Amazon Inspector による自動リソーススキャン - Amazon Inspector
Amazon Inspector のスキャンタイプの概要

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector による自動リソーススキャン

Amazon Inspector の Amazon EC2 向けエージェントレススキャンはプレビューリリース中です。Amazon EC2 エージェントレススキャン機能の使用には、「AWS のサービス条件」の第 2 項 (「ベータ版とプレビュー」) が適用されます。

Amazon Inspector は、独自の専用スキャンエンジンを使用しています。このエンジンは、ワークロードの侵害、リソースの悪用、データへの不正アクセスを引き起こす可能性のあるソフトウェアの脆弱性やオープンネットワークパスがないかリソースをモニタリングします。Amazon Inspector が脆弱性を検出すると、検出結果が作成されます。検出結果には、脆弱性の修復に役立つ検出に関連する詳細が含まれます。検出結果は Amazon インスペクターコンソールと Amazon Inspector API を使用して確認できます。詳細については、「Amazon Inspector での検出結果の管理」を参照してください。

アクティブ化すると、Amazon Inspector は対象となるすべてのリソースを自動的に検出し、それらのリソースの継続的なスキャンを開始します。Amazon Inspector では、ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャンします。Amazon Inspector は、新しいアプリケーションやパッチのインストールなどのイベントに応じたスキャンも実行します。

初めて Amazon Inspector をアクティブ化すると、アカウントはすべてのスキャンタイプに自動的に登録されます。以下のトピックでは、Amazon Inspector が提供するスキャンタイプに関する具体的な詳細について説明します。Amazon Inspector は、脆弱性の影響を受けるリソースタイプに基づいてスキャンタイプを分類します。以下のトピックでは、Amazon Inspector がスキャンするリソース、それらのリソースの新しいスキャンを開始する条件、および各リソースタイプのスキャンを設定する方法について説明します。

トピック

Amazon Inspector を初めてアクティブ化すると、アカウントは Amazon Amazon EC2 スキャン、Amazon ECR スキャン、Lambda 標準スキャンの各スキャンタイプに自動的に登録されます。Lambda コードスキャンは Lambda 関数スキャンのオプションレイヤーで、いつでもアクティブ化できます。

Amazon Inspector のスキャンタイプの概要

Amazon Inspector には、 AWS 環境内の特定のリソースタイプに焦点を当てたさまざまなスキャンタイプが用意されています。

Amazon EC2 スキャン

Amazon EC2 スキャンをアクティブ化すると、Amazon Inspector は Amazon EC2 インスタンスをスキャンして、オペレーティングシステムパッケージとプログラミング言語パッケージの脆弱性、およびネットワーク到達可能性を確認します。Amazon Inspector は EC2 インスタンスをスキャンして、共通脆弱性識別子 (CVE) やネットワークへの露出の問題がないか調べます。Amazon Inspector は、インスタンスにインストールされている SSM エージェントを使用するか、インスタンスの Amazon EBS スナップショットを使用してスキャンを実行します。Amazon EC2 のスキャンの詳細については、「Amazon Inspector による Amazon EC2 インスタンスのスキャン」を参照してください。

Amazon ECR スキャン

Amazon ECR スキャンを有効にすると、Amazon Inspector はプライベートレジストリ内のすべてのベーシックスキャンコンテナリポジトリを継続的スキャンによる拡張スキャンに変換します。また、オプションでこの設定をオンプッシュ時のみスキャンしたり、包含ルールを使用して特定のリポジトリをスキャンしたりするように設定することもできます。過去 30 日以内にプッシュされたイメージ、または過去 90 日以内にプルされたイメージはすべて、最初にスキャンされます。Amazon Inspector はデフォルトで 90 日間イメージをモニタリングし続けます。この設定はいつでも変更できます。Amazon ECR のスキャンの詳細については、「Amazon Inspector による Amazon ECR コンテナイメージのスキャン」を参照してください。

Lambda 標準スキャン

Lambda 標準スキャンをアクティブ化すると、Amazon Inspector はアカウント内の Lambda 関数を検出し、すぐに脆弱性のスキャンを開始します。Amazon Inspector は、新しい Lambda 関数とレイヤーをデプロイ時にスキャンし、それらが更新されたとき、または新しい共通脆弱性識別子 (CVE) が発行されたときに再スキャンします。Lambda 関数のスキャンの詳細については、「Amazon Inspector による AWS Lambda 関数のスキャン」を参照してください。

Lambda 標準スキャン + Lambda コードスキャン

このオプションでは、Lambda 標準スキャンと Lambda コードスキャンを組み合わせることができます。Lambda コードスキャンをアクティブ化すると、Amazon Inspector はアカウント内の Lambda 関数とレイヤーを検出し、アプリケーションパッケージの依存関係にあるコードの脆弱性をスキャンします。Lambda コードスキャンは、Lambda 関数内のカスタムアプリケーションコードをスキャンして、コードの脆弱性がないか調べます。これら 2 つのスキャンタイプは同時にアクティブ化する必要があります。詳細については、Amazon Inspector Lambda コードスキャンを参照してください。