Amazon Inspector の開始方法 - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector の開始方法

このチュートリアルでは、Amazon Inspector の実践的入門を示します。

ステップ 1 では、スタンドアロンアカウントまたは Amazon Inspector の委任された管理者として、マルチアカウント環境で Amazon Inspector スキャン AWS Organizations をアクティブ化します。

ステップ 2 では、コンソールに表示される Amazon Inspector の検出結果を理解する方法について説明します。

注記

このチュートリアルでは、現在の でタスクを完了します AWS リージョン。他のリージョンで Amazon Inspector をセットアップするには、それぞれのリージョンで以下の手順を実行する必要があります。

開始する前に

Amazon Inspector は、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、および AWS Lambda 関数を継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークへの露出を検出する脆弱性管理サービスです。

Amazon Inspector をアクティブ化する前に、次の点に注意してください

  • Amazon Inspector はリージョナルサービスです。このチュートリアルで行う設定手順はすべて、Amazon Inspector でモニタリングするリージョンごとに繰り返す必要があります。

  • Amazon Inspector では、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、および AWS Lambda 関数スキャンを柔軟にアクティブ化できます。スキャンタイプは、Amazon Inspector コンソールのアカウント管理ページから、または Amazon Inspector API を使用して管理できます。

  • Amazon Inspector は、Amazon EC2 Systems Manager (SSM) エージェントがインストールされアクティブ化になっている場合にのみ、EC2 インスタンスの共通脆弱性識別子 (CVE) データを提供できます。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動でアクティブ化する必要がある場合があります。SSM Agent のステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークの露出の問題がないかどうかが確認されます。Amazon EC2 のスキャンを設定する方法については、「Amazon EC2 インスタンスのスキャン」を参照してください。Amazon ECR と AWS Lambda 関数スキャンでは、エージェントを使用する必要はありません。

  • の管理者権限を持つ IAM ユーザー ID は、Amazon Inspector を有効に AWS アカウント できます。データ保護の目的で、 認証情報を保護し、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。そうすることで、各ユーザーには Amazon Inspector の管理に必要なアクセス許可のみが与えられます。Amazon Inspector を有効にするために必要なアクセス許可の詳細については、「AWS マネージドポリシー: AmazonInspector2FullAccess」を参照してください。

  • いずれかのリージョンで Amazon Inspector をはじめてアクティブ化すると、AWSServiceRoleForAmazonInspector2 というアカウントのグローバルなサービスリンクロールが作成されます。このロールには、Amazon Inspector が脆弱性検出結果を生成するために Amazon Inspector がソフトウェアパッケージの詳細を収集し、Amazon VPC 設定を分析することを可能にする許可と信頼ポリシーが含まれます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。サービスにリンクされたロールの詳細については、「サービスリンクロールの使用」を参照してください。

ステップ 1: Amazon Inspector をアクティブ化する

Amazon Inspector を使用する最初のステップは、お客様の AWS アカウントでそれをアクティブ化することです。Amazon Inspector のスキャンタイプをアクティブ化すると、Amazon Inspector はただちにすべての対象リソースの検出とスキャンを開始します。

一元化された管理者アカウントを使用して組織内の複数のアカウントの Amazon Inspector を管理する場合は、Amazon Inspector の委任された管理者を割り当てる必要があります。以下のいずれかのオプションを選択し、お使いの環境に合わせて Amazon Inspector をアクティブ化する方法を確認します。

Standalone account environment
  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. [今すぐ始める] を選択します。

  3. [Amazon Inspector をアクティブ化] を選択します。

スタンドアロンアカウントで Amazon Inspector をアクティブ化すると、すべてのスキャンタイプがデフォルトでアクティブ化されます。アクティブ化されたスキャンタイプは、Amazon Inspector コンソールのアカウント管理ページから、または Amazon Inspector API を使用して管理できます。Amazon Inspector がアクティブ化されると、対象となるすべてのリソースが自動的に検出され、スキャンが開始されます。以下のスキャンタイプ情報を確認して、どのリソースがデフォルトで対象となるかを確認してください。

Amazon EC2 スキャン

EC2 インスタンスに共通脆弱性識別子 (CVE) データを提供するために、Amazon Inspector では AWS Systems Manager (SSM) エージェントをインストールしてアクティブ化する必要があります。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動によるアクティブ化が必要な場合があります。SSM Agent のステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークへの露出の問題がないかどうかが確認されます。Amazon EC2 のスキャンを設定する方法については、「Amazon Inspector による Amazon EC2 インスタンスのスキャン」を参照してください。

Amazon ECR スキャン

Amazon ECR スキャンをアクティブ化すると、Amazon Inspector は、Amazon ECR が提供するデフォルトの基本的なスキャンに設定されているプライベートレジストリ内のすべてのコンテナリポジトリを、継続的スキャンによる拡張スキャンに変換します。また、オプションでこの設定をオンプッシュ時のみスキャンしたり、包含ルールを使用して特定のリポジトリをスキャンしたりするように設定することもできます。過去 30 日以内にプッシュされたすべてのイメージは、ライフタイムスキャンをするよう予定されます。この Amazon ECR スキャン設定はいつでも変更できます。Amazon ECR のスキャンを設定する方法については、「Amazon Inspector による Amazon ECR コンテナイメージのスキャン」を参照してください。

AWS Lambda 関数スキャン

AWS Lambda 関数スキャンを有効にすると、Amazon Inspector はアカウント内の Lambda 関数を検出し、脆弱性のスキャンを直ちに開始します。Amazon Inspector は、新しい Lambda 関数とレイヤーをデプロイ時にスキャンし、それらが更新されたとき、または新しい共通脆弱性識別子 (CVE) が発行されたときに再スキャンします。Amazon Inspector には 2 つの異なるレベルの Lambda 関数スキャンが用意されています。デフォルトでは、Amazon Inspector を初めてアクティブ化すると、関数内のパッケージの依存関係をスキャンする Lambda 標準スキャンがアクティブ化されます。さらに、Lambda コードスキャンをアクティブ化し、関数内の開発者コードをスキャンしてコードの脆弱性がないか調べることができます。Lambda 関数のスキャンを設定する方法については、「Amazon Inspector による AWS Lambda 関数のスキャン」を参照してください。

Multi-account environment
重要

これらの手順を実行するには、管理するすべてのアカウントと同じ組織に属し、組織内で Amazon Inspector の管理者を委任するための  AWS Organizations 管理アカウントへのアクセス許可を持っている必要があります。管理者の委任には追加の許可が必要になる場合があります。詳細については、「委任された管理者の指定に必要な許可」を参照してください。

注記

複数のリージョンの複数のアカウントで Amazon Inspector をプログラム的に有効にするには、Amazon Inspector が開発したシェルスクリプトを使用できます。このスクリプトの使用の詳細については、「」の「 Inspector2-enablement-with-cli」を参照してください GitHub。

Amazon Inspector の管理者の委任

  1. AWS Organizations 管理アカウントにログインします。

  2. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  3. 委任管理者ペインに、組織の Amazon Inspector 委任管理者として AWS アカウント 指定する の 12 桁の ID を入力します。その後、[削除] をクリックします。次に、確認ウィンドウで [委任] をもう一度選択します。

    注記

    管理者を委任すると、アカウントの Amazon Inspector がアクティブ化されます。

メンバーアカウントを組織に追加する

委任された管理者は、組織の管理アカウントに関連付けられているすべてのメンバーのスキャンをアクティブ化できます。このワークフローでは、すべてのメンバーアカウントのすべてのスキャンタイプをアクティブ化にします。ただし、メンバーは自分のアカウントで Amazon Inspector をアクティベート化したり、委任された管理者がサービスのスキャンを選択的にアクティブ化したりすることもできます。詳細については、「複数のアカウントの管理」を参照してください。

  1. 委任された管理者のアカウントにログインします。

  2. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  3. ナビゲーションペインで、[アカウント管理] を選択します。[アカウント] テーブルには、組織の管理アカウントに関連付けられているすべてのメンバーアカウントが表示されます。

  4. アカウント管理ページから、上部のバナーからすべてのアカウントのスキャンを有効にするを選択して、EC2 インスタンス、ECR コンテナイメージ、組織内のすべてのアカウントの AWS Lambda 関数スキャンをアクティブ化できます。または、[アカウント] テーブルでメンバーとして追加するアカウントを選択することもできます。次に、[アクティブ化] メニューから[すべてのスキャン] を選択します。

  5. (オプション)[新しいメンバーアカウントの Inspector を自動的にアクティブ化] の機能をオンにし、含めるスキャンタイプを選択して、組織に追加する新しいメンバーアカウントのスキャンをアクティブ化します。

Amazon Inspector は現在、EC2 インスタンス、ECR コンテナイメージ、および AWS Lambda 関数のスキャンを提供しています。Amazon Inspector をアクティブ化すると、対象となるすべてのリソースの検出とスキャンが自動的に開始されます。以下のスキャンタイプ情報を確認して、どのリソースがデフォルトで対象となるかを確認してください。

Amazon EC2 スキャン

EC2 インスタンスの CVE 脆弱性データを提供するには、Amazon Inspector で AWS Systems Manager (SSM) エージェントをインストールしてアクティブ化する必要があります。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動によるアクティブ化が必要な場合があります。SSM Agent のステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークへの露出の問題がないかどうかが確認されます。Amazon EC2 のスキャンを設定する方法については、「Amazon Inspector による Amazon EC2 インスタンスのスキャン」を参照してください。

Amazon ECR スキャン

Amazon ECR スキャンをアクティブ化すると、Amazon Inspector は、Amazon ECR が提供するデフォルトの基本的なスキャンに設定されているプライベートレジストリ内のすべてのコンテナリポジトリを、継続的スキャンによる拡張スキャンに変換します。また、オプションでこの設定をオンプッシュ時のみスキャンしたり、包含ルールを使用して特定のリポジトリをスキャンしたりするように設定することもできます。過去 30 日以内にプッシュされたすべてのイメージは、ライフタイムスキャンをするよう予定されます。この Amazon ECR スキャン設定は、委任された管理者がいつでも変更できます。Amazon ECR のスキャンを設定する方法については、「Amazon Inspector による Amazon ECR コンテナイメージのスキャン」を参照してください。

AWS Lambda 関数スキャン

AWS Lambda 関数スキャンを有効にすると、Amazon Inspector はアカウント内の Lambda 関数を検出し、脆弱性のスキャンを直ちに開始します。Amazon Inspector は、新しい Lambda 関数とレイヤーをデプロイ時にスキャンし、それらが更新されたとき、または新しい共通脆弱性識別子 (CVE) が発行されたときに再スキャンします。Lambda 関数のスキャンを設定する方法については、「Amazon Inspector による AWS Lambda 関数のスキャン」を参照してください。

ステップ 2: Amazon Inspector の検出結果を表示する

Amazon Inspector コンソールで、または API を使用して、お使いの環境の検出結果を表示できます。すべての検出結果も Amazon EventBridge と AWS Security Hub (アクティブ化されている場合) にプッシュされます。さらに、コンテナイメージの検出結果は Amazon ECR にプッシュされます。

Amazon Inspector コンソールには、検出結果の表示形式がいくつか用意されています。Amazon Inspector ダッシュボードには環境に対するリスクの概要が表示され、[検出結果] テーブルでは特定の検出結果の詳細を表示できます。

このステップでは、[検出結果] テーブルと検出結果ダッシュボードを使用して検出結果の詳細を調べます。Amazon Inspector ダッシュボードの詳細については、「ダッシュボードについて」を参照してください。

Amazon Inspector コンソールでご使用の環境の検出結果の詳細を表示するには:

  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインの [ダッシュボード] を選択します。ダッシュボード内の任意のリンクを選択して、その項目の詳細が記載された Amazon Inspector コンソールのページに移動できます。

  3. ナビゲーションペインで [検出結果] を選択します。

  4. デフォルトでは、すべての検出結果タブが表示され、環境のすべての EC2 インスタンス、ECR コンテナイメージ、 AWS Lambda 関数の検出結果が表示されます。

  5. 検出結果リストのタイトル列で検出結果名を選択すると、その検出結果の詳細ペインが開きます。すべての検出結果には [検出結果の詳細] タブがあります。[検出結果の詳細] タブは次の方法で操作できます。

    • 脆弱性の詳細については、[脆弱性の詳細] セクションのリンクをクリックして、この脆弱性に関するドキュメントを開いてください。

    • リソースをさらに調査するには、[影響を受けるリソース] セクションの「リソース ID」リンクをクリックして、影響を受けるリソースのサービスコンソールを開きます。

    パッケージ脆弱性タイプの結果には、インスペクタースコアと脆弱性インテリジェンスタブもあり、その結果の Amazon Inspector スコアがどのように計算されたかを説明し、検出結果に関連する Common Vulnerability and Exploits (CVE) に関する情報を提供します。検出結果タイプの詳細については、「Amazon Inspector での 検出結果タイプ」を参照してください。