Amazon Inspector の使用を開始する - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector の使用を開始する

このチュートリアルでは、Amazon Inspector の実践的な紹介を行います。

ステップ 1 では、スタンドアロンアカウントで Amazon Inspector スキャンをアクティブ化する方法、またはマルチアカウント環境で Amazon Inspector 委任管理者としてスキャンをアクティブ化する方法について説明します。AWS Organizations

ステップ 2 では、コンソールに表示される Amazon Inspector の結果を理解する方法について説明します。

注記

このチュートリアルでは、AWS リージョン現在のタスクを完了します。他のリージョンで Amazon Inspector をセットアップするには、それぞれのリージョンで以下の手順を実行する必要があります。

開始する前に

Amazon Inspector は、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、AWS Lambda関数を継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークへの露出がないか調べる脆弱性管理サービスです。

Amazon Inspector をアクティベートする前に、次の点に注意してください

  • Amazon Inspector はリージョナルサービスです。このチュートリアルで行う設定手順はすべて、Amazon Inspector でモニタリングする各リージョンで繰り返す必要があります。

  • Amazon Inspector を使用すると、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、AWS Lambdaおよび関数スキャンを柔軟にアクティブ化できます。スキャンタイプは、Amazon Inspector コンソールのアカウント管理ページから、または Amazon Inspector API を使用して管理できます。

  • Amazon Inspector は、Amazon EC2 システムマネージャ(SSM)エージェントがインストールされアクティブ化されている場合にのみ、EC2 インスタンスの一般的な脆弱性とエクスポージャー(CVE)データを提供できます。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動でアクティブ化する必要がある場合がありますSSM エージェントのステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークへの露出の問題がないかどうかが確認されます。Amazon EC2 のスキャン設定の詳細については、を参照してくださいAmazon EC2 インスタンスのスキャン。Amazon ECR AWS Lambda と関数スキャンではエージェントを使用する必要はありません。

  • に管理者権限を持つ IAM ユーザーアイデンティティがあれば、Amazon Inspector AWS アカウント を有効にできます。データ保護のため、認証情報を保護し、AWS IAM Identity Centerまたは AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。そうすれば、各ユーザーには Amazon Inspector の管理に必要な権限のみが与えられます。Amazon Inspector を有効にするために必要なアクセス権限については、を参照してくださいAWS マネージドポリシー: AmazonInspector2FullAccess

  • Amazon Inspector をいずれかのリージョンで初めてアクティブ化すると、という名前のアカウントに対してサービスにリンクされたロールがグローバルに作成されます。AWSServiceRoleForAmazonInspector2このロールには、Amazon Inspector がソフトウェアパッケージの詳細を収集し、Amazon VPC の設定を分析して脆弱性の検出結果を生成できるようにする権限と信頼ポリシーが含まれます。詳細については、「Amazon Inspector のサービスにリンクされたロールを使用する」を参照してください。サービスにリンクされたロールの詳細については、「サービスリンクロールの使用」を参照してください。

ステップ 1: Amazon Inspector を有効にする

Amazon Inspector を使用するための最初のステップは、AWS アカウントお客様のためにアクティベーションを行うことです。Amazon Inspector のスキャンタイプをアクティブ化すると、Amazon Inspector はただちにすべての対象リソースの検出とスキャンを開始します。

一元化された管理者アカウントを使用して組織内の複数のアカウントの Amazon Inspector を管理する場合は、Amazon Inspector に委任された管理者を割り当てる必要があります。以下のオプションのいずれかを選択して、ご使用の環境に合わせて Amazon Inspector をアクティベートする方法を確認してください。

Standalone account environment
  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. [Get Started] (今すぐ始める) を選択します。

  3. Amazon Inspector を有効化」を選択します。

スタンドアロンアカウントで Amazon Inspector を有効化すると、すべてのスキャンタイプがデフォルトで有効になります。有効化されたスキャンタイプは、Amazon Inspector コンソールのアカウント管理ページから、または Amazon Inspector API を使用して管理できます。Amazon Inspector がアクティブ化されると、対象となるすべてのリソースが自動的に検出され、スキャンが開始されます。以下のスキャンタイプ情報を確認して、デフォルトで対象となるリソースを確認してください。

Amazon EC2 スキャン

EC2 インスタンスに一般的な脆弱性とリスク (CVE) データを提供するには、Amazon Inspector では AWS Systems Manager (SSM) エージェントをインストールしてアクティブ化する必要があります。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動でアクティブ化する必要がある場合があります。SSM エージェントのステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークへの露出の問題がないか調べられます。Amazon EC2 のスキャン設定の詳細については、を参照してくださいAmazon インスペクターによる Amazon EC2 インスタンスのスキャン

Amazon ECR スキャン

Amazon ECR スキャンを有効にすると、Amazon Inspector は、Amazon ECR が提供するデフォルトのベーシックスキャン用に設定されているプライベートレジストリ内のすべてのコンテナリポジトリを、継続的スキャンによる拡張スキャンに変換します。また、オプションでこの設定をオンプッシュ時のみスキャンしたり、インクルージョンルールを使用して特定のリポジトリをスキャンしたりするように設定することもできます。過去 30 日以内にプッシュされたすべてのイメージは、生涯スキャンされるようスケジュールされます。この Amazon ECR スキャン設定はいつでも変更できます。Amazon ECR のスキャン設定の詳細については、を参照してください。Amazon インスペクターによる Amazon ECR コンテナイメージのスキャン

AWS Lambda関数スキャン

AWS Lambda関数スキャンを有効にすると、Amazon Inspector はアカウント内の Lambda 関数を検出し、すぐに脆弱性のスキャンを開始します。Amazon Inspector は、新しい Lambda 関数とレイヤーをデプロイ時にスキャンし、それらが更新されたとき、または新しい一般的な脆弱性とエクスポージャー (CVE) が公開されたときに再スキャンします。Amazon Inspector には 2 つの異なるレベルの Lambda 関数スキャンが用意されています。デフォルトでは、Amazon Inspector を初めてアクティブ化すると、関数内のパッケージの依存関係をスキャンする Lambda 標準スキャンが有効になります。さらに、Lambda コードスキャンを有効にして、関数内の開発者コードをスキャンしてコードの脆弱性がないか調べることができます。Lambda 関数スキャンの設定の詳細については、を参照してください。Amazon Inspector AWS Lambda によるスキャン機能

Multi-account environment
重要

これらのステップを完了するには、管理したいすべてのアカウントと同じ組織に所属し、組織内の Amazon Inspector AWS Organizations の管理者を委任するための管理アカウントへのアクセス権を持っている必要があります。管理者を委任するには、追加の権限が必要な場合があります。詳細については、「委任された管理者の指定に必要な許可」を参照してください。

注記

複数のリージョンの複数のアカウントで Amazon Inspector をプログラム的に有効にするには、Amazon Inspector が開発したシェルスクリプトを使用できます。このスクリプトの使用方法の詳細については、inspector2-on を参照してください。enablement-with-cli GitHub

Amazon Inspector の管理者の委任

  1. AWS Organizations管理アカウントにログインします。

  2. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  3. 委任管理者ペインに、組織の Amazon Inspector 委任管理者として指定したい人の 12 桁の ID を入力します。AWS アカウント次に [委任] を選択します。次に、確認ウィンドウで [委任] をもう一度選択します。

    注記

    管理者を委任すると、アカウントの Amazon Inspector が有効になります。

メンバーアカウントを追加する

委任管理者は、Organizations 管理アカウントに関連付けられているすべてのメンバーのスキャンを有効化できます。このワークフローは、すべてのメンバーアカウントのすべてのスキャンタイプを有効にします。ただし、メンバーは自分のアカウントで Amazon Inspector をアクティベートしたり、委任された管理者がサービスのスキャンを選択的にアクティベートしたりすることもできます。詳細については、「複数のアカウントの管理」を参照してください。

  1. 委任された管理者アカウントにログインします。

  2. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  3. ナビゲーションペインで [アカウント管理] を選択します。「アカウント」テーブルには、Organizations 管理アカウントに関連付けられているすべてのメンバーアカウントが表示されます。

  4. アカウント管理ページでは、上部のバナーから [全アカウントのスキャンを有効化] を選択して、組織内のすべてのアカウントの EC2 インスタンス、ECR コンテナイメージ、AWS Lambdaおよび機能スキャンを有効化できます。または、アカウントテーブルでメンバーとして追加するアカウントを選択することもできます。次に、「有効化」メニューから「すべてスキャン」を選択します。

  5. (オプション)「新規メンバーアカウントのInspector を自動的に有効化」機能をオンにし、含めるスキャンの種類を選択して、組織に追加される新しいメンバーアカウントのスキャンを有効にします。

Amazon Inspector では現在、EC2 インスタンス、ECR コンテナイメージ、および関数のスキャンを提供しています。AWS LambdaAmazon Inspector を有効にすると、対象となるすべてのリソースの検出とスキャンが自動的に開始されます。以下のスキャンタイプ情報を確認して、どのリソースがデフォルトで対象となるかを確認してください。

Amazon EC2 スキャン

EC2 インスタンスに CVE 脆弱性データを提供するには、Amazon Inspector AWS はSystems Manager (SSM) エージェントをインストールしてアクティブ化する必要があります。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動で有効化する必要がある場合があります。SSM エージェントのステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークへの露出の問題がないか調べられます。Amazon EC2 のスキャン設定の詳細については、を参照してくださいAmazon インスペクターによる Amazon EC2 インスタンスのスキャン

Amazon ECR スキャン

Amazon ECR スキャンを有効にすると、Amazon Inspector は、Amazon ECR が提供するデフォルトのベーシックスキャン用に設定されているプライベートレジストリ内のすべてのコンテナリポジトリを、連続スキャンによる拡張スキャンに変換します。また、オプションでこの設定をオンプッシュ時のみスキャンしたり、インクルージョンルールを使用して特定のリポジトリをスキャンしたりするように設定することもできます。過去 30 日以内にプッシュされたすべてのイメージは、ライフタイムスキャンが予定されています。この Amazon ECR スキャン設定は、委任された管理者がいつでも変更できます。Amazon ECR のスキャン設定の詳細については、を参照してください。Amazon インスペクターによる Amazon ECR コンテナイメージのスキャン

AWS Lambda関数スキャン

AWS Lambda関数スキャンを有効にすると、Amazon Inspector はアカウント内の Lambda 関数を検出し、すぐに脆弱性のスキャンを開始します。Amazon Inspector は、新しい Lambda 関数とレイヤーをデプロイ時にスキャンし、それらが更新されたとき、または新しい一般的な脆弱性とエクスポージャー (CVE) が公開されたときに再スキャンします。Lambda 関数スキャンの設定の詳細については、を参照してください。Amazon Inspector AWS Lambda によるスキャン機能

ステップ 2: Amazon Inspector の調査結果を表示する

Amazon Inspector コンソールまたは API を使用して、環境に関する結果を確認できます。結果はすべて Amazon EventBridge と AWS Security Hub (有効化されている場合) にもプッシュされます。さらに、コンテナイメージの結果は Amazon ECR にプッシュされます。

Amazon Inspector コンソールには、結果の表示形式がいくつか用意されています。Amazon Inspector ダッシュボードには環境に対するリスクの概要が表示され、Findings テーブルでは特定の結果の詳細を表示できます

このステップでは、Findings テーブルと Findings ダッシュボードを使用して結果の詳細を調べます。Amazon Inspector ダッシュボードの詳細については、を参照してくださいダッシュボードを理解する

Amazon Inspector コンソールでご使用の環境の結果の詳細を表示するには:

  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインから [ダッシュボード] を選択します。ダッシュボード内の任意のリンクを選択して、その項目の詳細が記載された Amazon Inspector コンソールのページに移動できます。

  3. ナビゲーションペインから [結果] を選択します。

  4. デフォルトでは、すべての結果タブが表示され、環境内のすべての EC2 インスタンス、ECR コンテナイメージ、AWS Lambda関数の結果が表示されます。

  5. 結果リストの [タイトル] 列で結果名を選択すると、その結果の詳細ペインが開きます。すべての結果には [結果の詳細] タブがあります。[検索結果の詳細] タブは次の方法で操作できます。

    • 脆弱性の詳細については、「脆弱性の詳細」セクションのリンクをクリックして、この脆弱性に関するドキュメントを開いてください。

    • リソースをさらに調査するには、「影響を受けるリソース」セクションの「リソース ID」リンクをクリックして、影響を受けるリソースのサービスコンソールを開きます。

    Package 脆弱性タイプの結果にはインスペクタースコアと脆弱性インテリジェンスタブもあり、その結果の Amazon Inspector スコアがどのように計算されたかを説明し、その結果に関連する一般的な脆弱性とエクスプロイト(CVE)に関する情報を提供します。タイプの検出の詳細については、を参照してください。Amazon Inspector でタイプを検索する