Amazon Inspector の検出結果の重要度レベルについて
Amazon Inspector が検出結果を生成すると、その検出結果に重要度の評価が割り当てられます。重要度の評価は、検出結果の評価と優先順位付けに役立ちます。検出結果の重要度評価は、数値スコアと、[参考]、[低]、[中]、[高]、[緊急] というレベルに対応しています。Amazon Inspector は、検出結果タイプに基づいて検出結果の重要度の評価を決定します。このセクションでは、Amazon Inspector が各検出結果タイプの重要度の評価を決定する方法について説明します。
ソフトウェアパッケージの脆弱性の重要度
Amazon Inspector は、ソフトウェアパッケージの脆弱性の重要度スコアの基礎として NVD/CVSS スコアを使用します。NVD/CVSS スコアは、NVD によって公開され、CVSS によって定義される脆弱性重要度スコアです。NVD/CVSS スコアは、攻撃の複雑さ、悪用コードの成熟度、必要な権限などのセキュリティメトリクスで構成されています。Amazon Inspector は、脆弱性の重要度を反映した 1 から 10 までの数値スコアを生成します。Amazon Inspector では、これを基本スコアとして分類しています。これは、脆弱性の重要度がその固有の特性に従って反映され、時間が経過しても変化しないためです。このスコアは、デプロイされたさまざまな環境における最悪の場合の妥当な影響も想定しています。CVSS v3 標準
|
スコア |
Rating |
| 0 | Informational |
| 0.1–3.9 | Low |
| 4.0–6.9 | Medium |
| 7.0–8.9 | High |
| 9.0–10.0 | Critical |
パッケージ脆弱性の検出結果は、重要度が「未選別」である場合もあります。つまり、ベンダーは検出された脆弱性の脆弱性スコアをまだ設定していないということです。この場合、検出結果の参照 URL を使用して脆弱性を調査し、それに応じて対応することをおすすめします。
パッケージ脆弱性の検出結果には、検出結果の詳細の一部として、以下のスコアと関連するスコアリングベクトルが含まれます。
-
EPSS スコア
-
Inspector スコア
-
Amazon CVE の CVSS 3.1
-
NVD の CVSS 3.1
-
NVD の CVSS 2.0 (該当する場合)
コード脆弱性の重要度
コードの脆弱性検出結果では、Amazon Inspector は検出結果を生成した Amazon CodeGuru ディテクターによって定義された重要度レベルを使用します。各ディテクターには CVSS v3 スコアリングシステムを使用して重要度が割り当てられます。CodeGuru が使用する重要度の説明については、「CodeGuru ガイド」の「重要度の定義」を参照してください。重要度別のディテクターのリストについては、以下のサポートされているプログラミング言語から選択してください。
ネットワーク到達可能性の重要度
Amazon Inspector は、公開されているサービス、ポート、プロトコル、およびオープンパスのタイプに基づいて、ネットワーク到達可能性の脆弱性の重要度を判断します。次の表では、これらの重要度評価を定義しています。「オープンパス評価」列の値は、仮想ゲートウェイ、ピア接続 VPC、AWS Direct Connect ネットワークからのオープンパスを表しています。公開されている他のすべてのサービス、ポート、プロトコルには「情報重要度」という評価があります。
|
サービス |
TCP ポート |
UDP ポート |
インターネットパス評価 |
オープンパス評価 |
| DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | Medium | Informational |
| Elasticsearch | 9300, 9200 | NA | Medium | Informational |
| FTP | 21 | 21 | High | Medium |
| Global catalog LDAP | 3268 | NA | Medium | Informational |
| Global catalog LDAP over TLS | 3269 | NA | Medium | Informational |
| HTTP | 80 | 80 | Low | Informational |
| HTTPS | 443 | 443 | Low | Informational |
| Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | Medium | Informational |
| LDAP | 389 | 389 | Medium | Informational |
| LDAP over TLS | 636 | NA | Medium | Informational |
| MongoDB | 27017, 27018, 27019, 28017 | NA | Medium | Informational |
| MySQL | 3306 | NA | Medium | Informational |
| NetBIOS | 137, 139 | 137, 138 | Medium | Informational |
| NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | Medium | Informational |
| Oracle | 1521, 1630 | NA | Medium | Informational |
| PostgreSQL | 5432 | NA | Medium | Informational |
| Print services | 515 | NA | High | Medium |
| RDP | 3389 | 3389 | Medium | Low |
| RPC | 111, 135, 530 | 111, 135, 530 | Medium | Informational |
| SMB | 445 | 445 | Medium | Informational |
| SSH | 22 | 22 | Medium | Low |
| SQL Server | 1433 | 1434 | Medium | Informational |
| Syslog | 601 | 514 | Medium | Informational |
| Telnet | 23 | 23 | High | Medium |
| WINS | 1512, 42 | 1512, 42 | Medium | Informational |
