AWS 環境の Amazon Inspector カバレッジの評価 - Amazon Inspector
アカウントレベルのカバレッジを評価するAmazon EC2インスタンスのカバレッジの評価Amazon ECRリポジトリのカバレッジの評価Amazon ECRコンテナイメージのカバレッジの評価 AWS Lambda 関数のカバレッジを評価する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS 環境の Amazon Inspector カバレッジの評価

Amazon Inspector コンソールのアカウント管理画面から、 AWS 環境の Amazon Inspector カバレッジを評価できます。これにより、アカウントとリソースの Amazon Inspector スキャンのステータスに関する詳細と統計が表示されます。

注記

ユーザーが組織の委任管理者である場合は、組織内のすべてのアカウントの詳細と統計を表示できます。

次の手順では、Amazon Inspector 環境のカバレッジを評価する方法について説明します。

AWS 環境の Amazon Inspector カバレッジを評価するには

  1. 認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインから、アカウント管理 を選択します。

  3. カバレッジを確認するには、次のいずれかのタブを選択します。

    • アカウントを選択して、アカウントレベルのカバレッジを確認します。

    • インスタンスを選択して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのカバレッジを確認します。

    • コンテナリポジトリを選択して、Amazon Elastic Container Registry (Amazon ECR) リポジトリのカバレッジを確認します。

    • コンテナイメージを選択して、Amazon ECRコンテナイメージのカバレッジを確認します。

    • Lambda 関数を選択して、Lambda 関数のカバレッジを確認します。

以下のトピックでは、これらの各タブが提供する情報について説明します。

アカウントレベルのカバレッジを評価する

アカウントが組織の一部ではない場合、または組織の委任された Amazon Inspector 管理者アカウントではない場合、[アカウント] タブには、アカウントに関する情報と、アカウントのリソーススキャンのステータスが表示されます。このタブでは、アカウントのすべてまたは特定のタイプのリソースのみのスキャンをアクティブ化または非アクティブ化にできます。詳細については、「Amazon Inspector による自動リソーススキャン」を参照してください。

アカウントが組織の委任された Amazon Inspector 管理者アカウントの場合、[アカウント] タブには組織内のアカウントの自動アクティベーション設定が表示され、組織内のすべてのアカウントが一覧表示されます。アカウントごとに、そのアカウントで Amazon Inspector がアクティブ化になっているかどうかを表示し、その場合は、そのアカウントでアクティブ化になっているリソーススキャンタイプがリストに表示されます。委任された管理者は、このタブを使用して組織の自動アクティベーション設定を変更できます。また、個々のメンバーアカウントの特定のタイプのリソーススキャンをアクティブ化または非アクティブ化することもできます。詳細については、「メンバーアカウントの Amazon Inspector スキャンをアクティブ化する」を参照してください。

Amazon EC2インスタンスのカバレッジの評価

インスタンス タブには、環境 AWS 内の Amazon EC2インスタンスが表示されます。リストは次のタブにグループ分けされています。

  • すべて — 環境内のすべてのインスタンスを表示します。ステータス列には、インスタンスの現在のスキャンステータスが表示されます。

  • スキャン — Amazon Inspector が環境でアクティブにモニタリングおよびスキャンしているすべてのインスタンスを表示します。

  • スキャンしない — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのインスタンスを表示します。理由列には、Amazon Inspector がインスタンスをモニタリングおよびスキャンしていない理由が表示されます。

    EC2 インスタンスは、いくつかの理由でスキャンしないタブに表示されることがあります。Amazon Inspector は AWS Systems Manager (SSM) と SSM エージェントを使用して、EC2インスタンスの脆弱性を自動的にモニタリングおよびスキャンします。インスタンスで SSM エージェントが実行されていない、Systems Manager をサポートする AWS Identity and Access Management (IAM) ロールがない、またはサポートされているオペレーティングシステムまたはアーキテクチャを実行していない場合、Amazon Inspector はインスタンスをモニタリングおよびスキャンできません。詳細については、「Amazon EC2インスタンスのスキャン」を参照してください。

各タブで、アカウント列はインスタンスを所有 AWS アカウント する を指定します。

EC2 インスタンスタグ – この列には、インスタンスに関連付けられたタグが表示され、インスタンスがタグによるスキャンから除外されているかどうかを判断するために使用できます。

[オペレーティングシステム] — この列には、オペレーティングシステムの種類 (WINDOWSMACLINUX、または UNKNOWN) が表示されます。

を使用してモニタリング – この列には、Amazon Inspector がこのインスタンスでエージェントベースまたはエージェントレスのスキャン方法を使用しているかどうかが表示されます。

[最終スキャン日] - この列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。Amazon Inspector がスキャンを実行する頻度は、インスタンスのスキャンに使用されているスキャン方式によって異なります。

EC2 インスタンスに関する追加の詳細を確認するには、EC2インスタンス列のリンクを選択します。次に、Amazon Inspector はインスタンスに関する詳細と、そのインスタンスに関する現在の検出結果を表示します。特定の検出結果の詳細を確認するには、[タイトル] 列のリンクを選択します。その詳細については、「Amazon Inspector の検出結果の詳細の表示」を参照してください。

Amazon EC2インスタンスのステータス値のスキャン

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、可能なステータス値は次のとおりです。

  • アクティブにモニタリング中 — Amazon Inspector ではインスタンスを継続的にモニタリングおよびスキャンしています。

  • EC2 インスタンスの停止 — インスタンスが停止状態であるため、Amazon Inspector はインスタンスのスキャンを一時停止しました。既存の検出結果はすべて、インスタンスが終了するまで保持されます。インスタンスが再起動されると、Amazon Inspector はインスタンスのスキャンを自動的に再開します。

  • 内部エラー — Amazon Inspector がインスタンスをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

  • インベントリなし — Amazon Inspector は、インスタンスをスキャンするソフトウェアアプリケーションインベントリを見つけることができませんでした。インスタンスの Amazon Inspector の関連付けが削除されているか、実行に失敗した可能性があります。

    この問題を修正 AWS Systems Manager するには、 を使用して、InspectorInventoryCollection-do-not-delete関連付けが存在し、関連付けのステータスが成功していることを確認します。さらに、 AWS Systems Manager Fleet Manager を使用してインスタンスのソフトウェアアプリケーションインベントリを確認します。

  • 保留中の無効化 — Amazon Inspector はインスタンスのスキャンを停止しました。インスタンスは無効になっており、クリーンアップタスクの完了を待っています。

  • 保留中の初期スキャン — Amazon Inspector は初期スキャンのためにインスタンスをキューに入れました。

  • リソースが終了しました - インスタンスが終了しました。Amazon Inspector は現在、インスタンスの既存の検出結果とカバレッジデータをクリーンアップしています。

  • 古いインベントリ — Amazon Inspector は、過去 7 日以内にインスタンスについてキャプチャされた更新されたソフトウェアアプリケーションインベントリを収集できませんでした。

    この問題を修正 AWS Systems Manager するには、 を使用して、インスタンスに必要な Amazon Inspector の関連付けが存在し、実行されていることを確認します。さらに、 AWS Systems Manager Fleet Manager を使用してインスタンスのソフトウェアアプリケーションインベントリを確認します。

  • アンマネージドEC2インスタンス — Amazon Inspector はインスタンスをモニタリングまたはスキャンしません。インスタンスは AWS Systems Managerによって管理されていません。

    この問題を修正するには、 AWS Systems Manager オートメーションAWSSupport-TroubleshootManagedInstance runbookが提供する を使用できます。インスタンスを管理する AWS Systems Manager ように を設定すると、Amazon Inspector は自動的にインスタンスの継続的なモニタリングとスキャンを開始します。

  • サポートされていない OS — Amazon Inspector はインスタンスをモニタリングまたはスキャンしていません。インスタンスは、Amazon Inspector がサポートしていないオペレーティングシステムまたはアーキテクチャを使用しています。Amazon Inspector がサポートしているオペレーティングシステムのリストについては、「Amazon EC2スキャンでサポートされているオペレーティングシステム」を参照してください。

  • 部分的なエラーでアクティブにモニタリングする – このステータスは、EC2スキャンがアクティブであるが、 に関連するエラーがあることを意味しますLinux ベースの Amazon インスタンスの Amazon Inspector の詳細検査 EC2 。考えられる詳細検査エラーは次のとおりです。

    • 詳細検査パッケージの収集制限を超えました – インスタンスが Amazon Inspector 詳細検査の 5000 パッケージ制限を超えました。このインスタンスの詳細な検査を再開するには、アカウントに関連付けられたカスタムパスの調整を試みます。

    • Deep inspection daily ssm inventory limit exceeded – インスタンスごとに収集されるインベントリデータのSSMクォータがこのインスタンスに対してすでに達しているため、SSMエージェントはインベントリを Amazon Inspector に送信できませんでした。 詳細については、「Amazon EC2 Systems Manager エンドポイントとクォータ」を参照してください。

    • 詳細検査の収集時間の制限を超えました – パッケージ収集時間が最大しきい値の 15 分を超えているため、Amazon Inspector はパッケージインベントリの抽出に失敗しました。

    • Deep inspection にはインベントリがありませんAmazon Inspector SSMプラグインは、このインスタンスのパッケージのインベントリをまだ収集していません。これは通常、保留中のスキャンの結果ですが、このステータスが 6 時間後に持続する場合は、Amazon EC2 Systems Manager を使用して、インスタンスに必要な Amazon Inspector の関連付けが存在し、実行されていることを確認します。

EC2 インスタンスのスキャン設定の構成の詳細については、「」を参照してくださいAmazon EC2インスタンスのスキャン

Amazon ECRリポジトリのカバレッジの評価

リポジトリタブには、環境 AWS 内の Amazon ECR リポジトリが表示されます。リストは以下のタブでグループにまとめられています。

  • すべて — 環境内のすべてのリポジトリを表示します。[ステータス] 列には、レポジトリの現在のスキャンステータスが表示されます。

  • アクティブ化 — Amazon Inspector が環境でモニタリングおよびスキャンするように設定されているすべてのリポジトリを表示します。[ステータス] 列には、レポジトリの現在のスキャンステータスが表示されます。

  • アクティブ化されていません — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのリポジトリを表示します。[理由] 列には、Amazon Inspector がインスタンスをモニタリングおよびスキャンしていない理由が表示されます。

各タブで、アカウント列はリポジトリを所有 AWS アカウント する を指定します。

リポジトリに関するその他の詳細を確認するには、リポジトリの名前を選択します。次に、Amazon Inspector はリポジトリ内のコンテナイメージのリストと各イメージの詳細を表示します。詳細には、イメージタグ、イメージダイジェスト、スキャンステータスが含まれます。また、イメージの緊急の検出結果の数など、主要な検出結果の統計情報も含まれます。検出結果の裏付けとなるデータを掘り下げて確認するには、イメージの [イメージ] タグを選択します。

Amazon ECRリポジトリのステータス値のスキャン

Amazon Elastic Container Registry (Amazon ECR) リポジトリの場合、可能なステータス値は次のとおりです。

  • 有効 (継続的) – リポジトリの場合、Amazon Inspector はこのリポジトリ内のイメージを継続的にモニタリングしています。リポジトリの拡張スキャン設定は継続的スキャンに設定されています。Amazon Inspector は、プッシュ時に新しいイメージを最初にスキャンし、そのイメージCVEに関連する新しいイメージが公開された場合はイメージを再スキャンします。Amazon Inspector は、設定したECRスキャン期間中、このリポジトリ内のイメージを引き続きモニタリングします。

  • 有効 (プッシュ時) – Amazon Inspector は、新しいイメージがプッシュされると、リポジトリ内の個々のコンテナイメージを自動的にスキャンします。拡張スキャンはリポジトリに対してアクティブ化され、プッシュ時にスキャンするように設定されます。

  • アクセス拒否 — Amazon Inspector は、リポジトリまたはリポジトリ内のコンテナイメージへのアクセスを許可されていません。

    この問題を修正するには、リポジトリの AWS Identity and Access Management (IAM) ポリシーで Amazon Inspector がリポジトリにアクセスすることを許可していることを確認します。

  • 非アクティブ化 (手動) — Amazon Inspector はリポジトリ内のコンテナイメージをモニタリングまたはスキャンしていません。リポジトリの Amazon ECRスキャン設定は、基本的な手動スキャンに設定されています。

    Amazon Inspector を使用してリポジトリ内のイメージのスキャンを開始するには、リポジトリのスキャン設定を拡張スキャンに変更し、イメージを継続的にスキャンするか、新しいイメージがプッシュされたときにのみスキャンするかを選択します。

  • 有効 (プッシュ時) – Amazon Inspector は、新しいイメージがプッシュされると、リポジトリ内の個々のコンテナイメージを自動的にスキャンします。リポジトリの拡張スキャン設定は、プッシュ時にスキャンするように設定されています。

  • 内部エラー — Amazon Inspector がリポジトリをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

リポジトリ のスキャン設定の構成の詳細については、「」を参照してくださいAmazon ECRコンテナイメージのスキャン

Amazon ECRコンテナイメージのカバレッジの評価

イメージタブには、環境 AWS 内の Amazon ECRコンテナイメージが表示されます。リストは次のタブでグループにまとめられています。

  • すべて — 環境内のすべてのコンテナイメージを表示します。[ステータス] 列には、イメージの現在のスキャンステータスが表示されます。

  • スキャン — Amazon Inspector が環境でアクティブにモニタリングおよびスキャンしているすべてのコンテナイメージを表示します。[ステータス] 列には、イメージの現在のスキャンステータスが表示されます。

  • スキャンしない — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのコンテナイメージを表示します。[理由] 列には、Amazon Inspector がイメージをモニタリングおよびスキャンしていない理由が表示されます。

    コンテナイメージが [アクティブ化されていません] タブに表示される理由はいくつかあります。イメージは、Amazon Inspector スキャンがアクティブ化されていないリポジトリに保存されている可能性があります。そうしないと、Amazon ECRフィルタリングルールによってそのリポジトリがスキャンされない可能性があります。または、ECR再スキャン期間 に設定された日数内にイメージがプッシュまたはプルされていない。詳細については、「ECR 再スキャン期間の設定」を参照してください。

各タブの [リポジトリ名] 列には、コンテナイメージを格納するリポジトリの名前を指定します。Account 列は、リポジトリを所有 AWS アカウント する を指定します。[最終スキャン日] 列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。これには、結果メタデータの更新時、リソースのアプリケーションインベントリの更新時、または新しい に応答して再スキャンが行われたときのチェックが含まれますCVE。詳細については、「Amazon スキャンのECRスキャン動作」を参照してください。

コンテナイメージに関する追加の詳細を確認するには、ECRコンテナイメージ列のリンクを選択します。次に、Amazon Inspector はイメージに関する詳細と、そのイメージに関する現在の検出結果を表示します。特定の検出結果の詳細を確認するには、[タイトル] 列のリンクを選択します。その詳細については、「Amazon Inspector の検出結果の詳細の表示」を参照してください。

Amazon ECRコンテナイメージのステータス値のスキャン

Amazon Elastic Container Registry コンテナイメージの場合、可能なステータス値は次のとおりです。

  • アクティブモニタリング (継続的) — Amazon Inspector は継続的にモニタリングされており、関連する新しい が公開されるたびにイメージと新しいスキャンCVEが実行されます。イメージの Amazon ECR 再スキャン期間は、イメージがプッシュまたはプルされるたびに更新されます。イメージを保存するリポジトリでは拡張スキャンが有効になっており、リポジトリの拡張スキャン設定は継続的スキャンに設定されています。

  • 有効 (プッシュ時) — Amazon Inspector は、新しいイメージがプッシュされるたびに自動的にイメージをスキャンします。イメージを保存するリポジトリでは拡張スキャンがアクティブ化になり、リポジトリの拡張スキャン設定はプッシュ時にスキャンするように設定されます。

  • 内部エラー — Amazon Inspector がコンテナイメージをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

  • 保留中の初期スキャン — Amazon Inspector は初期スキャンのためにイメージをキューに入れました。

  • スキャン資格の有効期限が切れました (継続的) — Amazon Inspector はイメージのスキャンを中断しました。リポジトリ内のイメージを自動再スキャンするように指定した期間内に、イメージが更新されていません。イメージをプッシュまたはプルしてスキャンを再開できます。

  • スキャン資格の有効期限が切れました (プッシュ中) — Amazon Inspector はイメージのスキャンを中断しました。リポジトリ内のイメージを自動再スキャンするように指定した期間内に、イメージが更新されていません。イメージをプッシュしてスキャンを再開できます。

  • スキャン頻度手動 (手動) — Amazon Inspector は Amazon ECRコンテナイメージをスキャンしません。イメージを保存するリポジトリの Amazon ECRスキャン設定は、基本的な手動スキャンに設定されます。Amazon Inspector で自動的にイメージのスキャンを開始するには、リポジトリの設定を拡張スキャンに変更し、イメージを継続的にスキャンするか、新しいイメージがプッシュされたときにのみスキャンするかを選択します。

  • サポートされていない OS – Amazon Inspector はイメージをモニタリングまたはスキャンしていません。イメージは、Amazon Inspector がサポートしていないオペレーティングシステムに基づいているか、Amazon Inspector がサポートしていないメディアタイプを使用しています。

    Amazon Inspector がサポートしているオペレーティングシステムのリストについては、「Amazon ECRスキャンでサポートされているオペレーティングシステム」を参照してください。Amazon Inspector がサポートするメディアタイプのリストについては、「サポートされているメディアタイプ」を参照してください。

リポジトリとイメージのスキャン設定の詳細については、「Amazon ECRコンテナイメージのスキャン」を参照してください。

AWS Lambda 関数のカバレッジの評価

Lambda タブには AWS 、環境内の Lambda 関数が表示されます。このページには 2 つのテーブルがあります。1 つは Lambda 標準スキャンの関数カバレッジの詳細を示し、もう 1 つは Lambda コードスキャンの関数カバレッジの詳細を示しています。以下のタブに基づいて関数をグループ化できます。

  • すべて — 環境内のすべての Lambda 関数を表示します。[ステータス] 列には、Lambda 関数の現在のスキャンステータスが表示されます。

  • スキャン — Amazon Inspector がスキャンするように設定されている Lambda 関数を表示します。[ステータス] 列には、各 Lambda 関数の現在のスキャンステータスが表示されます。

  • スキャンしない — Amazon Inspector がスキャンするように設定されていない Lambda 関数を表示します。[理由] 列には、Amazon Inspector が関数をモニタリングおよびスキャンしていない理由が表示されます。

    Lambda 関数が [スキャンしない] タブに表示される理由はいくつかあります。Lambda 関数が Amazon Inspector に追加されていないアカウントに属しているか、フィルタリングルールによりこの関数がスキャンされない可能性があります。詳細については、「Lambda 関数のスキャン」を参照してください。

各タブの [関数名] 列には、Lambda 関数の名前を指定します。Account 列は、関数を所有 AWS アカウント する を指定します。[ランタイム] には、関数のランタイムを指定します。[ステータス] 列には、各 Lambda 関数の現在のスキャンステータスが表示されます。[リソース] タグは、関数に適用されたタグを表示します。[最終スキャン日] 列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。これには、結果メタデータの更新、リソースのアプリケーションインベントリの更新、新しい への応答で再スキャンが行われたときのチェックが含まれますCVE。詳細については、「Lambda 関数スキャンのスキャン動作」を参照してください。

AWS Lambda 関数のステータス値のスキャン

Lambda 関数の場合、指定できるステータス値は次のとおりです。

  • アクティブにモニタリング中 — Amazon Inspector は Lambda 関数を継続的にモニタリングおよびスキャンしています。継続的スキャンには、新しい関数がリポジトリにプッシュされたときの初期スキャンと、更新時または新しい共通脆弱性識別子 (CVEs) がリリースされたときの関数の自動再スキャンが含まれます。

  • タグで除外済み — この関数はタグによるスキャンから除外されているため、Amazon Inspector はスキャンしていません。

  • スキャンの適格性が失効しました — Amazon Inspector は、前回呼び出されたり更新されたりしてから 90 日以上が経過しているため、この関数をモニタリングしていません。

  • 内部エラー — Amazon Inspector が関数をスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

  • 保留中の初期スキャン — Amazon Inspector は初期スキャンの関数をキューに入れました。

  • サポートなし — Lambda 関数のランタイムはサポートされていません。