[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります [Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります [Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります [Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

Amazon Inspector の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon Inspector サービスとリソースを評価します。

これらのコントロールは、一部ので使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります

関連する要件： PCI DSS v4.0.1/11.3.1

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール : inspector-ec2-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector EC2 スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector EC2 スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで EC2 スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの EC2 スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector EC2 スキャンが有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector EC2 スキャンは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからメタデータを抽出し、このメタデータをセキュリティアドバイザリから収集されたルールと比較して、検出結果を生成します。Amazon Inspector はインスタンスをスキャンして、パッケージの脆弱性とネットワークの到達性の問題がないか調べます。SSM エージェントなしでスキャンできるオペレーティングシステムなど、サポートされているオペレーティングシステムの詳細については、「サポートされているオペレーティングシステム: Amazon EC2 スキャン」を参照してください。

修正

Amazon Inspector EC2 スキャンを有効にするには、「Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります

関連する要件： PCI DSS v4.0.1/11.3.1

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール : inspector-ecr-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector ECR スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector ECR スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで ECR スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの ECR スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector ECR スキャンが有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector は、Amazon Elastic Container Registry (Amazon ECR) に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ脆弱性の検出結果を生成します。Amazon ECR の Amazon Inspector スキャンをアクティブ化すると、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。これにより、Amazon ECR が無料で提供する基本的なスキャンが、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換わります。拡張スキャンでは、オペレーティングシステムパッケージとプログラミング言語パッケージの両方をレジストリレベルで脆弱性スキャンできるという利点があります。拡張スキャンを使用して検出された検出結果は、Amazon ECR コンソールで、イメージのレイヤーごとにイメージレベルで確認できます。さらに、や AWS Security Hub Amazon EventBridge など、基本的なスキャンの検出結果には利用できない他のサービスで、これらの検出結果を確認して操作できます。

修正

Amazon Inspector ECR スキャンを有効にするには、「Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

関連する要件： PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール : inspector-lambda-code-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector Lambda コードスキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda コードスキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda コードスキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの Lambda コードスキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector Lambda コードスキャンが有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda コードスキャンは、 AWS セキュリティのベストプラクティスに基づいて、 AWS Lambda 関数内のカスタムアプリケーションコードをスキャンして、コードの脆弱性がないか調べます。Lambda コードスキャンでは、コード内のインジェクションの欠陥、データ漏洩、脆弱な暗号化、または暗号化の欠落を検出できます。この機能は、特定の AWS リージョンでのみ使用できます。Lambda コードスキャンを Lambda 標準スキャンと同時にアクティブ化できます ([Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要がありますを参照)。

修正

Amazon Inspector Lambda コードスキャンを有効にするには、「Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

関連する要件： PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール : inspector-lambda-standard-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector Lambda 標準スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda 標準スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda 標準スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの Lambda 標準スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector Lambda 標準スキャンが有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda 標準スキャンは、 AWS Lambda 関数コードとレイヤーに追加するアプリケーションパッケージの依存関係内のソフトウェアの脆弱性を特定します。Amazon Inspector が Lambda 関数のアプリケーションパッケージの依存関係に脆弱性を検出すると、Amazon Inspector は詳細な Package Vulnerability タイプの検出結果を生成します。Lambda コードスキャンを Lambda 標準スキャンと同時にアクティブ化できます ([Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要がありますを参照)。

修正

Amazon Inspector Lambda 標準スキャンを有効にするには、「Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Identity and Access Management (IAM) コントロール

AWS IoT コントロール