Amazon Inspector を使用した AWS Lambda 関数のスキャン - Amazon Inspector
Lambda 関数スキャンのスキャン動作サポートされているランタイムと関数

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector を使用した AWS Lambda 関数のスキャン

Amazon Inspector は、 AWS Lambda 関数とレイヤーのサポートにより、継続的な自動セキュリティ脆弱性評価を提供します。Amazon Inspector では、2 種類の Lambda 関数スキャンを提供しています。

Amazon Inspector Lambda 標準スキャン

これはデフォルトの Lambda スキャンタイプです。Lambda 標準スキャンでは、Lambda 関数とレイヤー内のアプリケーションの依存関係をスキャンして、パッケージの脆弱性について調べます。

Amazon Inspector Lambda コードスキャン

このスキャンタイプでは、Lambda 関数やレイヤー内のカスタムアプリケーションコードをスキャンして、コードの脆弱性について調べます。Lambda 標準スキャンをアクティブ化することも、Lambda コードスキャンと同時に Lambda 標準スキャンをアクティブ化することもできます。

Lambda 関数スキャンをアクティブ化すると、Amazon Inspector はアカウントに以下の AWS CloudTrail サービスにリンクされたチャネルを作成します: cloudtrail:CreateServiceLinkedChannel および cloudtrail:DeleteServiceLinkedChannel。Amazon Inspector はこれらのチャネルを管理し、それらを使用して CloudTrail イベントのスキャンをモニタリングします。これらのチャネルにより、CloudTrail で証跡があったかのように、アカウントの CloudTrail イベントを表示できます。CloudTrail で独自の証跡を作成して、アカウントのイベントを管理することをお勧めします。

Lambda 関数スキャンをアクティブ化する方法については、「スキャンタイプをアクティブ化する」を参照してください。このセクションでは、Lambda 関数のスキャンについて説明します。

Lambda 関数スキャンのスキャン動作

Amazon Inspector はアクティベーション時に、アカウント内で過去 90 日間に呼び出された、または更新されたすべての Lambda 関数をスキャンします。Amazon Inspector は、次のような状況で Lambda 関数の脆弱性スキャンを開始します。

  • Amazon Inspector が既存の Lambda 関数を検出した時。

  • 新しい Lambda 関数が Lambda サービスにデプロイされた場合。

  • 既存の Lambda 関数またはそのレイヤーのアプリケーションコードまたは依存関係に更新がデプロイされた場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE が関数に関連している場合。

Amazon Inspector は、各 Lambda 関数が削除されるかスキャンから除外されるまで、そのライフタイム期間を通じてモニタリングします。

Lambda 関数の脆弱性の最終確認日は、[アカウント管理] ページの [Lambda 関数] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Lambda 関数の [最終スキャン日] フィールドを更新します。

  • Amazon Inspector が Lambda 関数の初回スキャンを完了した時。

  • Lambda 関数の更新時。

  • Amazon Inspector が Lambda 関数を再スキャンしたとき。これは、その関数に影響する新しい CVE 項目が Amazon Inspector データベースに追加されたためです。

サポートされているランタイムと対象となる関数

Amazon Inspector は、Lambda 標準スキャンと Lambda コードスキャンのさまざまなランタイムをサポートしています。各スキャンタイプでサポートされているランタイムのリストについては、「サポートされているランタイム: Amazon Inspector Lambda 標準スキャン」と「サポートされているランタイム: Amazon Inspector Lambda コードスキャン」を参照してください。

Lambda 関数が Amazon Inspector スキャンの対象となるには、ランタイムがサポートされていることに加えて、以下の基準を満たす必要があります。

  • この関数は過去 90 日間に呼び出されたか、または更新されています。

  • この関数は $LATEST にマークされています。

  • この関数はタグによるスキャンから除外されていません。

注記

過去 90 日間に呼び出されたり変更されたりしていない Lambda 関数は、自動的にスキャンから除外されます。Amazon Inspector は、再度呼び出されたり、Lambda 関数コードに変更が加えられたりする場合に、自動的に除外された関数のスキャンを再開します。