Amazon Inspector の検出結果レポートのエクスポート

検出結果レポートは、検出結果の詳細なスナップショットを提供する CSVまたは JSON ファイルです。検出結果レポートは、、Amazon AWS Security Hub、 EventBridgeおよび Amazon Simple Storage Service (Amazon S3) にエクスポートできます。検出結果レポートを設定するときは、レポートに含める検出結果を指定します。デフォルトでは、検出結果レポートにはアクティブなすべての検出結果のデータが含まれます。ユーザーが組織の委任管理者である場合、検出結果レポートには組織内のすべてのメンバーアカウントのデータが含まれます。結果レポートをカスタマイズするには、フィルターを作成して適用します。

検出結果レポートをエクスポートすると、Amazon Inspector は AWS KMS key 指定した を使用して検出結果データを暗号化します。Amazon Inspector は、検出結果を暗号化した後、指定した Amazon S3 バケットに検出結果レポートを保存します。 AWS KMS キーは、Amazon S3 バケット AWS リージョン と同じ で使用する必要があります。 Amazon S3 AWS KMS キーポリシーでは、Amazon Inspector による使用を許可する必要があります。また、Amazon S3 バケットポリシーではAmazon Inspector によるオブジェクトの追加を許可する必要があります。検出結果レポートをエクスポートしたら、Amazon S3 バケットからダウンロードするか、新しい場所に転送できます。Amazon S3 バケットを、エクスポートされた他の検出結果レポートのリポジトリとして使用することもできます。

このセクションでは、Amazon Inspector コンソールで検出結果レポートをエクスポートする方法について説明します。以下のタスクでは、アクセス許可の検証、Amazon S3 バケットの設定、 の設定 AWS KMS key、検出結果レポートの設定とエクスポートが必要です。

注記

Amazon Inspector を使用して検出結果レポートをエクスポートする場合CreateFindingsReportAPI、アクティブな検出結果のみを表示できます。抑制された検出結果またはクローズされた検出結果を表示する場合は、フィルター条件 CLOSED の一部として SUPPRESSEDまたは を指定する必要があります。 https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html

ステップ 1: アクセス許可を確認する

注記

検出結果レポートを初めてエクスポートした後、ステップ 1～3 はオプションです。これらのステップは、同じ Amazon S3 バケットと、エクスポートされた AWS KMS key 他の検出結果レポートのどちらを使用するかに基づいています。ステップ 1～3 を完了した後に検出結果をプログラムでエクスポートする場合は、Amazon Inspector の CreateFindingsReportオペレーションを使用しますAPI。

Amazon Inspector から調査結果レポートをエクスポートする前に、調査結果レポートのエクスポートと、レポートの暗号化と保存のためのリソースの設定の両方に必要なアクセス許可があることを確認してください。アクセス許可を確認するには、 AWS Identity and Access Management （IAM) を使用して、IAMID にアタッチされているIAMポリシーを確認します。次にこれらのポリシー内の情報を、調査結果レポートをエクスポートするために実行を許可されなければならない以下のアクションのリストと比較します。

Amazon Inspector

Amazon Inspector の場合、次のアクションの実行が許可されていることを確認します。

• inspector2:ListFindings

• inspector2:CreateFindingsReport

これらのアクションにより、アカウントの検出結果データを取得し、そのデータを調査結果レポートにエクスポートできます。

サイズの大きいレポートをプログラムでエクスポートする予定の場合は、レポートのステータスを確認する、inspector2:CancelFindingsReport、進行中のエクスポートをキャンセルする操作が許可されていることも確認してください。inspector2:GetFindingsReportStatus

AWS KMS

で AWS KMS、次のアクションを実行できることを確認します。

• kms:GetKeyPolicy

• kms:PutKeyPolicy

これらのアクションにより、Amazon Inspector にレポートの暗号化に使用させたい AWS KMS key のキーポリシーを取得して更新できます。

Amazon Inspector コンソールを使用してレポートをエクスポートするには、次のアクションの実行も許可されていることを確認します AWS KMS 。

• kms:DescribeKey

• kms:ListAliases

これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択してレポートを暗号化できます。

レポートの暗号化用に新しいKMSキーを作成する場合は、 kms:CreateKey アクションの実行も許可する必要があります。

Amazon S3

Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。

• s3:CreateBucket

• s3:DeleteObject

• s3:PutBucketAcl

• s3:PutBucketPolicy

• s3:PutBucketPublicAccessBlock

• s3:PutObject

• s3:PutObjectAcl

これらのアクションにより、Amazon Inspector でレポートを保存する S3 バケットを作成して設定できます。また、バケットにオブジェクトを追加したり、バケットからオブジェクトを削除したりすることもできます。

Amazon Inspector コンソールを使用してレポートをエクスポートする予定がある場合は、s3:ListAllMyBuckets および s3:GetBucketLocation アクションの実行が許可されていることも確認してください。これらのアクションにより、アカウントの S3 バケットに関する情報を取得して表示することができます。その後、レポートを保存するバケットを 1 つ選択できます。

必要なアクションの 1 つ以上を実行できない場合は、次のステップに進む前に、 AWS 管理者にサポートを依頼してください。

ステップ 2: S3 バケットを設定する

アクセス許可を確認したら、調査結果レポートを保存する S3 バケットを設定します。自分のアカウントの既存のバケットでも、別の が所有するアクセスが許可されている既存のバケットでも AWS アカウント かまいません。レポートを新しいバケットに保存する場合は、先に進む前にバケットを作成してください。

S3 バケットは、エクスポートする検出結果データ AWS リージョン と同じ にある必要があります。例えば、Amazon Inspector を米国東部 (バージニア北部) リージョンで使用していて、そのリージョンの検出結果データをエクスポートする場合、バケットも米国東部 (バージニア北部) リージョンにある必要があります。

さらに、バケットのポリシーでは、Amazon Inspector がバケットにオブジェクトを追加することを許可する必要があります。このトピックでは、バケットポリシーを更新する方法について説明し、ポリシーに追加するステートメントの例も示します。バケットポリシーの追加と更新の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーの使用」を参照してください。

別のアカウントが所有する S3 バケットにレポートを保存する場合は、バケットの所有者と連携してバケットのポリシーを更新します。バケットURIの も取得します。レポートをエクスポートURIするときに、これを入力する必要があります。

バケットポリシーを更新するには

1. 認証情報を使用してサインインし、https://console.aws.amazon.com/s3 で Amazon S3 コンソールを開きます。

2. ナビゲーションペインで、バケットを選択します。

3. 調査結果レポートを保存する S3 バケットを選択します。

4. アクセス許可 タブを選択します。

5. バケットポリシー セクションで、編集 を選択します。

6. 次のステータス例をクリップボードにコピーします。

   {
   	"Version": "2012-10-17",
   	"Statement": [
   		{
   			"Sid": "allow-inspector",
   			"Effect": "Allow",
   			"Principal": {
   				"Service": "inspector2.amazonaws.com"
   			},
   			"Action": [
   				"s3:PutObject",
   				"s3:PutObjectAcl",
   				"s3:AbortMultipartUpload"
   			],
   			"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
   			"Condition": {
   				"StringEquals": {
   					"aws:SourceAccount": "111122223333"
   				},
   				"ArnLike": {
   					"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
   				}
   			}
   		}
   	]
   }
                   

7. Amazon S3 コンソールのバケットポリシーエディタで、前のステートメントをポリシーに貼り付けてポリシーに追加します。

   ステートメントをポリシーに追加するときに、構文が有効であることを確認します。バケットポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。

8. 環境に合った正しい値でステートメントを更新します。

   • DOC-EXAMPLE-BUCKET はバケットの名前です。

   • 111122223333 は のアカウント ID です AWS アカウント。

   • Region は AWS リージョン 、Amazon Inspector を使用していて、Amazon Inspector にバケットへのレポートの追加を許可する です。たとえば、米国東部 (バージニア北部) リージョンの場合は us-east-1 です。

   注記

   手動で有効にした で Amazon Inspector を使用している場合は AWS リージョン、 Serviceフィールドの値に適切なリージョンコードも追加します。このフィールドは Amazon Inspector サービスプリンシパルを指定します。

   たとえば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、ステートメントで inspector2.amazonaws.com を inspector2.me-south-1.amazonaws.com に置き換えます。

   ステートメント例では、2 つのIAMグローバル条件キーを使用する条件を定義することに注意してください。

   • aws:SourceAccount – この条件により、Amazon Inspector はアカウントのバケットにのみレポートを追加できます。これにより、Amazon Inspector が他のアカウントのバケットにレポートを追加できなくなります。具体的には、条件は、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。

     バケット内の追加アカウントのレポートを保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例:

     "aws:SourceAccount": [111122223333,444455556666,123456789012]

   • aws:SourceArn – この条件は、バケットに追加されるオブジェクトのソースに基づいてバケットへのアクセスを制限します。これにより、他の AWS サービス がバケットにオブジェクトを追加できなくなります。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます 具体的には、Amazon Inspectorは、オブジェクトが調査結果レポートであり、かつ、それらのレポートがアカウントによって作成され、かつ、条件で指定されたリージョンにある場合にのみ、オブジェクトをバケットに追加することができます。

     Amazon Inspector が追加のアカウントに対して指定されたアクションを実行できるようにするには、追加のアカウントごとに Amazon リソースネーム (ARNs) をこの条件に追加します。例:

     "aws:SourceArn": [
         "arn:aws:inspector2:Region:111122223333:report/*",
         "arn:aws:inspector2:Region:444455556666:report/*",
         "arn:aws:inspector2:Region:123456789012:report/*"
     ]

     aws:SourceAccount と aws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

   どちらの条件も、Amazon Inspector が Amazon S3 とのトランザクション中に [混乱した代理] として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。

9. バケットポリシーの更新が完了したら、変更を保存する を選択します。

ステップ 3: AWS KMS keyを設定する

アクセス許可を確認して S3 バケットを設定したら、Amazon Inspector で調査結果レポートを暗号化するためにどの AWS KMS key を使用するかを決定します。キーは、カスタマー管理の対称暗号化KMSキーである必要があります。さらに、キーは、レポートを保存するように設定した S3 バケット AWS リージョン と同じ にある必要があります。

キーは、自分の アカウントの既存のKMSキーでも、別の アカウントが所有する既存のKMSキーでもかまいません。新しいKMSキーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用する場合は、キーの Amazon リソースネーム (ARN) を取得します。Amazon Inspector からレポートをエクスポートARNするときに、これを入力する必要があります。KMS キーの設定の作成と確認については、「 AWS Key Management Service デベロッパーガイド」の「キーの管理」を参照してください。

使用するKMSキーを特定したら、そのキーを使用するアクセス許可を Amazon Inspector に付与します。そうしないと、Amazon Inspector がレポートを暗号化しエクスポートすることができません。Amazon Inspector にキーを使用するアクセス許可を付与するには、キーのキーポリシーを更新します。キーポリシーとKMSキーへのアクセス管理の詳細については、「 AWS Key Management Service デベロッパーガイド」の「 のキーポリシー AWS KMS」を参照してください。

注記

以下の手順は、Amazon Inspector が既存のキーを使用できるように更新するためのものです。既存のキーがない場合は、「 AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。

キーポリシーを更新するには

1. 認証情報を使用してサインインし、https://console.aws.amazon.com/kms で AWS KMS コンソールを開きます。

2. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

3. レポートの暗号化に使用するKMSキーを選択します。キーは対称暗号化 (SYMMETRIC_DEFAULT) キーである必要があります。

4. アクセスポリシー タブで 編集 を選択します。[編集] ボタンのあるキーポリシーが表示されない場合は、まず [ポリシービューへの切り替え] を選択する必要があります。

5. 次のステートメント例をクリップボードにコピーします。

   {
       "Sid": "Allow Amazon Inspector to use the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "inspector2.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "*",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "111122223333"
           },
           "ArnLike": {
               "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
           }
       }
   }        

6. AWS KMS コンソールのキーポリシーエディタで、前述のステートメントをキーポリシーに貼り付けてポリシーに追加します。

   ステートメントをポリシーに追加するときに、構文が有効であることを確認します。キーポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。

7. 環境に合った正しい値でステートメントを更新します。

   • 111122223333 は のアカウント ID です AWS アカウント。

   • Region は、Amazon Inspector AWS リージョン が キーを使用してレポートを暗号化できるようにする です。たとえば、米国東部 (バージニア北部) リージョンの場合は us-east-1 です。

   注記

   手動で有効にした で Amazon Inspector を使用している場合は AWS リージョン、 Serviceフィールドの値に適切なリージョンコードも追加します。たとえば、リージョンコードが設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、inspector2.amazonaws.com を inspector2.me-south-1.amazonaws.com に置き換えます。

   前のステップのバケットポリシーのステートメント例と同様に、この例のConditionフィールドは 2 つのIAMグローバル条件キーを使用します。

   • aws:SourceAccount – この条件により、Amazon Inspector はアカウントに対してのみ指定されたアクションを実行できます。具体的には、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。

     Amazon Inspector が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例:

     "aws:SourceAccount": [111122223333,444455556666,123456789012]

   • aws:SourceArn – この条件は、他の AWS サービス が指定されたアクションを実行できないようにします。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、Amazon Inspector は、オブジェクトが調査結果レポートであり、それらのレポートがアカウントによって作成され、条件で指定されたリージョンにある場合にのみ、S3 オブジェクトをキーで暗号化することができます。

     Amazon Inspector が追加のアカウントに対して指定されたアクションを実行できるようにするには、追加のアカウントARNsごとに をこの条件に追加します。例:

     "aws:SourceArn": [
         "arn:aws:inspector2:us-east-1:111122223333:report/*",
         "arn:aws:inspector2:us-east-1:444455556666:report/*",
         "arn:aws:inspector2:us-east-1:123456789012:report/*"
     ]

     aws:SourceAccount と aws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

   これらの条件は、 とのトランザクション中に Amazon Inspector が混乱した代理として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。

8. キーポリシーの更新が完了したら、[変更を保存する] を選択します。

ステップ 4: 調査結果レポートを設定しエクスポートする

注記

一度にエクスポートできる検出結果レポートは 1 つだけです。エクスポートが現在進行中の場合は、エクスポートが完了するまで待ってから、別の検出結果レポートをエクスポートする必要があります。

アクセス許可を確認し、調査結果レポートを暗号化して保存するリソースを設定したら、レポートを設定してエクスポートします。

調査結果レポートの設定とエクスポートをするには

1. 認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

2. ナビゲーションペインで [検出結果] の [すべての検出結果] を選択します。

3. (オプション) 検出結果 テーブルの上にあるフィルターバーを使用して、レポートに含める検出結果を指定するフィルター条件を追加します。条件を追加すると、Amazon Inspector は条件に一致する検出結果のみを含むようにテーブルを更新します。このテーブルには、レポートに含まれるデータのプレビューが表示されます。

   注記

   フィルター条件を追加することをお勧めします。そうしないと、レポートには、ステータス AWS リージョン がアクティブ である現在の のすべての検出結果のデータが含まれます。お客様が組織の Amazon Inspector 管理者である場合、これには、組織内のすべてのメンバーアカウントの検出結果データが含まれます。

   レポートにすべてまたは多数の検出結果データが含まれている場合、レポートの生成とエクスポートには時間がかかり、エクスポートは一度に 1 つのレポートしか生成できません。

4. [検出結果をエクスポート] を選択します。

5. [エクスポート設定] セクションの [エクスポートファイルタイプ] で、レポートのファイル形式を指定します。

   • データを含む JavaScript Object Notation (.json) ファイルを作成するには、 を選択しますJSON。

     JSON オプションを選択すると、レポートには各結果のすべてのフィールドが含まれます。可能なJSONフィールドのリストについては、Amazon Inspector リファレンス」の「検出結果データ型」を参照してください。 API

   • データを含むカンマ区切り値 (.csv) ファイルを作成するには、 を選択しますCSV。

     CSV オプションを選択すると、レポートには各検出結果のフィールドのサブセットのみが含まれ、検出結果の主要な属性を報告する約 45 のフィールドが含まれます。フィールドには、[検出結果のタイプ]、[タイトル]、[重要度]、[ステータス]、[説明]、[初回確認日]、[最終確認日]、[使用可能な修正]、[ AWS アカウント ID]、[リソース ID]、[リソースタグ]、および [対策] が含まれます。これらは、各結果のスコアリングの詳細とリファレンスをキャプチャするフィールドに加えてURLsあります。検出結果レポートのCSVヘッダーの例を次に示します。

     AWS アカウント ID

     緊急度

     修正可能

     検出結果タイプ

     タイトル

     説明

     検出結果 ARN

     最初に表示される

     最終表示

     最終更新日

     リソース ID

     コンテナイメージタグ

     リージョン

     プラットフォーム

     リソースタグ

     影響を受けるパッケージ

     パッケージインストールバージョン

     バージョン で修正

     パッケージの修復

     ファイルパス

     ネットワークパス

     年齢 (日数）

     修正

     Inspector スコア

     Inspector スコアベクトル

     ステータス

     脆弱性 ID

     Vendor

     ベンダーの重要度

     ベンダーアドバイザリ

     ベンダーアドバイザリの公開

     NVD CVSS3 スコア

     NVD CVSS3 ベクトル

     NVD CVSS2 スコア

     NVD CVSS2 ベクトル

     ベンダーCVSS3スコア

     ベンダーCVSS3ベクトル

     ベンダーCVSS2スコア

     ベンダーCVSS2ベクトル

     リソースタイプ

     Ami

     リソースパブリック Ipv4

     リソースプライベート Ipv4

     リソース Ipv6

     リソース Vpc

     ポート範囲

     利用可能な悪用

     最終利用日時

     Lambda レイヤー

     Lambda パッケージタイプ

     Lambda の最終更新日時

     リファレンス URL

6. エクスポート場所 で、S3 URIにレポートを保存する S3 バケットを指定します。

   • アカウントが所有するバケットにレポートを保存するには、[S3 の参照] を選択します。Amazon Inspector は、アカウントの S3 バケットのテーブルを表示します。使用したいバケットを選択し、[選択] を選択します。

     ヒント

     レポートの Amazon S3 パスプレフィックスも指定するには、S3 ボックスの値にスラッシュ (/) URIとプレフィックスを追加します。その後、Amazon Inspector はレポートをバケットに追加するときにプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。

     例えば、 AWS アカウント ID をプレフィックスとして使用し、アカウント ID が 111122223333 の場合、S3 ボックスの値/111122223333に を追加します。 S3 URI

     [プレフィックス] は、バケット内のディレクトリパスと類似しています。これにより、類似ファイルをファイルシステム上のフォルダにまとめて保存する場合と同様に、バケット内の類似オブジェクトをまとめてグループ化できます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「フォルダを使用して Amazon S3 コンソールのオブジェクトを整理する」を参照してください。

   • 別のアカウントが所有するバケットにレポートを保存するには、バケットURIの を入力します。たとえば、 と入力します。ここでs3://DOC-EXAMPLE_BUCKET、DOC-EXAMPLE_BUCKET はバケットの名前です。バケット所有者は、この情報をバケットのプロパティで確認できます。

7. KMS キー AWS KMS key には、レポートの暗号化に使用する を指定します。

   • ご自分のアカウントのキーを使用するには、リストからキーを選択します。リストには、アカウントのカスタマー管理の対称暗号化KMSキーが表示されます。

   • 別のアカウントが所有するキーを使用するには、キーの Amazon リソースネーム (ARN) を入力します。キーの所有者は、キーのプロパティでこの情報をユーザーに代わって確認できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の「キー ID とキーの検索ARN」を参照してください。

8. [エクスポート] をクリックします。

Amazon Inspector は検出結果レポートを生成し、指定したKMSキーで暗号化して、指定した S3 バケットに追加します。レポートに含めるように選択した検出結果の数によっては、このプロセスに数分または数時間かかる場合があります。エクスポートが完了すると、Amazon Inspector は調査結果レポートが正常にエクスポートされたことを示すメッセージを表示します。オプションで、メッセージ内の [レポートを表示] を選択し、Amazon S3 のレポートに移動します。

一度に 1 つのレポートしかエクスポートできないことに注意してください。エクスポートが進行中の場合は、エクスポートが完了するまで待ってから別のレポートをエクスポートしてください。

エクスポートエラーのトラブルシューティング

調査結果レポートをエクスポートしようとしたときにエラーが発生した場合、Amazon Inspector では、エラーを説明するメッセージが表示されます。このトピックに記載されている情報を参考にして、考えられるエラーの原因と解決策を特定してください。

例えば、S3 バケットが現在の にあり AWS リージョン 、バケットのポリシーで Amazon Inspector がバケットにオブジェクトを追加できることを確認します。また、 AWS KMS key が現在のリージョンで有効になっていることを確認し、キーポリシーで Amazon Inspector がキーを使用することが許可されていることを確認します。

エラーに対処したら、もう一度レポートのエクスポートを試します。

「Cannot have multiple reports」エラー

レポートを作成しようとしても、Amazon Inspector が既にレポートを生成している場合、「Reason: Cannot have multiple reports in-progress」というエラーが表示されます。このエラーは、Amazon Inspector がアカウントに対して一度に 1 つのレポートしか生成できないために発生します。

エラーを解決するには、他のレポートが終了するのを待つか、キャンセルしてから新しいレポートをリクエストしてください。

GetFindingsReportStatus オペレーションを使用してレポートのステータスを確認できます。このオペレーションは、現在生成されているレポートのレポート ID を返します。

必要に応じて、 GetFindingsReportStatusオペレーションで指定されたレポート ID を使用して、 CancelFindingsReportオペレーションを使用して現在進行中のエクスポートをキャンセルできます。