Amazon Inspector での 検出結果タイプ - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector での 検出結果タイプ

Amazon Inspector では、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Container Registry (Amazon ECR) リポジトリのコンテナイメージ、および AWS Lambda 関数の検出結果を生成します。Amazon Inspector では、次のタイプの検出結果を生成できます。

パッケージ脆弱性

パッケージ脆弱性検出結果は、共通脆弱性識別子 (CVE) が露出されている AWS 環境内のソフトウェアパッケージを特定します。攻撃者は、こうしたパッチが適用されていない脆弱性を利用し、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があります。CVE システムは、セキュリティの脆弱性や露出についての既知の情報を参照する方法です。詳細については、https://www.cve.org/ を参照してください。

Linux の CVE 検出は、ベンダーのセキュリティアドバイザリによってリリースから 24 時間以内に Amazon Inspector に追加されます。Windows 用の CVE 検出は、Microsoft がリリースしてから 48 時間以内に Amazon Inspector に追加されます。Amazon Inspector 脆弱性データベース検索 を使用して CVE 検出がサポートされているかどうかを確認できます。

Amazon Inspector では、EC2 インスタンス、ECR コンテナイメージ、および Lambda 関数についてパッケージ脆弱性検出結果を生成できます。パッケージ脆弱性検出結果には、この検出結果タイプに固有の詳細が追加されており、インスペクタスコアと脆弱性インテリジェンスがこれに該当します。

コードの脆弱性

コード脆弱性の検出結果は、攻撃者が悪用する可能性のあるコード内の行を特定します。コードの脆弱性には、インジェクションの欠陥、データ漏洩、脆弱な暗号化、コード内の暗号化の欠落などがあります。

Amazon Inspector は、自動推論と機械学習を使用して Lambda 関数のアプリケーションコードを評価し、アプリケーションコードを分析して全体的なセキュリティコンプライアンスを確認します。Amazon CodeGuru と共同で開発された内部ディテクターに基づいて、ポリシー違反と脆弱性を識別します。可能な検出のリストについては、「CodeGuru Detector Library」を参照してください。

重要

Amazon Inspector のコードスキャンでは、コードスニペットをキャプチャして検出された脆弱性をハイライトします。これらのスニペットには、ハードコードされた認証情報やその他の機密情報がプレーンテキストで表示される場合があります。

Amazon Inspector では、Amazon Inspector Lambda コードスキャン をアクティブ化している場合、Lambda 関数のコード脆弱性検出結果を生成できます。

コードの脆弱性に関連して検出されたコードスニペットは、CodeGuru サービスによって保存されます。デフォルトでは、CodeGuru 管理のAWS所有キー がコードの暗号化に使用されますが、Amazon Inspector API を使用して独自のカスタマーマネージドキーを使用して暗号化することもできます。詳細については、「検出結果のコードの保管時の暗号化」を参照してください。

ネットワーク到達可能性

ネットワーク到達可能性の検出結果は、環境内の Amazon EC2 インスタンスへのネットワークパスが開いていることを示しています。インターネットゲートウェイ (Application Load Balancer または Classic Load Balancer の背後にあるインスタンスを含む)、VPC ピアリング接続、または仮想ゲートウェイを介した VPN など、VPC エッジから TCP および UDP ポートに到達可能な場合、これらの結果が表示されます。これらの結果では、セキュリティグループ、アクセス制御リスト、インターネットゲートウェイなどの管理が不適切であったり、潜在的に悪意のあるアクセスを許している可能性があるなど、過度に寛容なネットワーク設定をハイライトします。

Amazon Inspector は、Amazon EC2 インスタンスのネットワーク到達可能性の検出結果のみを生成します。Amazon Inspector は 24 時間ごとにネットワークの到達可能性に関する検出結果のスキャンを実行します。

Amazon Inspector は、ネットワークパスをスキャンする際に以下の設定を評価します。