Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

Amazon Inspector による AWS 環境のカバレッジを評価する

フォーカスモード
Amazon Inspector による AWS 環境のカバレッジを評価する - Amazon Inspector

Amazon Inspector コンソールの [アカウント管理] 画面から、AWS 環境の Amazon Inspector カバレッジを評価できます。ここには、アカウントとリソースの Amazon Inspector スキャンのステータスに関する詳細と統計が表示されます。

注記

組織の委任管理者である場合、組織内のすべてのアカウントの詳細と統計情報を表示できます。

次の手順は、Amazon Inspector 環境のカバレッジを評価する方法を示しています。

Amazon Inspector による AWS 環境のカバレッジを評価するには
  1. 認証情報を使用してサインインし、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/v2/home) を開きます。

  2. ナビゲーションペインから、[アカウント管理] を選択します。

  3. カバレッジを確認するには、次のいずれかのタブを選択します。

    • [アカウント] を選択して、アカウントレベルのカバレッジを確認します。

    • [インスタンス] を選択して、Amazon Elastic Compute Cloud (Amazon EC2)インスタンスのカバレッジを確認します。

    • [コンテナレポジトリ] を選択して、Amazon Elastic Container Registry (Amazon ECR)リポジトリのカバレッジを確認します。

    • [コンテナイメージ] を選択して、Amazon ECR コンテナイメージのカバレッジを確認します。

    • [Lambda 関数] を選択して、Lambda 関数のカバレッジを確認します。

以下のトピックでは、これらの各タブで提供される情報について説明します。

アカウントレベルのカバレッジを評価する

アカウントが組織の一部ではない場合、または組織の委任された Amazon Inspector 管理者アカウントではない場合、[アカウント] タブには、アカウントに関する情報と、アカウントのリソーススキャンのステータスが表示されます。このタブでは、アカウントのすべてまたは特定のタイプのリソースのみのスキャンをアクティブ化または非アクティブ化にできます。詳細については、「Amazon Inspector の自動スキャンタイプ」を参照してください。

アカウントが組織の委任された Amazon Inspector 管理者アカウントの場合、[アカウント] タブには組織内のアカウントの自動アクティベーション設定が表示され、組織内のすべてのアカウントが一覧表示されます。アカウントごとに、そのアカウントで Amazon Inspector がアクティブ化になっているかどうかを表示し、その場合は、そのアカウントでアクティブ化になっているリソーススキャンタイプがリストに表示されます。委任された管理者は、このタブを使用して組織の自動アクティベーション設定を変更できます。また、個々のメンバーアカウントの特定のタイプのリソーススキャンをアクティブ化または非アクティブ化することもできます。詳細については、「メンバーアカウントの Amazon Inspector スキャンをアクティブ化する」を参照してください。

Amazon EC2 インスタンスのカバレッジを評価する

[インスタンス] タブには、AWS 環境内の Amazon EC2 インスタンスが表示されます。リストは次のタブにグループ分けされています。

  • すべて — 環境内のすべてのインスタンスを表示します。ステータス列には、インスタンスの現在のスキャンステータスが表示されます。

  • スキャン — Amazon Inspector が環境でアクティブにモニタリングおよびスキャンしているすべてのインスタンスを表示します。

  • スキャンしない — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのインスタンスを表示します。理由列には、Amazon Inspector がインスタンスをモニタリングおよびスキャンしていない理由が表示されます。

    EC2 インスタンスが [スキャンしない] タブに表示される理由はいくつかあります。Amazon Inspector では AWS Systems Manager (SSM) と SSM Agent を使用して、EC2 インスタンスの脆弱性を自動的にモニタリングおよびスキャンします。インスタンスで SSM Agent が実行されていないか、Systems Manager をサポートする AWS Identity and Access Management (IAM) ロールがないか、サポートされているオペレーティングシステムやアーキテクチャを実行していない場合、Amazon Inspector はインスタンスをモニタリングおよびスキャンできません。詳細については、「Amazon EC2 インスタンスのスキャン」を参照してください。

各タブの [アカウント] 列には、AWS アカウント インスタンスを所有するロールを指定します。

[EC2 インスタンスタグ] — この列には、インスタンスに関連付けられているタグが表示され、インスタンスがタグによるスキャンから除外されているかどうかを判断できます。

[オペレーティングシステム] — この列には、オペレーティングシステムの種類 (WINDOWSMACLINUX、または UNKNOWN) が表示されます。

[使用中の監視] – この列には、このインスタンスで Amazon Inspector がエージェントベースのスキャン方式を使用しているか、エージェントレスのスキャン方式を使用しているかが表示されます。

[最終スキャン日] - この列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。Amazon Inspector がスキャンを実行する頻度は、インスタンスのスキャンに使用されているスキャン方式によって異なります。

EC2 インスタンスに関するその他の詳細を確認するには、EC2 インスタンス列のリンクを選択します。次に、Amazon Inspector はインスタンスに関する詳細と、そのインスタンスに関する現在の検出結果を表示します。特定の検出結果の詳細を確認するには、[タイトル] 列のリンクを選択します。その詳細については、「Amazon Inspector 検出結果の詳細の表示」を参照してください。

Amazon EC2 インスタンスのステータス値のスキャン

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、[ステータス] の値は以下のようになります:

  • アクティブにモニタリング中 — Amazon Inspector ではインスタンスを継続的にモニタリングおよびスキャンしています。

  • エージェントレスインスタンスストレージの制限の超過 – インスタンスにアタッチされたすべてのボリュームの合計サイズが 1200 GB を超える場合、またはインスタンスにアタッチされたボリュームが 8 個を超える場合、Amazon Inspector はこのステータスを使用します。

  • エージェントレスインスタンス収集時間の制限の超過 – インスタンスでエージェントレススキャンを実行しようとして、Amazon Inspector がタイムアウトします。

  • EC2 インスタンスが停止 — インスタンスが停止状態になったため、Amazon Inspector はインスタンスのスキャンを一時停止しました。既存の検出結果はすべて、インスタンスが終了するまで保持されます。インスタンスが再起動されると、Amazon Inspector はインスタンスのスキャンを自動的に再開します。

  • 内部エラー — Amazon Inspector がインスタンスをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

  • インベントリなし — Amazon Inspector は、インスタンスをスキャンするソフトウェアアプリケーションインベントリを見つけることができませんでした。インスタンスの Amazon Inspector の関連付けが削除されているか、実行に失敗した可能性があります。

    この問題を修復するには、AWS Systems Manager を使用して InspectorInventoryCollection-do-not-delete 関連付けが存在し、その関連付けステータスが成功していることを確認します。さらに、AWS Systems Manager Fleet Manager を使用してインスタンスのソフトウェアアプリケーションインベントリを確認します。

  • 保留中の無効化 — Amazon Inspector はインスタンスのスキャンを停止しました。インスタンスは無効になっており、クリーンアップタスクの完了を待っています。

  • 保留中の初期スキャン — Amazon Inspector は初期スキャンのためにインスタンスをキューに入れました。

  • リソースが終了しました - インスタンスが終了しました。Amazon Inspector は現在、インスタンスの既存の検出結果とカバレッジデータをクリーンアップしています。

  • 古いインベントリ — Amazon Inspector は、過去 7 日以内にインスタンスについてキャプチャされた更新されたソフトウェアアプリケーションインベントリを収集できませんでした。

    この問題を修復するには、AWS Systems Manager を使用して、必要な Amazon Inspector 関連付けがインスタンスに存在し、実行されていることを確認します。さらに、AWS Systems Manager Fleet Manager を使用してインスタンスのソフトウェアアプリケーションインベントリを確認します。

  • アンマネージド型 EC2 インスタンス — Amazon Inspector はインスタンスをモニタリングまたはスキャンしていません。インスタンスは AWS Systems Manager によって管理されていません。

    この問題を解決するには、AWS Systems Manager Automation が提供している AWSSupport-TroubleshootManagedInstance runbook を使用できます。AWS Systems Manager がインスタンスを管理するように設定すると、Amazon Inspector は自動的にインスタンスの継続的なモニタリングとスキャンを開始します。

  • サポートされていない OS — Amazon Inspector はインスタンスをモニタリングまたはスキャンしていません。インスタンスは、Amazon Inspector がサポートしていないオペレーティングシステムまたはアーキテクチャを使用しています。Amazon Inspector がサポートしているオペレーティングシステムのリストについては、「Amazon EC2 インスタンスのステータス値」を参照してください。

  • アクティブにモニタリングして、部分的なエラーが見つかりました — このステータスは、EC2 スキャンはアクティブですが、Linux ベースの Amazon EC2 インスタンス向け Amazon Inspector 詳細検査 に関連するエラーがあることを意味します。詳細検査で発生する可能性のあるエラーは次のとおりです。

    • 詳細検査パッケージコレクションの制限の超過 – インスタンスが Amazon Inspector 詳細検査の制限である 5000 パッケージを超えました。このインスタンスの詳細検査を再開するには、アカウントに関連付けられているカスタムパスの調整を試みます。

    • 詳細検査の 1 日あたりの SSM インベントリ制限の超過 – SSM Agent がインベントリを Amazon Inspector に送信できませんでした。これは、既にこのインスタンスで 1 日あたりインスタンスごとに収集されるインベントリデータの SSM クォータに達しているためです。詳細については、「Amazon EC2 Systems Manager エンドポイントとクォータ」を参照してください。

    • 詳細検査コレクション時間制限の超過 – パッケージのコレクション時間が最大しきい値の 15 分を超えているため、Amazon Inspector はパッケージインベントリの抽出に失敗しました。

    • 詳細検査にインベントリがありませんAmazon Inspector SSM プラグインは、このインスタンスのパッケージのインベントリをまだ収集できていません。これは通常、保留中のスキャンの結果ですが、6 時間経ってもこの状態が続く場合は、Amazon EC2 Systems Manager を使用して、必要な Amazon Inspector 関連付けインスタンスで存在し、実行されていることを確認してください。

EC2 インスタンスのスキャン設定の詳細については、「Amazon EC2 インスタンスのスキャン」を参照してください。

Amazon ECR リポジトリのカバレッジを評価する

[リポジトリ] タブには、AWS 環境内の Amazon ECR リポジトリが表示されます。リストは以下のタブでグループにまとめられています。

  • すべて — 環境内のすべてのリポジトリを表示します。[ステータス] 列には、レポジトリの現在のスキャンステータスが表示されます。

  • アクティブ化 — Amazon Inspector が環境でモニタリングおよびスキャンするように設定されているすべてのリポジトリを表示します。[ステータス] 列には、レポジトリの現在のスキャンステータスが表示されます。

  • アクティブ化されていません — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのリポジトリを表示します。[理由] 列には、Amazon Inspector がインスタンスをモニタリングおよびスキャンしていない理由が表示されます。

各タブの [アカウント] 列には、リポジトリを所有する AWS アカウント を指定します。

リポジトリに関するその他の詳細を確認するには、リポジトリの名前を選択します。次に、Amazon Inspector はリポジトリ内のコンテナイメージのリストと各イメージの詳細を表示します。詳細には、イメージタグ、イメージダイジェスト、スキャンステータスが含まれます。また、イメージの緊急の検出結果の数など、主要な検出結果の統計情報も含まれます。検出結果の裏付けとなるデータを掘り下げて確認するには、イメージの [イメージ] タグを選択します。

Amazon ECR リポジトリのステータス値のスキャン

Amazon Elastic Container Registry (Amazon ECR) リポジトリの場合、[ステータス] の値は以下のようになります:

  • アクティブ化 (継続) – リポジトリの場合、Amazon Inspector はこのリポジトリ内のイメージを継続的にモニタリングします。リポジトリの拡張スキャン設定は継続的スキャンに設定されています。Amazon Inspector は、プッシュされたときに新しいイメージを最初にスキャンし、そのイメージに関連する新しい CVE が発行されたときにイメージを再スキャンします。Amazon Inspector は、設定した Amazon ECR 再スキャン期間は、このリポジトリ内のイメージを継続的にモニタリングします。

  • アクティブ化 (プッシュ時) – Amazon Inspector は新しいイメージがプッシュされると、リポジトリ内の個々のコンテナイメージを自動的にスキャンします。拡張スキャンは、レポジトリに対してアクティブ化され、プッシュ時にスキャンするように設定されています。

  • アクセス拒否 — Amazon Inspector は、リポジトリまたはリポジトリ内のコンテナイメージへのアクセスを許可されていません。

    この問題を修復するには、リポジトリの AWS Identity and Access Management (IAM) ポリシーが Amazon Inspector によるリポジトリへのアクセスを許可していることを確認します。

  • 非アクティブ化 (手動) — Amazon Inspector はリポジトリ内のコンテナイメージをモニタリングまたはスキャンしていません。リポジトリの Amazon ECR スキャン設定は、基本的な手動スキャンに設定されています。

    Amazon Inspector を使用してリポジトリ内のイメージのスキャンを開始するには、リポジトリのスキャン設定を拡張スキャンに変更し、イメージを継続的にスキャンするか、新しいイメージがプッシュされたときにのみスキャンするかを選択します。

  • アクティブ化 (プッシュ時) – Amazon Inspector は新しいイメージがプッシュされると、リポジトリ内の個々のコンテナイメージを自動的にスキャンします。リポジトリの拡張スキャン設定は、プッシュ時にスキャンするように設定されています。

  • 内部エラー – Amazon Inspector がリポジトリをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

リポジトリのスキャン設定の詳細については、「Amazon ECR コンテナイメージのスキャン」を参照してください。

Amazon ECR コンテナイメージのカバレッジを評価する

[イメージ] タブには、環境内の Amazon ECR コンテナイメージが表示されます。AWSリストは次のタブでグループにまとめられています。

  • すべて — 環境内のすべてのコンテナイメージを表示します。[ステータス] 列には、イメージの現在のスキャンステータスが表示されます。

  • スキャン — Amazon Inspector が環境でアクティブにモニタリングおよびスキャンしているすべてのコンテナイメージを表示します。[ステータス] 列には、イメージの現在のスキャンステータスが表示されます。

  • スキャンしない — Amazon Inspector が環境でモニタリングおよびスキャンしていないすべてのコンテナイメージを表示します。[理由] 列には、Amazon Inspector がイメージをモニタリングおよびスキャンしていない理由が表示されます。

    コンテナイメージが [アクティブ化されていません] タブに表示される理由はいくつかあります。Amazon Inspector のスキャンがアクティブ化されていないリポジトリにイメージが保存されているか、Amazon ECR フィルタリングルールによってそのリポジトリがスキャンされない場合があります。または、[ECR 再スキャン期間] に設定されている日数内にイメージがプッシュまたはプルされていません。詳細については、「Amazon ECR 再スキャン期間の設定」を参照してください。

各タブの [リポジトリ名] 列には、コンテナイメージを格納するリポジトリの名前を指定します。[アカウント] 列には、リポジトリを所有する AWS アカウント を指定します。[最終スキャン日] 列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。これには、メタデータの検出結果が更新されたとき、リソースのアプリケーションインベントリが更新されたとき、または新しい CVE に応じて再スキャンが行われたときのチェックが含まれます。詳細については、「Amazon ECR スキャンのスキャン動作」を参照してください。

コンテナイメージに関するその他の詳細を確認するには、[ECR コンテナイメージ] 列のリンクを選択します。次に、Amazon Inspector はイメージに関する詳細と、そのイメージに関する現在の検出結果を表示します。特定の検出結果の詳細を確認するには、[タイトル] 列のリンクを選択します。その詳細については、「Amazon Inspector 検出結果の詳細の表示」を参照してください。

Amazon ECR コンテナイメージのステータス値のスキャン

Amazon Elastic Container Registry コンテナイメージの場合、[ステータス] の値は以下のようになります:

  • アクティブモニタリング (継続的) – Amazon Inspector は継続的にモニタリングしており、関連する新しい CVE が公開されるたびに、イメージと新しいスキャンが実行されます。イメージの Amazon ECR 再スキャン期間は、イメージがプッシュまたはプルされるたびに更新されます。イメージを保存するリポジトリでは拡張スキャンが有効になっており、リポジトリの拡張スキャン設定は継続的スキャンに設定されています。

  • アクティブ化 (プッシュ時) – Amazon Inspector は、新しいイメージがプッシュされるたびにイメージを自動的にスキャンします。イメージを保存するリポジトリでは拡張スキャンがアクティブ化になり、リポジトリの拡張スキャン設定はプッシュ時にスキャンするように設定されます。

  • 内部エラー – Amazon Inspector がコンテナイメージをスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

  • 保留中の初期スキャン – Amazon Inspector は初期スキャンのためにインスタンスをキューに入れました。

  • スキャンの適格性の有効期限切れ (継続) – Amazon Inspector はイメージのスキャンを一時停止しました。リポジトリ内のイメージを自動再スキャンするように指定した期間内に、イメージが更新されていません。イメージをプッシュまたはプルしてスキャンを再開できます。

  • スキャンの適格性の有効期限切れ (プッシュ時) – Amazon Inspector はイメージのスキャンを中断しました。リポジトリ内のイメージを自動再スキャンするように指定した期間内に、イメージが更新されていません。イメージをプッシュしてスキャンを再開できます。

  • スキャン頻度 (手動) — Amazon Inspector は Amazon ECR コンテナイメージをスキャンしません。イメージを保存するリポジトリの Amazon ECR スキャン設定は、基本の手動スキャンに設定されています。Amazon Inspector で自動的にイメージのスキャンを開始するには、リポジトリの設定を拡張スキャンに変更し、イメージを継続的にスキャンするか、新しいイメージがプッシュされたときにのみスキャンするかを選択します。

  • サポートされていない OS – Amazon Inspector はインスタンスをモニタリングまたはスキャンしていません。イメージは、Amazon Inspector がサポートしていないオペレーティングシステムに基づいているか、Amazon Inspector がサポートしていないメディアタイプを使用しています。

    Amazon Inspector がサポートしているオペレーティングシステムのリストについては、「サポートされているオペレーティングシステム: Amazon Inspector による Amazon ECR スキャン」を参照してください。Amazon Inspector がサポートするメディアタイプのリストについては、「サポートされているメディアタイプ」を参照してください。

リポジトリとイメージのスキャン設定の詳細については、「Amazon ECR コンテナイメージのスキャン」を参照してください。

AWS Lambda 関数のカバレッジを評価する

[Lambda] タブには、AWS 環境内の Lambda 関数が表示されます。このページには 2 つのテーブルがあります。1 つは Lambda 標準スキャンの関数カバレッジの詳細を示し、もう 1 つは Lambda コードスキャンの関数カバレッジの詳細を示しています。以下のタブに基づいて関数をグループ化できます。

  • すべて — 環境内のすべての Lambda 関数を表示します。[ステータス] 列には、Lambda 関数の現在のスキャンステータスが表示されます。

  • スキャン — Amazon Inspector がスキャンするように設定されている Lambda 関数を表示します。[ステータス] 列には、各 Lambda 関数の現在のスキャンステータスが表示されます。

  • スキャンしない — Amazon Inspector がスキャンするように設定されていない Lambda 関数を表示します。[理由] 列には、Amazon Inspector が関数をモニタリングおよびスキャンしていない理由が表示されます。

    Lambda 関数が [スキャンしない] タブに表示される理由はいくつかあります。Lambda 関数が Amazon Inspector に追加されていないアカウントに属しているか、フィルタリングルールによりこの関数がスキャンされない可能性があります。詳細については、「Lambda 関数スキャン」を参照してください。

各タブの [関数名] 列には、Lambda 関数の名前を指定します。[アカウント] 列には、AWS アカウント 関数を所有するユーザーを指定します。[ランタイム] には、関数のランタイムを指定します。[ステータス] 列には、各 Lambda 関数の現在のスキャンステータスが表示されます。[リソース] タグは、関数に適用されたタグを表示します。[最終スキャン日] 列には、Amazon Inspector がそのリソースの脆弱性を最後にチェックした日時が表示されます。これには、メタデータの検出結果が更新されたとき、リソースのアプリケーションインベントリが更新されたとき、または新しい CVE に応じて再スキャンが行われたときのチェックが含まれます。詳細については、「Lambda 関数スキャンのスキャン動作」を参照してください。

AWS Lambda 関数スキャンのステータス値

Lambda 関数の場合、指定できるステータス値は次のとおりです。

  • アクティブにモニタリング中 — Amazon Inspector は Lambda 関数を継続的にモニタリングおよびスキャンしています。継続的スキャンには、新しい関数がリポジトリにプッシュされたときの初回スキャンと、関数が更新されたときや新しい共通脆弱性識別子 (CVE) がリリースされたときの関数の自動再スキャンが含まれます。

  • タグで除外済み — この関数はタグによるスキャンから除外されているため、Amazon Inspector はスキャンしていません。

  • スキャンの適格性が失効しました — Amazon Inspector は、前回呼び出されたり更新されたりしてから 90 日以上が経過しているため、この関数をモニタリングしていません。

  • 内部エラー — Amazon Inspector が関数をスキャンしようとしたときに内部エラーが発生しました。Amazon Inspector は自動的にエラーに対処し、できるだけ早くスキャンを再開します。

  • 保留中の初期スキャン — Amazon Inspector は初期スキャンの関数をキューに入れました。

  • サポートなし — Lambda 関数のランタイムはサポートされていません。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.