Amazon Inspector 検出結果レポートのエクスポート

検出結果レポートは、検出結果の詳細なスナップショットを提供する CSV または JSON ファイルです。検出結果レポートは AWS Security Hub、、Amazon EventBridge、および Amazon Simple Storage Service (Amazon S3) にエクスポートできます。検出結果レポートを設定するときは、どの検出結果をレポートに含めるかを指定します。デフォルトでは、検出結果レポートには、すべてのアクティブな検出結果のデータが含まれます。組織の委任管理者である場合、検出結果レポートには、組織内のすべてのメンバーアカウントの検出結果データが含まれます。検出結果レポートをカスタマイズするには、フィルターを作成して適用します。

検出結果レポートをエクスポートすると、Amazon Inspector は AWS KMS key 指定した を使用して検出結果データを暗号化します。Amazon Inspector が検出結果を暗号化すると、検出結果は指定された Amazon S3 バケットに保存されます。 AWS KMS キーは、Amazon S3 バケット AWS リージョン と同じ で使用する必要があります。 Amazon S3 AWS KMS キーポリシーでは Amazon Inspector による使用を許可し、Amazon S3 バケットポリシーでは Amazon Inspector によるオブジェクトの追加を許可する必要があります。検出結果レポートをエクスポートしたら、Amazon S3 バケットからダウンロードするか、新しい場所に転送できます。Amazon S3 バケットを、エクスポートされた他の検出結果レポートのリポジトリとして使用することもできます。

このセクションでは、Amazon Inspector コンソールで検出結果レポートをエクスポートする方法について説明します。以下のタスクでは、アクセス許可の検証、Amazon S3 バケットの設定、 の設定 AWS KMS key、検出結果レポートの設定とエクスポートが必要です。

注記

Amazon Inspector CreateFindingsReport API を使用して検出結果レポートをエクスポートする場合、アクティブな検出結果の表示のみができます。抑制された検出結果または終了した検出結果を表示するには、フィルター条件の一部として SUPPRESSED または CLOSED を指定する必要があります。

ステップ 1: アクセス許可を確認する

注記

検出結果レポートの初回エクスポート後、ステップ 1～3 はオプションになります。これらのステップは、同じ Amazon S3 バケットと、エクスポートされた他の検出 AWS KMS key 結果レポートのどちらを使用するかに基づいています。ステップ 1～3 の完了後に検出結果レポートをプログラムでエクスポートする場合は、Amazon Inspector API の CreateFindingsReport オペレーションを使用してください。

Amazon Inspector から調査結果レポートをエクスポートする前に、調査結果レポートのエクスポートと、レポートの暗号化と保存のためのリソースの設定の両方に必要なアクセス許可があることを確認してください。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、調査結果レポートをエクスポートするために実行を許可されなければならない以下のアクションのリストと比較します。

Amazon Inspector

Amazon Inspector の場合、次のアクションの実行が許可されていることを確認します。

• inspector2:ListFindings

• inspector2:CreateFindingsReport

これらのアクションにより、アカウントの検出結果データを取得し、そのデータを調査結果レポートにエクスポートできます。

サイズの大きいレポートをプログラムでエクスポートする予定の場合は、レポートのステータスを確認する、inspector2:CancelFindingsReport、進行中のエクスポートをキャンセルする操作が許可されていることも確認してください。inspector2:GetFindingsReportStatus

AWS KMS

では AWS KMS、次のアクションを実行できることを確認します。

• kms:GetKeyPolicy

• kms:PutKeyPolicy

これらのアクションにより、Amazon Inspector にレポートの暗号化に使用させたい AWS KMS key のキーポリシーを取得して更新できます。

Amazon Inspector コンソールを使用してレポートをエクスポートするには、次の AWS KMS アクションの実行が許可されていることを確認します。

• kms:DescribeKey

• kms:ListAliases

これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択してレポートを暗号化できます。

レポートを暗号化するために新しい KMS キーを作成することを計画している場合、kms:CreateKey アクションの実行も許可される必要があります。

Amazon S3

Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。

• s3:CreateBucket

• s3:DeleteObject

• s3:PutBucketAcl

• s3:PutBucketPolicy

• s3:PutBucketPublicAccessBlock

• s3:PutObject

• s3:PutObjectAcl

これらのアクションにより、Amazon Inspector でレポートを保存する S3 バケットを作成して設定できます。また、バケットにオブジェクトを追加したり、バケットからオブジェクトを削除したりすることもできます。

Amazon Inspector コンソールを使用してレポートをエクスポートする予定がある場合は、s3:ListAllMyBuckets および s3:GetBucketLocation アクションの実行が許可されていることも確認してください。これらのアクションにより、アカウントの S3 バケットに関する情報を取得して表示することができます。その後、レポートを保存するバケットを 1 つ選択できます。

必要なアクションの 1 つ以上を実行できない場合は、次のステップに進む前に、 AWS 管理者にサポートを依頼してください。

ステップ 2: S3 バケットを設定する

アクセス許可を確認したら、調査結果レポートを保存する S3 バケットを設定します。自分のアカウントの既存のバケットでも、別の が所有するアクセスが許可されている既存のバケット AWS アカウント でもかまいません。レポートを新しいバケットに保存する場合は、先に進む前にバケットを作成してください。

S3 バケットは、エクスポートする検出結果データ AWS リージョン と同じ にある必要があります。例えば、Amazon Inspector を米国東部 (バージニア北部) リージョンで使用していて、そのリージョンの検出結果データをエクスポートする場合、バケットも米国東部 (バージニア北部) リージョンにある必要があります。

さらに、バケットのポリシーでは、Amazon Inspector がバケットにオブジェクトを追加することを許可する必要があります。このトピックでは、バケットポリシーを更新する方法について説明し、ポリシーに追加するステートメントの例も示します。バケットポリシーの追加と更新の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーの使用」を参照してください。

別のアカウントが所有する S3 バケットにレポートを保存する場合は、バケットの所有者と連携してバケットのポリシーを更新します。また、バケットの URI も取得します。レポートをエクスポートするときに、この URI を入力する必要があります。

バケットポリシーを更新するには

1. 認証情報を使用してサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3) を開きます。

2. ナビゲーションペインで、バケットを選択します。

3. 調査結果レポートを保存する S3 バケットを選択します。

4. アクセス許可 タブを選択します。

5. バケットポリシー セクションで、編集 を選択します。

6. 次のステータス例をクリップボードにコピーします。

   {
   	"Version": "2012-10-17",
   	"Statement": [
   		{
   			"Sid": "allow-inspector",
   			"Effect": "Allow",
   			"Principal": {
   				"Service": "inspector2.amazonaws.com"
   			},
   			"Action": [
   				"s3:PutObject",
   				"s3:PutObjectAcl",
   				"s3:AbortMultipartUpload"
   			],
   			"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
   			"Condition": {
   				"StringEquals": {
   					"aws:SourceAccount": "111122223333"
   				},
   				"ArnLike": {
   					"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
   				}
   			}
   		}
   	]
   }
                   

7. Amazon S3 コンソールのバケットポリシーエディタで、前のステートメントをポリシーに貼り付けてポリシーに追加します。

   ステートメントをポリシーに追加するときに、構文が有効であることを確認します。バケットポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。

8. 環境に合った正しい値でステートメントを更新します。

   • amzn-s3-demo-bucket はバケットの名前です。

   • 111122223333 は、お客様の AWS アカウントのアカウント ID です。

   • Region は AWS リージョン 、Amazon Inspector を使用していて、Amazon Inspector がバケットにレポートを追加できるようにする です。たとえば、米国東部 (バージニア北部) リージョンの場合は us-east-1 です。

   注記

   手動で有効にした で Amazon Inspector を使用している場合は AWS リージョン、 Serviceフィールドの値に適切なリージョンコードも追加します。このフィールドは Amazon Inspector サービスプリンシパルを指定します。

   たとえば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、ステートメントで inspector2.amazonaws.com を inspector2.me-south-1.amazonaws.com に置き換えます。

   これらのステートメント例は、2 つの IAM グローバル条件キーを使用する条件を定義していることにご注意してください。

   • [aws:SourceAccount] — この条件により、Amazon Inspector はアカウントのレポートのみをバケットに追加することができます。これにより、Amazon Inspector が他のアカウントのバケットにレポートを追加できなくなります。具体的には、条件は、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。

     バケット内の追加アカウントのレポートを保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。以下に例を示します。

     "aws:SourceAccount": [111122223333,444455556666,123456789012]

   • aws:SourceArn — この条件により、バケットに追加されているオブジェクトのソースに基づいて、バケットへのアクセスを制限します。これにより AWS のサービス 、他の がバケットにオブジェクトを追加できなくなります。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます 具体的には、Amazon Inspectorは、オブジェクトが調査結果レポートであり、かつ、それらのレポートがアカウントによって作成され、かつ、条件で指定されたリージョンにある場合にのみ、オブジェクトをバケットに追加することができます。

     Amazon Inspector が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに Amazon リソースネーム (ARN) をこの条件に追加します。以下に例を示します。

     "aws:SourceArn": [
         "arn:aws:inspector2:Region:111122223333:report/*",
         "arn:aws:inspector2:Region:444455556666:report/*",
         "arn:aws:inspector2:Region:123456789012:report/*"
     ]

     aws:SourceAccount と aws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

   どちらの条件も、Amazon Inspector が Amazon S3 とのトランザクション中に [混乱した代理] として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。

9. バケットポリシーの更新が完了したら、変更を保存する を選択します。

ステップ 3: AWS KMS keyを設定する

アクセス許可を確認して S3 バケットを設定したら、Amazon Inspector で調査結果レポートを暗号化するためにどの AWS KMS key を使用するかを決定します。キーは、カスタマーマネージドキーで、対称暗号化 KMS キーである必要があります。さらに、キーは、レポートを保存するように設定した S3 バケット AWS リージョン と同じ にある必要があります。

キーは、ご自分のアカウントの既存の KMS キーでも、別のアカウントが所有する既存の KMS キーでもかまいません。新しい KMS キーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用したい場合は、そのキーの Amazon リソースネーム (ARN) を取得します。Amazon Inspector からレポートをエクスポートするときに、この ARN を入力する必要があります。KMS キー設定の作成と確認については、「AWS Key Management Service デベロッパーガイド」の「キーの管理」を参照してください。

使用する KMS キーを決定した後、Amazon Inspector にそのキーを使用するアクセス許可を付与します。そうしないと、Amazon Inspector がレポートを暗号化しエクスポートすることができません。Amazon Inspector にキーを使用するアクセス許可を付与するには、キーのキーポリシーを更新します。キーポリシーと KMS キーへのアクセス管理の詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSのキーポリシー」を参照してください。

注記

以下の手順は、Amazon Inspector が既存のキーを使用できるように更新するためのものです。既存のキーがない場合は、「AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。

キーポリシーを更新するには

1. 認証情報を使用してサインインし、https://console.aws.amazon.com/kms で AWS KMS コンソールを開きます。

2. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

3. レポートの暗号化に使用する KMS キーを選択します。キーは対称暗号化 (SYMMETRIC_DEFAULT) キーである必要があります。

4. アクセスポリシー タブで 編集 を選択します。[編集] ボタンのあるキーポリシーが表示されない場合は、まず [ポリシービューへの切り替え] を選択する必要があります。

5. 次のステートメント例をクリップボードにコピーします。

   {
       "Sid": "Allow Amazon Inspector to use the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "inspector2.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "*",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "111122223333"
           },
           "ArnLike": {
               "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
           }
       }
   }        

6. AWS KMS コンソールのキーポリシーエディタで、前述のステートメントをキーポリシーに貼り付けてポリシーに追加します。

   ステートメントをポリシーに追加するときに、構文が有効であることを確認します。キーポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。

7. 環境に合った正しい値でステートメントを更新します。

   • 111122223333 は、お客様の AWS アカウントのアカウント ID です。

   • Region は、Amazon Inspector AWS リージョン が キーを使用してレポートを暗号化できるようにする です。たとえば、米国東部 (バージニア北部) リージョンの場合は us-east-1 です。

   注記

   手動で有効にした で Amazon Inspector を使用している場合は AWS リージョン、 Serviceフィールドの値に適切なリージョンコードも追加します。たとえば、リージョンコードが設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、inspector2.amazonaws.com を inspector2.me-south-1.amazonaws.com に置き換えます。

   前のステップのバケットポリシーのサンプルステートメントと同様に、この例の Condition フィールドでは 2 つの IAM グローバル条件キーを使用しています。

   • [aws:SourceAccount] — この条件により、Amazon Inspector がお客様のアカウントに対してのみ指定されたアクションを実行することを許可します。具体的には、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。

     Amazon Inspector が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。以下に例を示します。

     "aws:SourceAccount": [111122223333,444455556666,123456789012]

   • aws:SourceArn — この条件により、他の AWS のサービス が指定されたアクションを実行するのを防ぎます。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、Amazon Inspector は、オブジェクトが調査結果レポートであり、それらのレポートがアカウントによって作成され、条件で指定されたリージョンにある場合にのみ、S3 オブジェクトをキーで暗号化することができます。

     Amazon Inspector が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。以下に例を示します。

     "aws:SourceArn": [
         "arn:aws:inspector2:us-east-1:111122223333:report/*",
         "arn:aws:inspector2:us-east-1:444455556666:report/*",
         "arn:aws:inspector2:us-east-1:123456789012:report/*"
     ]

     aws:SourceAccount と aws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

   これらの条件は、トランザクション中に Amazon Inspector が混乱した代理として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。

8. キーポリシーの更新が完了したら、[変更を保存する] を選択します。

ステップ 4: 調査結果レポートを設定しエクスポートする

注記

検出結果レポートは一度に 1 つしかエクスポートできません。エクスポートが進行中の場合は、エクスポートが完了するまで待ってから別の検出結果レポートをエクスポートする必要があります。

アクセス許可を確認し、調査結果レポートを暗号化して保存するリソースを設定したら、レポートを設定してエクスポートします。

調査結果レポートの設定とエクスポートをするには

1. 認証情報を使用してサインインし、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/v2/home) を開きます。

2. ナビゲーションペインで [検出結果] の [すべての検出結果] を選択します。

3. (オプション) 検出結果 テーブルの上にあるフィルターバーを使用して、レポートに含める検出結果を指定するフィルター条件を追加します。条件を追加すると、Amazon Inspector は条件に一致する検出結果のみを含むようにテーブルを更新します。このテーブルには、レポートに含まれるデータのプレビューが表示されます。

   注記

   フィルター条件を追加することをお勧めします。そうしないと、レポートには、ステータスがアクティブ AWS リージョン である現在の のすべての検出結果のデータが含まれます。お客様が組織の Amazon Inspector 管理者である場合、これには、組織内のすべてのメンバーアカウントの検出結果データが含まれます。

   レポートにすべてまたは多数の検出結果データが含まれている場合、レポートの生成とエクスポートには時間がかかり、エクスポートは一度に 1 つのレポートしか生成できません。

4. [検出結果をエクスポート] を選択します。

5. [エクスポート設定] セクションの [エクスポートファイルタイプ] で、レポートのファイル形式を指定します。

   • データを含む JavaScript オブジェクト表記法 (.json) ファイルを作成するには、[JSON] を選択します。

     [JSON] オプションを選択した場合、レポートには各検出結果のすべてのフィールドが含まれます。使用可能な JSON フィールドのリストについては、Amazon Inspector API リファレンスの「検出結果データタイプ」を参照してください。

   • データを含むカンマ区切り値 (CSV) ファイルを作成するには、[CSV] を選択します。

     CSV オプションを選択した場合、レポートには各検出結果のフィールドのサブセット、つまり検出結果の主要な属性を報告する約 45 のフィールドのみが含まれます。フィールドには、[検出結果のタイプ]、[タイトル]、[重要度]、[ステータス]、[説明]、[初回確認日]、[最終確認日]、[使用可能な修正]、[ AWS アカウント ID]、[リソース ID]、[リソースタグ]、および [対策] が含まれます。これらのフィールドに加え、各検出結果のスコアリングの詳細と参照 URL をキャプチャするフィールドもあります。以下は、検出結果レポートの CSV ヘッダーのサンプルです。

     AWS Account Id

     Severity

     Fix Available

     Finding Type

     Title

     Description

     Finding ARN

     First Seen

     Last Seen

     Last Updated

     Resource ID

     Container Image Tags

     Region

     Platform

     Resource Tags

     Affected Packages

     Package Installed Version

     Fixed in Version

     Package Remediation

     File Path

     Network Paths

     Age (Days)

     Remediation

     Inspector Score

     Inspector Score Vector

     Status

     Vulnerability Id

     Vendor

     Vendor Severity

     Vendor Advisory

     Vendor Advisory Published

     NVD CVSS3 Score

     NVD CVSS3 Vector

     NVD CVSS2 Score

     NVD CVSS2 Vector

     Vendor CVSS3 Score

     Vendor CVSS3 Vector

     Vendor CVSS2 Score

     Vendor CVSS2 Vector

     Resource Type

     Ami

     Resource Public Ipv4

     Resource Private Ipv4

     Resource Ipv6

     Resource Vpc

     Port Range

     Exploit Available

     Last Exploited At

     Lambda Layers

     Lambda Package Type

     Lambda Last Updated At

     Reference Urls

6. [エクスポートの場所] の [S3 URI] で、レポートを保存する S3 バケットを指定します。

   • アカウントが所有するバケットにレポートを保存するには、[S3 の参照] を選択します。Amazon Inspector は、アカウントの S3 バケットのテーブルを表示します。使用したいバケットを選択し、[選択] を選択します。

     ヒント

     レポートの Amazon S3 パスプレフィックスも指定するには、[S3 URI] ボックスの値にスラッシュ (/) とプレフィックスを追加します。その後、Amazon Inspector はレポートをバケットに追加するときにプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。

     例えば、 AWS アカウント ID をプレフィックスとして使用し、アカウント ID が 111122223333 である場合は、S3 URI ボックスの値/111122223333に を追加します。

     [プレフィックス] は、バケット内のディレクトリパスと類似しています。これにより、類似ファイルをファイルシステム上のフォルダにまとめて保存する場合と同様に、バケット内の類似オブジェクトをまとめてグループ化できます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「フォルダを使用して Amazon S3 コンソールのオブジェクトを整理する」を参照してください。

   • 別のアカウントが所有するバケットにレポートを保存するには、そのバケットの URI を入力します。たとえば s3://DOC-EXAMPLE_BUCKET、DOC-EXAMPLE_BUCKET はバケットの名前です。バケット所有者は、この情報をバケットのプロパティで確認できます。

7. KMS キー AWS KMS key で、レポートの暗号化に使用する を指定します。

   • ご自分のアカウントのキーを使用するには、リストからキーを選択します。リストには、アカウントのカスタマーマネージド、対称暗号化 KMS キーが表示されます。

   • 別のアカウントによって所有されているキーを使用するには、キーの Amazon リソースネーム (ARN) を入力します。キーの所有者は、キーのプロパティでこの情報をユーザーに代わって確認できます。詳細については、「AWS Key Management Service デベロッパーガイド」の「キー ID と ARN の検索」を参照してください。

8. [エクスポート] をクリックします。

Amazon Inspector は調査結果レポートを生成し、指定した KMS キーで暗号化して、指定した S3 バケットに追加します。レポートに含めるように選択した検出結果の数によっては、このプロセスに数分または数時間かかる場合があります。エクスポートが完了すると、Amazon Inspector は調査結果レポートが正常にエクスポートされたことを示すメッセージを表示します。オプションで、メッセージ内の [レポートを表示] を選択し、Amazon S3 のレポートに移動します。

一度に 1 つのレポートしかエクスポートできないことに注意してください。エクスポートが進行中の場合は、エクスポートが完了するまで待ってから別のレポートをエクスポートしてください。

エクスポートエラーのトラブルシューティング

調査結果レポートをエクスポートしようとしたときにエラーが発生した場合、Amazon Inspector では、エラーを説明するメッセージが表示されます。このトピックに記載されている情報を参考にして、考えられるエラーの原因と解決策を特定してください。

例えば、S3 バケットが現在の にあり AWS リージョン 、バケットのポリシーで Amazon Inspector がバケットにオブジェクトを追加できることを確認します。また、 AWS KMS key が現在のリージョンで有効になっていることを確認し、キーポリシーが Amazon Inspector にキーの使用を許可していることを確認します。

エラーに対処したら、もう一度レポートのエクスポートを試します。

「Cannot have multiple reports」エラー

レポートを作成しようとしても、Amazon Inspector が既にレポートを生成している場合、「Reason: Cannot have multiple reports in-progress」というエラーが表示されます。このエラーは、Amazon Inspector がアカウントに対して一度に 1 つのレポートしか生成できないために発生します。

エラーを解決するには、他のレポートが終了するのを待つか、キャンセルしてから新しいレポートをリクエストしてください。

GetFindingsReportStatus オペレーションを使用してレポートのステータスを確認できます。この操作は、現在生成中のすべてのレポートのレポート ID を返します。

必要な場合は、CancelFindingsReport オペレーションを使用し、GetFindingsReportStatus オペレーションで指定されたレポート ID を使用して、進行中のエクスポートをキャンセルできます。