アカウントレベルのカバレッジを評価する Amazon EC2 インスタンスのカバレッジを評価する Amazon ECR リポジトリのカバレッジを評価する Amazon ECR コンテナイメージのカバレッジを評価する AWS Lambda 関数のカバレッジを評価する

AWS 環境の Amazon Inspector カバレッジの評価

Amazon Inspector コンソールのアカウント管理画面から AWS 環境の Amazon Inspector カバレッジを評価できます。この画面には、アカウントとリソースの Amazon Inspector スキャンのステータスに関する詳細と統計が表示されます。

注記

組織の委任管理者である場合、組織内のすべてのアカウントの詳細と統計情報を表示できます。

次の手順は、Amazon Inspector 環境のカバレッジを評価する方法を示しています。

AWS 環境の Amazon Inspector カバレッジを評価するには

認証情報を使用してサインインし、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/v2/home) を開きます。
ナビゲーションペインから、[アカウント管理] を選択します。
カバレッジを確認するには、次のいずれかのタブを選択します。
- [アカウント] を選択して、アカウントレベルのカバレッジを確認します。
- [インスタンス] を選択して、Amazon Elastic Compute Cloud (Amazon EC2)インスタンスのカバレッジを確認します。
- [コンテナレポジトリ] を選択して、Amazon Elastic Container Registry (Amazon ECR)リポジトリのカバレッジを確認します。
- [コンテナイメージ] を選択して、Amazon ECR コンテナイメージのカバレッジを確認します。
- [Lambda 関数] を選択して、Lambda 関数のカバレッジを確認します。

以下のトピックでは、これらの各タブで提供される情報について説明します。

アカウントレベルのカバレッジを評価する

アカウントが組織の一部ではない場合、または組織の委任された Amazon Inspector 管理者アカウントではない場合、[アカウント] タブには、アカウントに関する情報と、アカウントのリソーススキャンのステータスが表示されます。このタブでは、アカウントのすべてまたは特定のタイプのリソースのみのスキャンをアクティブ化または非アクティブ化にできます。詳細については、「Amazon Inspector の自動スキャンタイプ」を参照してください。

アカウントが組織の委任された Amazon Inspector 管理者アカウントの場合、[アカウント] タブには組織内のアカウントの自動アクティベーション設定が表示され、組織内のすべてのアカウントが一覧表示されます。アカウントごとに、そのアカウントで Amazon Inspector がアクティブ化になっているかどうかを表示し、その場合は、そのアカウントでアクティブ化になっているリソーススキャンタイプがリストに表示されます。委任された管理者は、このタブを使用して組織の自動アクティベーション設定を変更できます。また、個々のメンバーアカウントの特定のタイプのリソーススキャンをアクティブ化または非アクティブ化することもできます。詳細については、「メンバーアカウントの Amazon Inspector スキャンをアクティブ化する」を参照してください。

Amazon EC2 インスタンスのカバレッジを評価する

[インスタンス] タブには、 AWS 環境内の Amazon EC2 インスタンスが表示されます。リストは次のタブにグループ分けされています。

すべて — 環境内のすべてのインスタンスを表示します。ステータス列には、インスタンスの現在のスキャンステータスが表示されます。
スキャン — Amazon Inspector が環境でアクティブにモニタリングおよびスキャンしているすべてのインスタンスを表示します。
スキャンしない — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのインスタンスを表示します。理由列には、Amazon Inspector がインスタンスをモニタリングおよびスキャンしていない理由が表示されます。

EC2 インスタンスが [スキャンしない] タブに表示される理由はいくつかあります。Amazon Inspector は AWS Systems Manager (SSM) と SSM エージェントを使用して、EC2 インスタンスの脆弱性を自動的にモニタリングおよびスキャンします。インスタンスで SSM Agent が実行されていない場合、Systems Manager をサポートする AWS Identity and Access Management (IAM) ロールがない場合、またはサポートされているオペレーティングシステムまたはアーキテクチャを実行していない場合、Amazon Inspector はインスタンスをモニタリングおよびスキャンできません。詳細については、「Amazon EC2 インスタンスのスキャン」を参照してください。

各タブで、アカウント列はインスタンスを所有 AWS アカウントするを指定します。

[EC2 インスタンスタグ] — この列には、インスタンスに関連付けられているタグが表示され、インスタンスがタグによるスキャンから除外されているかどうかを判断できます。

[オペレーティングシステム] — この列には、オペレーティングシステムの種類 (WINDOWS、MAC、LINUX、または UNKNOWN) が表示されます。

[使用中の監視] – この列には、このインスタンスで Amazon Inspector がエージェントベースのスキャン方式を使用しているか、エージェントレスのスキャン方式を使用しているかが表示されます。

[最終スキャン日] - この列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。Amazon Inspector がスキャンを実行する頻度は、インスタンスのスキャンに使用されているスキャン方式によって異なります。

EC2 インスタンスに関するその他の詳細を確認するには、EC2 インスタンス列のリンクを選択します。次に、Amazon Inspector はインスタンスに関する詳細と、そのインスタンスに関する現在の検出結果を表示します。特定の検出結果の詳細を確認するには、[タイトル] 列のリンクを選択します。その詳細については、「Amazon Inspector 検出結果の詳細の表示」を参照してください。

Amazon EC2 インスタンスのステータス値のスキャン

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、[ステータス] の値は以下のようになります：

アクティブにモニタリング中 — Amazon Inspector ではインスタンスを継続的にモニタリングおよびスキャンしています。
エージェントレスインスタンスストレージの制限の超過 – インスタンスにアタッチされたすべてのボリュームの合計サイズが 1200 GB を超える場合、またはインスタンスにアタッチされたボリュームが 8 個を超える場合、Amazon Inspector はこのステータスを使用します。
エージェントレスインスタンス収集時間の制限の超過 – インスタンスでエージェントレススキャンを実行しようとして、Amazon Inspector がタイムアウトします。
EC2 インスタンスが停止 — インスタンスが停止状態になったため、Amazon Inspector はインスタンスのスキャンを一時停止しました。既存の検出結果はすべて、インスタンスが終了するまで保持されます。インスタンスが再起動されると、Amazon Inspector はインスタンスのスキャンを自動的に再開します。
内部エラー — Amazon Inspector がインスタンスをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。
インベントリなし — Amazon Inspector は、インスタンスをスキャンするソフトウェアアプリケーションインベントリを見つけることができませんでした。インスタンスの Amazon Inspector の関連付けが削除されているか、実行に失敗した可能性があります。

この問題を修正 AWS Systems Manager するには、を使用して、InspectorInventoryCollection-do-not-delete関連付けが存在し、関連付けのステータスが成功していることを確認します。さらに、 AWS Systems Manager Fleet Manager を使用してインスタンスのソフトウェアアプリケーションインベントリを確認します。
保留中の無効化 — Amazon Inspector はインスタンスのスキャンを停止しました。インスタンスは無効になっており、クリーンアップタスクの完了を待っています。
保留中の初期スキャン — Amazon Inspector は初期スキャンのためにインスタンスをキューに入れました。
リソースが終了しました - インスタンスが終了しました。Amazon Inspector は現在、インスタンスの既存の検出結果とカバレッジデータをクリーンアップしています。
古いインベントリ — Amazon Inspector は、過去 7 日以内にインスタンスについてキャプチャされた更新されたソフトウェアアプリケーションインベントリを収集できませんでした。

この問題を修正するには、を使用して AWS Systems Manager 、必要な Amazon Inspector の関連付けが存在し、インスタンスで実行されていることを確認します。さらに、 AWS Systems Manager Fleet Manager を使用してインスタンスのソフトウェアアプリケーションインベントリを確認します。
アンマネージド型 EC2 インスタンス — Amazon Inspector はインスタンスをモニタリングまたはスキャンしていません。インスタンスは AWS Systems Managerによって管理されていません。

この問題を修正するには、 AWS Systems Manager Automation AWSSupport-TroubleshootManagedInstance runbookが提供するを使用できます。インスタンスを管理する AWS Systems Manager ようにを設定すると、Amazon Inspector は自動的にインスタンスの継続的なモニタリングとスキャンを開始します。
サポートされていない OS — Amazon Inspector はインスタンスをモニタリングまたはスキャンしていません。インスタンスは、Amazon Inspector がサポートしていないオペレーティングシステムまたはアーキテクチャを使用しています。Amazon Inspector がサポートしているオペレーティングシステムのリストについては、「Amazon EC2 インスタンスのステータス値」を参照してください。
アクティブにモニタリングして、部分的なエラーが見つかりました — このステータスは、EC2 スキャンはアクティブですが、Linux ベースの Amazon EC2 インスタンス向け Amazon Inspector 詳細検査に関連するエラーがあることを意味します。詳細検査で発生する可能性のあるエラーは次のとおりです。
- 詳細検査パッケージコレクションの制限の超過 – インスタンスが Amazon Inspector 詳細検査の制限である 5000 パッケージを超えました。このインスタンスの詳細検査を再開するには、アカウントに関連付けられているカスタムパスの調整を試みます。
- 詳細検査の 1 日あたりの SSM インベントリ制限の超過 – SSM Agent がインベントリを Amazon Inspector に送信できませんでした。これは、既にこのインスタンスで 1 日あたりインスタンスごとに収集されるインベントリデータの SSM クォータに達しているためです。詳細については、「Amazon EC2 Systems Manager エンドポイントとクォータ」を参照してください。
- 詳細検査コレクション時間制限の超過 – パッケージのコレクション時間が最大しきい値の 15 分を超えているため、Amazon Inspector はパッケージインベントリの抽出に失敗しました。
- 詳細検査にインベントリがありません — Amazon Inspector SSM プラグインは、このインスタンスのパッケージのインベントリをまだ収集できていません。これは通常、保留中のスキャンの結果ですが、6 時間経ってもこの状態が続く場合は、Amazon EC2 Systems Manager を使用して、必要な Amazon Inspector 関連付けインスタンスで存在し、実行されていることを確認してください。

EC2 インスタンスのスキャン設定の詳細については、「Amazon EC2 インスタンスのスキャン」を参照してください。

Amazon ECR リポジトリのカバレッジを評価する

[リポジトリ] タブには、 AWS 環境内の Amazon ECR リポジトリが表示されます。リストは以下のタブでグループにまとめられています。

すべて — 環境内のすべてのリポジトリを表示します。[ステータス] 列には、レポジトリの現在のスキャンステータスが表示されます。
アクティブ化 — Amazon Inspector が環境でモニタリングおよびスキャンするように設定されているすべてのリポジトリを表示します。[ステータス] 列には、レポジトリの現在のスキャンステータスが表示されます。
アクティブ化されていません — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのリポジトリを表示します。[理由] 列には、Amazon Inspector がインスタンスをモニタリングおよびスキャンしていない理由が表示されます。

各タブで、アカウント列はリポジトリを所有 AWS アカウントするを指定します。

リポジトリに関するその他の詳細を確認するには、リポジトリの名前を選択します。次に、Amazon Inspector はリポジトリ内のコンテナイメージのリストと各イメージの詳細を表示します。詳細には、イメージタグ、イメージダイジェスト、スキャンステータスが含まれます。また、イメージの緊急の検出結果の数など、主要な検出結果の統計情報も含まれます。検出結果の裏付けとなるデータを掘り下げて確認するには、イメージの [イメージ] タグを選択します。

Amazon ECR リポジトリのステータス値のスキャン

Amazon Elastic Container Registry (Amazon ECR) リポジトリの場合、[ステータス] の値は以下のようになります：

アクティブ化 (継続) – リポジトリの場合、Amazon Inspector はこのリポジトリ内のイメージを継続的にモニタリングします。リポジトリの拡張スキャン設定は継続的スキャンに設定されています。Amazon Inspector は、プッシュされたときに新しいイメージを最初にスキャンし、そのイメージに関連する新しい CVE が発行されたときにイメージを再スキャンします。Amazon Inspector は、設定した Amazon ECR 再スキャン期間は、このリポジトリ内のイメージを継続的にモニタリングします。
アクティブ化 (プッシュ時) – Amazon Inspector は新しいイメージがプッシュされると、リポジトリ内の個々のコンテナイメージを自動的にスキャンします。拡張スキャンは、レポジトリに対してアクティブ化され、プッシュ時にスキャンするように設定されています。
アクセス拒否 — Amazon Inspector は、リポジトリまたはリポジトリ内のコンテナイメージへのアクセスを許可されていません。

この問題を修正するには、リポジトリの AWS Identity and Access Management (IAM) ポリシーで Amazon Inspector がリポジトリにアクセスできることを確認します。
非アクティブ化 (手動) — Amazon Inspector はリポジトリ内のコンテナイメージをモニタリングまたはスキャンしていません。リポジトリの Amazon ECR スキャン設定は、基本的な手動スキャンに設定されています。

Amazon Inspector を使用してリポジトリ内のイメージのスキャンを開始するには、リポジトリのスキャン設定を拡張スキャンに変更し、イメージを継続的にスキャンするか、新しいイメージがプッシュされたときにのみスキャンするかを選択します。
アクティブ化 (プッシュ時) – Amazon Inspector は新しいイメージがプッシュされると、リポジトリ内の個々のコンテナイメージを自動的にスキャンします。リポジトリの拡張スキャン設定は、プッシュ時にスキャンするように設定されています。
内部エラー – Amazon Inspector がリポジトリをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

リポジトリのスキャン設定の詳細については、「Amazon ECR コンテナイメージのスキャン」を参照してください。

Amazon ECR コンテナイメージのカバレッジを評価する

[イメージ] タブには、環境内の Amazon ECR コンテナイメージが表示されます。 AWS リストは次のタブでグループにまとめられています。

すべて — 環境内のすべてのコンテナイメージを表示します。[ステータス] 列には、イメージの現在のスキャンステータスが表示されます。
スキャン — Amazon Inspector が環境でアクティブにモニタリングおよびスキャンしているすべてのコンテナイメージを表示します。[ステータス] 列には、イメージの現在のスキャンステータスが表示されます。
スキャンしない — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのコンテナイメージを表示します。[理由] 列には、Amazon Inspector がイメージをモニタリングおよびスキャンしていない理由が表示されます。

コンテナイメージが [アクティブ化されていません] タブに表示される理由はいくつかあります。Amazon Inspector のスキャンがアクティブ化されていないリポジトリにイメージが保存されているか、Amazon ECR フィルタリングルールによってそのリポジトリがスキャンされない場合があります。または、[ECR 再スキャン期間] に設定されている日数内にイメージがプッシュまたはプルされていません。詳細については、「Amazon ECR 再スキャン期間の設定」を参照してください。

各タブの [リポジトリ名] 列には、コンテナイメージを格納するリポジトリの名前を指定します。Account 列は、リポジトリを所有 AWS アカウントするを指定します。[最終スキャン日] 列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。これには、メタデータの検出結果が更新されたとき、リソースのアプリケーションインベントリが更新されたとき、または新しい CVE に応じて再スキャンが行われたときのチェックが含まれます。詳細については、「Amazon ECR スキャンのスキャン動作」を参照してください。

コンテナイメージに関するその他の詳細を確認するには、[ECR コンテナイメージ] 列のリンクを選択します。次に、Amazon Inspector はイメージに関する詳細と、そのイメージに関する現在の検出結果を表示します。特定の検出結果の詳細を確認するには、[タイトル] 列のリンクを選択します。その詳細については、「Amazon Inspector 検出結果の詳細の表示」を参照してください。

Amazon ECR コンテナイメージのステータス値のスキャン

Amazon Elastic Container Registry コンテナイメージの場合、[ステータス] の値は以下のようになります：

アクティブモニタリング (継続的) – Amazon Inspector は継続的にモニタリングしており、関連する新しい CVE が公開されるたびに、イメージと新しいスキャンが実行されます。イメージの Amazon ECR 再スキャン期間は、イメージがプッシュまたはプルされるたびに更新されます。イメージを保存するリポジトリでは拡張スキャンが有効になっており、リポジトリの拡張スキャン設定は継続的スキャンに設定されています。
アクティブ化 (プッシュ時) – Amazon Inspector は、新しいイメージがプッシュされるたびにイメージを自動的にスキャンします。イメージを保存するリポジトリでは拡張スキャンがアクティブ化になり、リポジトリの拡張スキャン設定はプッシュ時にスキャンするように設定されます。
内部エラー – Amazon Inspector がコンテナイメージをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。
保留中の初期スキャン – Amazon Inspector は初期スキャンのためにインスタンスをキューに入れました。
スキャンの適格性の有効期限切れ (継続) – Amazon Inspector はイメージのスキャンを一時停止しました。リポジトリ内のイメージを自動再スキャンするように指定した期間内に、イメージが更新されていません。イメージをプッシュまたはプルしてスキャンを再開できます。
スキャンの適格性の有効期限切れ (プッシュ時) – Amazon Inspector はイメージのスキャンを中断しました。リポジトリ内のイメージを自動再スキャンするように指定した期間内に、イメージが更新されていません。イメージをプッシュしてスキャンを再開できます。
スキャン頻度 (手動) — Amazon Inspector は Amazon ECR コンテナイメージをスキャンしません。イメージを保存するリポジトリの Amazon ECR スキャン設定は、基本の手動スキャンに設定されています。Amazon Inspector で自動的にイメージのスキャンを開始するには、リポジトリの設定を拡張スキャンに変更し、イメージを継続的にスキャンするか、新しいイメージがプッシュされたときにのみスキャンするかを選択します。
サポートされていない OS – Amazon Inspector はインスタンスをモニタリングまたはスキャンしていません。イメージは、Amazon Inspector がサポートしていないオペレーティングシステムに基づいているか、Amazon Inspector がサポートしていないメディアタイプを使用しています。

Amazon Inspector がサポートしているオペレーティングシステムのリストについては、「サポートされているオペレーティングシステム: Amazon Inspector による Amazon ECR スキャン」を参照してください。Amazon Inspector がサポートするメディアタイプのリストについては、「サポートされているメディアタイプ」を参照してください。

リポジトリとイメージのスキャン設定の詳細については、「Amazon ECR コンテナイメージのスキャン」を参照してください。

AWS Lambda 関数のカバレッジの評価

Lambda タブには AWS 、環境内の Lambda 関数が表示されます。このページには 2 つのテーブルがあります。1 つは Lambda 標準スキャンの関数カバレッジの詳細を示し、もう 1 つは Lambda コードスキャンの関数カバレッジの詳細を示しています。以下のタブに基づいて関数をグループ化できます。

すべて — 環境内のすべての Lambda 関数を表示します。[ステータス] 列には、Lambda 関数の現在のスキャンステータスが表示されます。
スキャン — Amazon Inspector がスキャンするように設定されている Lambda 関数を表示します。[ステータス] 列には、各 Lambda 関数の現在のスキャンステータスが表示されます。
スキャンしない — Amazon Inspector がスキャンするように設定されていない Lambda 関数を表示します。[理由] 列には、Amazon Inspector が関数をモニタリングおよびスキャンしていない理由が表示されます。

Lambda 関数が [スキャンしない] タブに表示される理由はいくつかあります。Lambda 関数が Amazon Inspector に追加されていないアカウントに属しているか、フィルタリングルールによりこの関数がスキャンされない可能性があります。詳細については、「Lambda 関数スキャン」を参照してください。

各タブの [関数名] 列には、Lambda 関数の名前を指定します。Account 列は、関数を所有 AWS アカウントするを指定します。[ランタイム] には、関数のランタイムを指定します。[ステータス] 列には、各 Lambda 関数の現在のスキャンステータスが表示されます。[リソース] タグは、関数に適用されたタグを表示します。[最終スキャン日] 列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。これには、メタデータの検出結果が更新されたとき、リソースのアプリケーションインベントリが更新されたとき、または新しい CVE に応じて再スキャンが行われたときのチェックが含まれます。詳細については、「Lambda 関数スキャンのスキャン動作」を参照してください。

AWS Lambda 関数のステータス値のスキャン

Lambda 関数の場合、指定できるステータス値は次のとおりです。

アクティブにモニタリング中 — Amazon Inspector は Lambda 関数を継続的にモニタリングおよびスキャンしています。継続的スキャンには、新しい関数がリポジトリにプッシュされたときの初回スキャンと、関数が更新されたときや新しい共通脆弱性識別子 (CVE) がリリースされたときの関数の自動再スキャンが含まれます。
タグで除外済み — この関数はタグによるスキャンから除外されているため、Amazon Inspector はスキャンしていません。
スキャンの適格性が失効しました — Amazon Inspector は、前回呼び出されたり更新されたりしてから 90 日以上が経過しているため、この関数をモニタリングしていません。
内部エラー — Amazon Inspector が関数をスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。
保留中の初期スキャン — Amazon Inspector は初期スキャンの関数をキューに入れました。
サポートなし — Lambda 関数のランタイムはサポートされていません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Inspector スキャンアクションの使用

複数のアカウントの管理