキュリティアドバイザリもリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションに対するベンダーのサポートがなくなると、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。サポートが終了したオペレーティングシステムに対して Amazon ECR が生成した結果については、情報提供の目的でのみ使用してください。サポートされているオペレーティングシステムとバージョンの完全なリストについては、[Amazon Inspector ユーザーガイド」の「サポートされているオペレーティングシステム - Amazon Inspector スキャン](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-scan-inspector-scan)」を参照してください。 *Amazon Inspector *

# Amazon ECR でのイメージの基本スキャンの設定
<a name="image-scanning-basic-enabling"></a>

Amazon ECR では、デフォルトですべてのプライベートレジストリに対する基本スキャンがオンになっています。そのため、プライベートレジストリのスキャン設定を変更していなければ、基本スキャンをオンにする必要はありません。

次の手順を使用して、1 つ以上のプッシュ時スキャンフィルターを定義できます。

**プライベートレジストリの基本スキャンをオンにする手順**

1.  [ https://console.aws.amazon.com/ecr/private-registry/repositories](https://console.aws.amazon.com/ecr/private-registry/repositories) で Amazon ECR コンソールを開きます。

1. ナビゲーションバーから、スキャン設定を設定するリージョンを選択します。

1. ナビゲーションペインで、**プライベートレジストリ****、スキャン**を選択します。

1. **[Scanning configuration]** (スキャン設定) ページの **[Scan type]** (スキャンタイプ) で **[Basic scanning]** (ベーシックスキャン) を選択します。

1. デフォルトでは、すべてのリポジトリは **[Manual]** (手動) スキャンに設定されます。オプションで、**[プッシュ時にスキャンするフィルター]** を指定して、プッシュ時のスキャンを設定できます。すべてのリポジトリまたは個々のリポジトリに対して、プッシュ時のスキャンを設定できます。詳細については、「[Amazon ECR でスキャンするリポジトリを選択するためのフィルター](image-scanning-filters.md)」を参照してください。
**注記**  
プッシュ時のスキャンがリポジトリに対して有効になっている場合、スキャンはアーカイブ後に復元されたイメージに対しても実行されます。復元されたイメージから古いスキャンは利用できません。

# Amazon ECR で OS 脆弱性がないか調べるためのイメージの手動スキャン
<a name="manual-scan"></a>

リポジトリが**プッシュ時スキャン**を行うように設定されていない場合は、イメージスキャンを手動で開始できます。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。

イメージをスキャンする際の一般的な問題のトラブルシューティングの詳細については、「[Amazon ECR でのイメージスキャンのトラブルシューティング](image-scanning-troubleshooting.md)」を参照してください。

------
#### [ AWS マネジメントコンソール ]

 AWS マネジメントコンソールを使用して手動イメージスキャンを開始するには、次の手順を実行します。

1.  [ https://console.aws.amazon.com/ecr/private-registry/repositories](https://console.aws.amazon.com/ecr/private-registry/repositories) で Amazon ECR コンソールを開きます。

1. ナビゲーションバーから、リポジトリを作成するリージョンを選択します。

1. ナビゲーションペインで、[**Repositories**] を選択します。

1. **リポジトリ**ページで、スキャンするイメージを含むリポジトリを選択します。

1. **イメージ**ページで、スキャンするイメージを選択し、[**スキャン**] を選択します。

------
#### [ AWS CLI ]
+ [ start-image-scan](https://docs.aws.amazon.com/cli/latest/reference/ecr/start-image-scan.html) (AWS CLI)

  次の例では、イメージタグを使用しています。

  ```
  aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
  ```

  次の例では、イメージダイジェストを使用しています。

  ```
  aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
  ```

------
#### [ AWS Tools for Windows PowerShell ]
+ [ Get-ECRImageScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-ECRImageScan.html) (AWS Tools for Windows PowerShell)

  次の例では、イメージタグを使用しています。

  ```
  Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force
  ```

  次の例では、イメージダイジェストを使用しています。

  ```
  Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force
  ```

------

# Amazon ECR での基本スキャンの結果の取得
<a name="describe-scan-findings"></a>

最後に完了した基本イメージスキャンのスキャン結果を取得できます。検出されたソフトウェア脆弱性が、共通脆弱性識別子 (CVE) データベースに基づく重大度別にリストされます。

イメージをスキャンする際の一般的な問題のトラブルシューティングの詳細については、「[Amazon ECR でのイメージスキャンのトラブルシューティング](image-scanning-troubleshooting.md)」を参照してください。

------
#### [ AWS マネジメントコンソール ]

 AWS マネジメントコンソールを使用してイメージスキャンの結果を取得する手順は、次のとおりです。

**イメージスキャンの結果を取得する手順**

1.  [ https://console.aws.amazon.com/ecr/private-registry/repositories](https://console.aws.amazon.com/ecr/private-registry/repositories) で Amazon ECR コンソールを開きます。

1. ナビゲーションバーから、リポジトリを作成するリージョンを選択します。

1. ナビゲーションペインで、[**Repositories**] を選択します。

1. **リポジトリ**ページで、スキャン結果を取得するイメージを含むリポジトリを選択します。

1. **[イメージ]** ページの **[イメージタグ]** 列で、スキャン結果を取得する対象のイメージタグを選択します。

------
#### [ AWS CLI ]

次の AWS CLI コマンドを使用して、 を使用してイメージスキャンの結果を取得します AWS CLI。`imageTag` または ` imageDigest` を使用してイメージを指定できます。どちらのイメージも [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html) CLI コマンドを使用して取得できます。
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html) (AWS CLI)

  次の例では、イメージタグを使用しています。

  ```
  aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2
  ```

  次の例では、イメージダイジェストを使用しています。

  ```
  aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
  ```

------
#### [ AWS Tools for Windows PowerShell ]
+ [ Get-ECRImageScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRImageScanFinding.html) (AWS Tools for Windows PowerShell)

  次の例では、イメージタグを使用しています。

  ```
  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2
  ```

  次の例では、イメージダイジェストを使用しています。

  ```
  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2
  ```

------