翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector を使用した Amazon EC2インスタンスのスキャン
Amazon Inspector Amazon EC2スキャンは、メタデータをセキュリティアドバイザリから収集されたルールと比較する前に、EC2インスタンスからメタデータを抽出します。Amazon Inspector は、パッケージの脆弱性とネットワーク到達可能性の問題がないかインスタンスをスキャンして、検出結果を生成します。Amazon Inspector は、24 時間に 1 回ネットワーク到達可能性スキャンを実行し、EC2インスタンスに関連付けられたスキャン方法に依存する可変頻度で脆弱性スキャンをパッケージ化します。
パッケージの脆弱性スキャンは、エージェントベースまたはエージェントレスのスキャン方式を使用して実行できます。これらのスキャン方法はいずれも、Amazon Inspector がパッケージ脆弱性スキャンのためにEC2インスタンスからソフトウェアインベントリを収集する方法とタイミングを決定します。エージェントベースのスキャンは、SSMエージェントを使用してソフトウェアインベントリを収集し、エージェントレススキャンは Amazon EBSスナップショット上の を使用してソフトウェアインベントリを収集します。
Amazon Inspector は、アカウントに対してアクティブ化したスキャン方法を使用します。Amazon Inspector を初めてアクティブ化すると、アカウントは自動的にハイブリッドスキャンに登録され、両方のスキャン方法が使用されます。ただし、この設定はいつでも変更できます。スキャンタイプをアクティブ化する方法については、「スキャンタイプのアクティブ化」を参照してください。このセクションでは、Amazon EC2スキャンについて説明します。
エージェントベースのスキャン
エージェントベースのスキャンは、対象となるすべてのインスタンスでSSMエージェントを使用して継続的に実行されます。エージェントベースのスキャンの場合、Amazon Inspector はSSM関連付けと、これらの関連付けを通じてインストールされたプラグインを使用して、インスタンスからソフトウェアインベントリを収集します。Amazon Inspector のエージェントベースのスキャンでは、オペレーティングシステムパッケージに対するパッケージの脆弱性スキャンに加えて、Linux ベースのインスタンス内のアプリケーションプログラミング言語パッケージに対するパッケージの脆弱性も Linux ベースの Amazon インスタンスの Amazon Inspector ディープインスペクション EC2 によって検出できます。
以下のプロセスでは、Amazon Inspector が を使用してインベントリSSMを収集し、エージェントベースのスキャンを実行する方法について説明します。
-
Amazon Inspector は、インスタンスからインベントリを収集するSSM関連付けをアカウントに作成します。一部のインスタンスタイプ (Windows および Linux) では、これらの関連付けによって、インベントリが収集するために個々のインスタンスにプラグインがインストールされます。
-
を使用してSSM、Amazon Inspector はインスタンスからパッケージインベントリを抽出します。
-
Amazon Inspector は抽出されたインベントリを評価し、検出された脆弱性について検出結果を生成します。
対象インスタンス
Amazon Inspector は、インスタンスが以下の条件を満たす場合、エージェントベース方式でスキャンします。
-
サポートされている OS がインスタンスに備わっている。サポートされている OS のリストについては、「サポートされているオペレーティングシステム: Amazon EC2スキャン」の「エージェントベースのスキャンのサポート」コラムを参照してください。
-
インスタンスは Amazon Inspector EC2 除外タグによるスキャンから除外されません。
-
インスタンスはSSM管理されます。エージェントを確認および設定する手順については、「SSM エージェントの設定」を参照してください。
エージェントベーススキャンの動作
エージェントベースのスキャン方法を使用する場合、Amazon Inspector は次のような状況でEC2インスタンスの新しい脆弱性スキャンを開始します。
-
新しいEC2インスタンスを起動するとき。
-
既存のEC2インスタンス (Linux および Mac) に新しいソフトウェアをインストールする場合。
-
Amazon Inspector がデータベースに新しい一般的な脆弱性と露出 (CVE) 項目を追加し、EC2インスタンス (Linux と Mac) CVEに関連する場合。
Amazon Inspector は、最初のスキャンが完了すると、インスタンスの最後のスキャンフィールドを更新します。 EC2この後、Amazon Inspector がSSMインベントリを評価するか (デフォルトでは 30 分ごと)、そのインスタンスCVEに影響を与える新しい が Amazon Inspector データベースに追加されたためにインスタンスを再スキャンすると、最後のスキャンフィールドが更新されます。
EC2 インスタンスが最後に脆弱性をスキャンしたのは、アカウント管理ページのインスタンスタブから、または を使用して確認できます。 ListCoverage コマンド。
SSM エージェントの設定
Amazon Inspector がエージェントベースのスキャン方法を使用して Amazon EC2インスタンスのソフトウェアの脆弱性を検出するには、インスタンスが Amazon EC2 Systems Manager () のマネージドインスタンスである必要がありますSSM。SSM マネージドインスタンスには SSM エージェントがインストールされて実行されており、インスタンスを管理するアクセス許可SSMがあります。インスタンスの管理SSMに既に を使用している場合、エージェントベースのスキャンに他の手順は必要ありません。
SSM エージェントは、一部の Amazon マシンイメージ () から作成されたEC2インスタンスにデフォルトでインストールされますAMIs。詳細については、「 ユーザーガイド」のSSM「 エージェントについて」を参照してください。 AWS Systems Manager ただし、インストールされていても、SSMエージェントを手動でアクティブ化し、インスタンスを管理するアクセスSSM許可を付与する必要がある場合があります。
次の手順では、IAMインスタンスプロファイルを使用して Amazon EC2インスタンスをマネージドインスタンスとして設定する方法について説明します。この手順では、「AWS Systems Manager ユーザーガイド」にあるより詳細な情報のリンクも提供しています。
AmazonSSMManagedInstanceCore は、インスタンスプロファイルをアタッチするときに使用する推奨ポリシーです。このポリシーには、Amazon Inspector EC2スキャンに必要なすべてのアクセス許可があります。
注記
SSM デフォルトのホストSSM管理設定を使用してEC2、インスタンスプロファイルを使用せずに、すべてのIAMインスタンスの管理を自動化することもできます。詳細については、「デフォルトのホスト管理設定」を参照してください。
Amazon EC2インスタンスSSM用に を設定するには
-
オペレーティングシステムベンダーによってまだインストールされていない場合は、 SSM エージェントをインストールします。詳細については、SSM「 エージェントの使用」を参照してください。
-
AWS CLI を使用して、SSMエージェントが実行中であることを確認します。詳細については、SSM「エージェントのステータスの確認」と「エージェントの開始」を参照してください。
-
インスタンスを管理するアクセス許可SSMを に付与します。IAM インスタンスプロファイルを作成してインスタンスにアタッチすることで、アクセス許可を付与できます。を使用することをお勧めします。 AmazonSSMManagedInstanceCore ポリシー。このポリシーには、Amazon Inspector がスキャンに必要とする SSM Distributor、SSMInventory、SSMState Manager のアクセス許可があるためです。これらの許可を持つインスタンスプロファイルを作成してインスタンスにアタッチする手順については、「Configure instance permissions for Systems Manager」を参照してください。
-
(オプション) SSM エージェントの自動更新を有効にします。詳細については、SSM「 エージェント の更新の自動化」を参照してください。
-
(オプション) Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用するように Systems Manager を設定します。詳細については、「Amazon VPCエンドポイントの作成」を参照してください。
重要
Amazon Inspector では、ソフトウェアアプリケーションインベントリを収集するために、お客様のアカウントに Systems Manager ステートマネージャーの関連付けが必要です。まだ存在しない場合は、Amazon Inspector によって InspectorInventoryCollection-do-not-delete という名前の関連付けが自動的に作成されます。
Amazon Inspector ではリソースデータの同期も必要で、まだ存在しない場合は自動的に InspectorResourceDataSync-do-not-delete という名前で作成されます。詳細については、「AWS Systems Manager ユーザーガイド」の「インベントリのリソースデータの同期の設定」を参照してください。各アカウントは、リージョンごとに設定された数のリソースデータを同期することができます。詳細については、SSM「エンドポイントとクォータのリソースデータ同期の最大数 (リージョン AWS アカウント ごと)」を参照してください。
SSM スキャン用に作成されたリソース
Amazon Inspector では、Amazon EC2スキャンを実行するためにアカウント内の多数のSSMリソースが必要です。Amazon Inspector EC2スキャンを最初にアクティブ化すると、次のリソースが作成されます。
注記
これらのSSMリソースのいずれかが、Amazon Inspector Amazon EC2スキャンがアカウントに対してアクティブ化されている間に削除された場合、Amazon Inspector はそれらのリソースを次のスキャン間隔で再作成しようとします。
InspectorInventoryCollection-do-not-delete-
これは、Amazon Inspector が Amazon EC2インスタンスからソフトウェアアプリケーションインベントリを収集するために使用する Systems Manager State Manager (SSM) の関連付けです。アカウントがすでに からインベントリを収集するためのSSM関連付けを持っている場合
InstanceIds*、Amazon Inspector は独自の を作成する代わりにそれを使用します。 InspectorResourceDataSync-do-not-delete-
これは、Amazon Inspector が、収集したインベントリデータを Amazon EC2インスタンスから Amazon Inspector が所有する Amazon S3 バケットに送信するために使用するリソースデータ同期です。詳細については、「AWS Systems Manager ユーザーガイド」の「インベントリのリソースデータの同期の設定」を参照してください。
InspectorDistributor-do-not-delete-
これは、Amazon Inspector が Windows インスタンスのスキャンに使用するSSM関連付けです。この関連付けは、Windows インスタンスに Amazon Inspector SSMプラグインをインストールします。プラグインファイルが誤って削除された場合、この関連付けは次の関連付け間隔でプラグインを再インストールします。
InvokeInspectorSsmPlugin-do-not-delete-
これは、Amazon Inspector が Windows インスタンスのスキャンに使用するSSM関連付けです。この関連付けにより、Amazon Inspector はプラグインを使用してスキャンを開始できます。また、これを使用して Windows インスタンスのスキャンのカスタム間隔を設定することもできます。詳細については、「のカスタムスケジュールの設定 Windows インスタンススキャン」を参照してください。
InspectorLinuxDistributor-do-not-delete-
これは、Amazon Inspector が Amazon EC2 Linux のディープインスペクションに使用するSSM関連付けです。この関連付けは、Linux インスタンスに Amazon Inspector SSMプラグインをインストールします。
InvokeInspectorLinuxSsmPlugin-do-not-delete-
これは、Amazon Inspector が Amazon EC2 Linux のディープインスペクションに使用するSSM関連付けです。この関連付けにより、Amazon Inspector はプラグインを使用してスキャンを開始できます。
注記
Amazon Inspector Amazon EC2スキャンまたはディープインスペクションを無効にすると、SSMリソースInvokeInspectorLinuxSsmPlugin-do-not-deleteは呼び出されなくなります。
エージェントレススキャン
Amazon Inspector は、アカウントがハイブリッドスキャンモードの場合、対象となるインスタンスでエージェントレススキャン方法を使用します。ハイブリッドスキャンモードには、エージェントベースのスキャンとエージェントレススキャンが含まれており、Amazon EC2 スキャンを有効にすると自動的に有効になります。
エージェントレススキャンの場合、Amazon Inspector はEBSスナップショットを使用してインスタンスからソフトウェアインベントリを収集します。エージェントレススキャンは、オペレーティングシステムとアプリケーションプログラミング言語パッケージの脆弱性についてインスタンスをスキャンします。
注記
Linux インスタンスのアプリケーションプログラミング言語パッケージの脆弱性をスキャンする場合、エージェントレス方式では使用可能なすべてのパスがスキャンされます。一方、エージェントベーススキャンでは、デフォルトパスと、Linux ベースの Amazon インスタンスの Amazon Inspector ディープインスペクション EC2 の一部として指定した追加パスのみがスキャンされます。これにより、同じインスタンスでも、エージェントベース方式を使用してスキャンされたか、エージェントレス方式を使用してスキャンされたかによって、異なる検出結果が得られる可能性があります。
以下のプロセスでは、Amazon Inspector がEBSスナップショットを使用してインベントリを収集し、エージェントレススキャンを実行する方法について説明します。
-
Amazon Inspector は、インスタンスにアタッチされたすべてのボリュームのEBSスナップショットを作成します。Amazon Inspector が使用している間、スナップショットはアカウントに保存され、タグキーとして
InspectorScan、タグ値として一意のスキャン ID でタグ付けされます。 -
Amazon Inspector は、EBS直接APIsを使用してスナップショットからデータを取得し、脆弱性を評価します。検出された脆弱性に対して検出結果が生成されます。
-
Amazon Inspector は、アカウントで作成したEBSスナップショットを削除します。
対象インスタンス
Amazon Inspector は、インスタンスが以下の条件を満たす場合、エージェントレス方式でスキャンします。
-
サポートされている OS がインスタンスに備わっている。詳細については、「」の「エージェントベースのスキャンサポート」列を参照してくださいサポートされているオペレーティングシステム: Amazon EC2スキャン。
-
インスタンスのステータスは、
Unmanaged EC2 instance、Stale inventory、または ですNo inventory。 -
インスタンスは Amazon によってバックアップされておりEBS、次のいずれかのファイルシステム形式があります。
-
ext3 -
ext4 -
xfs
-
-
インスタンスは Amazon EC2除外タグによるスキャンから除外されません。
-
インスタンスにアタッチされたボリュームの数は 8 未満で、合計サイズは 1200 GB 以下です。
エージェントレススキャンの動作
アカウントが [ハイブリッドスキャン] 用に設定されている場合、Amazon Inspector は 24 時間ごとに対象インスタンスに対してエージェントレススキャンを実行します。Amazon Inspector は 1 時間ごとに新しい適格なインスタンスを検出してスキャンします。これには、SSMエージェントのない新しいインスタンス、または に変更されたステータスの既存のインスタンスが含まれますSSM_UNMANAGED。
Amazon Inspector は、エージェントレススキャン後にEC2インスタンスから抽出されたスナップショットをスキャンするたびに、Amazon インスタンスの最後にスキャンされたフィールドを更新します。
EC2 インスタンスの脆弱性が最後にスキャンされた日時は、アカウント管理ページのインスタンスタブから、または を使用して確認できます。 ListCoverage コマンド。
スキャンモードの管理
EC2 スキャンモードは、アカウントでスキャンを実行するときに Amazon Inspector が使用するEC2スキャン方法を決定します。アカウントのスキャンモードは、全般設定 のEC2スキャン設定ページから表示できます。スタンドアロンアカウントまたは Amazon Inspector の委任管理者は、スキャンモードを変更できます。Amazon Inspector の委任管理者としてスキャンモードを設定すると、そのスキャンモードが組織内のすべてのメンバーアカウントに設定されます。Amazon Inspector には以下のスキャンモードがあります。
エージェントベースのスキャン — このスキャンモードでは、Amazon Inspector はパッケージの脆弱性をスキャンする際にエージェントベースのスキャン方式のみを使用します。このスキャンモードは、アカウント内のSSMマネージドインスタンスのみをスキャンしますが、新しい CVEまたはインスタンスの変更に応じて継続的なスキャンを提供する利点があります。エージェントベースのスキャンでは、対象となるインスタンスに対して Amazon Inspector の詳細検査を行うこともできます。これは、新しくアクティブ化されたアカウントではデフォルトのスキャンモードです。
ハイブリッドスキャン — このスキャンモードでは、Amazon Inspector はエージェントベースの方式とエージェントレス方式の両方を組み合わせてパッケージの脆弱性をスキャンします。SSM エージェントをインストールして設定している適格なEC2インスタンスの場合、Amazon Inspector はエージェントベースのメソッドを使用します。SSM 管理されていない対象となるインスタンスの場合、Amazon Inspector は対象となる EBSbacked インスタンスにエージェントレスメソッドを使用します。
スキャンモードを変更するには
-
認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home
で Amazon Inspector コンソールを開きます。 -
ページの右上隅にある AWS リージョン セレクターを使用して、EC2スキャンモードを変更するリージョンを選択します。
-
サイドナビゲーションパネルの全般設定 で、EC2スキャン設定 を選択します。
-
[スキャンモード] で [編集] を選択します。
-
スキャンモードを選択し、[変更を保存] を選択します。
Amazon Inspector スキャンからのインスタンスの除外
除外できます。Linux また、Windows Amazon Inspector のインスタンスは、これらのインスタンスに InspectorEc2Exclusionキーをタグ付けしてスキャンします。タグ値を含めることはオプションです。タグの追加については、「Amazon EC2リソースのタグ付け」を参照してください。
Amazon Inspector スキャンから除外するようにインスタンスにタグ付けすると、Amazon Inspector はインスタンスを除外済みとしてマークし、結果を作成しません。ただし、Amazon Inspector SSMプラグインは引き続き呼び出されます。プラグインが呼び出されないようにするには、インスタンスメタデータ のタグへのアクセスを許可する必要があります。
注記
除外されたインスタンスには課金されません。
さらに、そのEBSボリュームの暗号化に使用される AWS KMS キーにタグを付けることで、暗号化されたボリュームをエージェントレススキャンから除外できますInspectorEc2Exclusion。詳細については、「 キーのタグ付け」を参照してください。
サポートされるオペレーティングシステム
Amazon Inspector は、サポートされている Mac、Windows、Linux EC2インスタンスをスキャンして、オペレーティングシステムパッケージの脆弱性を調べます。Linux インスタンスの場合、Amazon Inspector では Linux ベースの Amazon インスタンスの Amazon Inspector ディープインスペクション EC2 を使用してアプリケーションプログラミング言語パッケージの結果を生成できます。Mac および Windows インスタンスの場合、オペレーティングシステムパッケージのみがスキャンされます。
SSM エージェントなしでスキャンできるオペレーティングシステムなど、サポートされているオペレーティングシステムの詳細については、「」を参照してくださいAmazon EC2インスタンスのステータス値。
