Amazon Inspector の検出結果タイプ

このセクションでは、Amazon Inspector のさまざまな検出結果タイプについて説明します。

パッケージ脆弱性

パッケージ脆弱性検出結果は、共通脆弱性識別子 (CVE) が露出されている AWS 環境内のソフトウェアパッケージを特定します。攻撃者は、こうしたパッチが適用されていない脆弱性を利用し、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があります。CVE システムは、セキュリティの脆弱性や露出についての既知の情報を参照する方法です。詳細については、https://www.cve.org/ を参照してください。

Amazon Inspector では、EC2 インスタンス、ECR コンテナイメージ、および Lambda 関数についてパッケージ脆弱性検出結果を生成できます。パッケージ脆弱性検出結果には、この検出結果タイプに固有の詳細が追加されており、インスペクタスコアと脆弱性インテリジェンスがこれに該当します。

コードの脆弱性

コード脆弱性の検出結果は、攻撃者が悪用する可能性のあるコード内の行を特定します。コードの脆弱性には、インジェクションの欠陥、データ漏洩、脆弱な暗号化、コード内の暗号化の欠落などがあります。

Amazon Inspector は、自動推論と機械学習を使用して Lambda 関数のアプリケーションコードを評価し、アプリケーションコードを分析して全体的なセキュリティコンプライアンスを確認します。Amazon CodeGuru と共同で開発された内部ディテクターに基づいて、ポリシー違反と脆弱性を識別します。可能な検出のリストについては、「CodeGuru Detector Library」を参照してください。

Amazon Inspector Lambda コードスキャンを有効にすると、Amazon Inspector は Lambda 関数のコード脆弱性の検出結果を生成できます。

コードの脆弱性に関連して検出されたコードスニペットは、CodeGuru サービスによって保存されます。デフォルトでは、CodeGuru 管理のAWS所有キー がコードの暗号化に使用されますが、Amazon Inspector API を使用して独自のカスタマーマネージドキーを使用して暗号化することもできます。詳細については、「検出結果のコードの保管時の暗号化」を参照してください。

ネットワーク到達可能性

ネットワーク到達可能性の検出結果は、環境内の Amazon EC2 インスタンスへのネットワークパスが開いていることを示しています。インターネットゲートウェイ (Application Load Balancer または Classic Load Balancer の背後にあるインスタンスを含む)、VPC ピアリング接続、または仮想ゲートウェイを介した VPN など、VPC エッジから TCP および UDP ポートに到達可能な場合、これらの結果が表示されます。これらの結果では、セキュリティグループ、アクセス制御リスト、インターネットゲートウェイなどの管理が不適切であったり、潜在的に悪意のあるアクセスを許している可能性があるなど、過度に寛容なネットワーク設定をハイライトします。

Amazon Inspector は、Amazon EC2 インスタンスのネットワーク到達可能性の検出結果のみを生成します。Amazon Inspector は、有効になると 24 時間ごとにスキャンを実行し、ネットワークの到達可能性に関する検出結果を生成します。

Amazon Inspector は、ネットワークパスをスキャンする際に以下の設定を評価します。