Amazon Inspector とは - Amazon Inspector

Amazon Inspector とは

Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークの露出についてワークロードを自動的に検出し、継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon EC2 インスタンスAmazon ECR のコンテナイメージ、および Lambda 関数を検出してスキャンします。Amazon Inspector がソフトウェアの脆弱性または意図しないネットワークへの露出を検出すると、問題に関する詳細なレポートである検出結果が作成されます。Amazon Inspector コンソールまたは API で検出結果を管理できます。

Amazon Inspector の特徴

複数の Amazon Inspector アカウントを一元管理

AWS 環境に複数のアカウントがある場合、AWS 組織を利用することで単一のアカウントで環境を一元管理できます。この方法を使用することで、Amazon Inspector の委任された管理者アカウントとしてアカウントを指定できます。

Amazon Inspector は、ワンクリックで組織全体にアクティブ化できます。さらに、今後新たなメンバーが組織に入るたびに、自動的にサービスをアクティブ化することもできます。Amazon Inspector の委任された管理者アカウントは、組織のメンバーの検出結果データと特定の設定を管理できます。これには、すべてのメンバーアカウントの集計された検出結果の詳細の表示、メンバーアカウントのスキャンのアクティブ化または非アクティブ化、AWS 組織内のスキャンされたリソースの確認が含まれます。

環境を継続的にスキャンして、脆弱性やネットワークの露出がないかを確認します。

Amazon Inspector を使用すれば、評価スキャンを手動でスケジュールまたは設定する必要はありません。Amazon Inspector は、対象となるリソースを自動的に検出し、スキャンを開始します。Amazon Inspector は、EC2 インスタンスへの新しいパッケージのインストール、パッチのインストール、リソースに影響を与える新しい共通脆弱性識別子 (CVE) が発行された場合など、新しい脆弱性をもたらす可能性のある変更に対応してリソースを自動的に再スキャンすることで、リソースのライフサイクル全体を通じて引き続き環境を評価します。従来のセキュリティスキャンソフトウェアとは異なり、Amazon Inspector はお客様のフリートのパフォーマンスへの影響を最小限に抑えます。

脆弱性またはオープンネットワークパスが特定されると、Amazon Inspector は調査可能な検出結果を生成します。検出結果には、脆弱性、影響を受けるリソース、および修復に関する推奨事項に関する包括的な詳細が含まれます。検出結果を適切に修復すると、Amazon Inspector は自動的に修正を検出し、検出結果を終了します。

Amazon Inspector のリスクスコアを使用して脆弱性を正確に評価

Amazon Inspector はスキャンを通じて環境に関する情報を収集し、その環境に合わせて特別に調整された重要度スコアを提供します。Amazon Inspector は、脆弱性の全国脆弱性データベース (NVD) の基本スコアを構成するセキュリティメトリクスを調べ、コンピューティング環境に応じて調整します。たとえば、脆弱性がネットワーク上で悪用可能であるが、インスタンスからインターネットへのオープンネットワークパスが利用できない場合、サービスは Amazon EC2 インスタンスの検出結果の Amazon Inspector スコアを下げる可能性があります。このスコアは CVSS 形式で、NVD が提供する共通脆弱性スコアリングシステム (CVSS) の基本スコアを修正したものです。

Amazon Inspector ダッシュボードを使用して影響の大きい検出結果を特定する

Amazon Inspector ダッシュボードには、環境全体から得られた検出結果の概要が表示されます。ダッシュボードから、検出結果の詳細にアクセスできます。ダッシュボードには、環境内のスキャン範囲、最も緊急の検出結果、および最も多くの検出結果が得られたリソースに関する効率的な情報が表示されます。Amazon Inspector ダッシュボードのリスクベースの修復パネルには、最も多くのインスタンスとイメージに影響する検出結果が表示されます。このパネルでは、環境に最も大きな影響を与える検出結果の特定、検出結果の詳細確認、および推奨される解決策の確認がより容易になります。

カスタマイズ可能なビューを使用して検出結果を管理

ダッシュボードに加えて、Amazon Inspector コンソールには検出結果ビューがあります。このページでは、環境に関する検出結果をリスト化し、個別の検出結果の詳細を提供します。検出結果は、カテゴリまたは脆弱性タイプ別にグループ化して表示できます。各ビューでは、フィルターを使用して結果をさらにカスタマイズできます。フィルターを使用して、不要な検出結果をビューから隠す非表示ルールを作成することもできます。

フィルターと抑制ルールを使用して、すべての検出結果またはカスタマイズされた結果の選択を表示する結果レポートを生成できます。レポートは CSV 形式または JSON 形式で生成できます。

他のサービスおよびシステムを用いた検出結果のモニタリングと処理

他のサービスやシステムとの統合をサポートするために、Amazon Inspector は検出結果イベントとして Amazon EventBridge に検出結果を発行します。EventBridge は、AWS Lambda 関数や Amazon Simple Notification Service (Amazon SNS) トピックなどのターゲットに検出結果データをルーティングできるサーバーレスイベントバスサービスです。EventBridge を使用すると、既存のセキュリティおよびコンプライアンスワークフローの一部として、ほぼリアルタイムで検出結果をモニタリングおよび処理できます。

AWS Security Hub をアクティブ化すると、Amazon Inspector は検出結果を Security Hub にも公開します。Security Hub は、AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立つサービスです。Security Hub を使用すると、AWS 内の組織のセキュリティ体制の広範な分析の一部として、検出結果をより簡単にモニタリングおよび処理できます。

Amazon Inspector へのアクセス

Amazon Inspector はほとんどの AWS リージョン で利用可能です。Amazon Inspector が現在利用可能な リージョンの一覧については、Amazon Web Services 全般リファレンス の「Amazon Inspector のエンドポイントとクォータ」を参照してください。AWS リージョン の詳細については、「Amazon Web Services General Reference」の「Managing AWS リージョン」を参照してください。各リージョンで、次のいずれかの方法で Amazon Inspector を使用できます。

AWS マネジメントコンソール

AWS Management Console は、AWS リソースの作成と管理に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Amazon Inspector コンソールは Amazon Inspector アカウントとリソースへのアクセスを提供します。Amazon Inspector タスクは、Amazon Inspector コンソールから実行できます。

AWS コマンドラインツール

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行し、Amazon Inspector タスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、AWS Command Line Interface (AWS CLI) とAWS Tools for PowerShellという 2 セットのコマンドラインツールが用意されています。AWS CLI コマンドラインインターフェースのインストールと使用に関する一般的な情報については、「AWS コマンドラインインターフェイスユーザーガイド」を参照してください。Tools for PowerShell のインストールおよび使用の方法については、AWS Tools for PowerShell ユーザーガイドを参照してください。

AWS SDK

AWS は、さまざまなプログラミング言語とプラットフォーム (Java、Go、Python、C++、.NET を含む) のライブラリとサンプルコードで構成される SDK を提供します。SDK は、Amazon Inspector および他の AWS のサービス への便利なプログラムによるアクセスを提供します。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWS SDK のインストールと使用の詳細については、AWS での構築ツールを参照してください。

Amazon Inspector REST API

Amazon Inspector REST API は、Amazon Inspector アカウントとリソースへの包括的なプログラムによるアクセスを提供します。この API を使用すると、HTTPS リクエストを Amazon Inspector に直接送信できます。ただし、AWS コマンドラインツールや SDK とは異なり、この API を使用するには、リクエストに署名するハッシュの生成など、低レベルの詳細な作業をアプリケーションで処理する必要があります。