

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector の Security Hub CSPM コントロール
<a name="inspector-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Inspector サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります
<a name="inspector-1"></a>

**関連する要件:** PCI DSS v4.0.1/11.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector EC2 スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector EC2 スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで EC2 スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの EC2 スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector EC2 スキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector EC2 スキャンは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからメタデータを抽出し、このメタデータをセキュリティアドバイザリから収集されたルールと比較して、検出結果を生成します。Amazon Inspector はインスタンスをスキャンして、パッケージの脆弱性とネットワークの到達性の問題がないか調べます。SSM エージェントなしでスキャンできるオペレーティングシステムなど、サポートされているオペレーティングシステムの詳細については、「[サポートされているオペレーティングシステム: Amazon EC2 スキャン](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2)」を参照してください。

### 修正
<a name="inspector-1-remediation"></a>

Amazon Inspector EC2 スキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。

## [Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります
<a name="inspector-2"></a>

**関連する要件:** PCI DSS v4.0.1/11.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector ECR スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector ECR スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで ECR スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの ECR スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector ECR スキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector は、Amazon Elastic Container Registry (Amazon ECR) に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ 脆弱性の検出結果を生成します。Amazon ECR の Amazon Inspector スキャンをアクティブ化すると、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。これにより、Amazon ECR が無料で提供する基本的なスキャンが、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換わります。拡張スキャンでは、オペレーティングシステムパッケージとプログラミング言語パッケージの両方をレジストリレベルで脆弱性スキャンできるという利点があります。拡張スキャンを使用して検出された検出結果は、Amazon ECR コンソールで、イメージのレイヤーごとにイメージレベルで確認できます。さらに、 や AWS Security Hub CSPM Amazon EventBridge など、基本的なスキャン検出には利用できない他のサービスで、これらの検出結果を確認して操作できます。

### 修正
<a name="inspector-2-remediation"></a>

Amazon Inspector ECR スキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。

## [Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります
<a name="inspector-3"></a>

**関連する要件:** PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector Lambda コードスキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda コードスキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda コードスキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの Lambda コードスキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector Lambda コードスキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda コードスキャンは、 AWS セキュリティのベストプラクティスに基づいて、 AWS Lambda 関数内のカスタムアプリケーションコードをスキャンして、コードの脆弱性を検出します。Lambda コードスキャンでは、コード内のインジェクションの欠陥、データ漏洩、脆弱な暗号化、または暗号化の欠落を検出できます。この機能は特定の [AWS リージョン でのみ](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability)使用できます。Lambda コードスキャンを Lambda 標準スキャンと同時にアクティブ化できます ([[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](#inspector-4) を参照)。

### 修正
<a name="inspector-3-remediation"></a>

Amazon Inspector Lambda コードスキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。

## [Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります
<a name="inspector-4"></a>

**関連する要件:** PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::::Account`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Inspector Lambda 標準スキャンが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda 標準スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda 標準スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 Amazon Inspector 管理者アカウントでのみ検出結果を生成します。委任管理者のみが、組織内のメンバーアカウントの Lambda 標準スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントからは、この設定を変更できません。このコントロールは、委任管理者に Amazon Inspector Lambda 標準スキャンが有効になっていない停止メンバーアカウントがある場合に `FAILED` 検出結果を生成します。`PASSED` 検出結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda 標準スキャンは、 AWS Lambda 関数コードとレイヤーに追加するアプリケーションパッケージの依存関係のソフトウェアの脆弱性を特定します。Amazon Inspector が Lambda 関数のアプリケーションパッケージの依存関係に脆弱性を検出すると、Amazon Inspector は詳細な `Package Vulnerability` タイプの検出結果を生成します。Lambda コードスキャンを Lambda 標準スキャンと同時にアクティブ化できます ([[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](#inspector-3) を参照)。

### 修正
<a name="inspector-4-remediation"></a>

Amazon Inspector Lambda 標準スキャンを有効にするには、「*Amazon Inspector ユーザーガイド*」の「[スキャンのアクティブ化](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)」を参照してください。