Amazon Inspector を使用した AWS Lambda 関数のスキャン - Amazon Inspector
Lambda 関数スキャンのスキャン動作サポートされているランタイムと関数

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector を使用した AWS Lambda 関数のスキャン

Amazon Inspector の AWS Lambda 関数とレイヤーのサポートは、継続的な自動化されたセキュリティ脆弱性評価を提供します。Amazon Inspector では、2 種類の Lambda 関数スキャンを提供しています。

Amazon Inspector Lambda 標準スキャン

このスキャンタイプはデフォルトの Lambda スキャンタイプです。Lambda 関数とレイヤーのアプリケーションの依存関係をスキャンして、パッケージの脆弱性を確認します。

Amazon Inspector Lambda コードスキャン

このスキャンタイプは、Lambda 関数とレイヤーのカスタムアプリケーションコードをスキャンして、コードの脆弱性を調べます。Lambda コードスキャンを使用して、Lambda 標準スキャンまたは Lambda 標準スキャンをアクティブ化できます。

Lambda コードスキャンをアクティブ化する場合は、まず Lambda 標準スキャンをアクティブ化する必要があります。詳細については、「スキャンタイプをアクティブ化する」を参照してください。

Lambda 関数スキャンを有効にすると、Amazon Inspector はアカウントにサービスにリンクされたチャネル cloudtrail:CreateServiceLinkedChannelと を作成しますcloudtrail:DeleteServiceLinkedChannel。Amazon Inspector はこれらのチャネルを管理し、それらを使用して CloudTrail イベントのスキャンをモニタリングします。チャネルを使用すると、CloudTrail に証跡があったかのように、アカウントの CloudTrail イベントを表示できます。アカウントのイベントを管理するには、CloudTrail で独自の証跡を作成することをお勧めします。これらのチャネルを表示する方法については、「 AWS CloudTrail ユーザーガイド」の「サービスにリンクされたチャネルの表示」を参照してください。

注記

Amazon Inspector は、カスタマーマネージドキーで暗号化された Lambda 関数のスキャンをサポートしていません。これは、Lambda 標準スキャンと Lambda コードスキャンに適用されます。

Lambda 関数スキャンのスキャン動作

Amazon Inspector はアクティベーション時に、アカウント内で過去 90 日間に呼び出された、または更新されたすべての Lambda 関数をスキャンします。Amazon Inspector は、次のような状況で Lambda 関数の脆弱性スキャンを開始します。

  • Amazon Inspector が既存の Lambda 関数を検出した時。

  • 新しい Lambda 関数が Lambda サービスにデプロイされた場合。

  • 既存の Lambda 関数またはそのレイヤーのアプリケーションコードまたは依存関係に更新がデプロイされた場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE が関数に関連している場合。

Amazon Inspector は、各 Lambda 関数が削除されるかスキャンから除外されるまで、そのライフタイム期間を通じてモニタリングします。

Lambda 関数の脆弱性の最終確認日は、[アカウント管理] ページの [Lambda 関数] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Lambda 関数の [最終スキャン日] フィールドを更新します。

  • Amazon Inspector が Lambda 関数の初回スキャンを完了した時。

  • Lambda 関数の更新時。

  • Amazon Inspector が Lambda 関数を再スキャンしたとき。これは、その関数に影響する新しい CVE 項目が Amazon Inspector データベースに追加されたためです。

サポートされているランタイムと対象となる関数

Amazon Inspector は、Lambda 標準スキャンと Lambda コードスキャンのさまざまなランタイムをサポートしています。各スキャンタイプでサポートされているランタイムのリストについては、「サポートされているランタイム: Amazon Inspector Lambda 標準スキャン」と「サポートされているランタイム: Amazon Inspector Lambda コードスキャン」を参照してください。

Lambda 関数が Amazon Inspector スキャンの対象となるには、ランタイムがサポートされていることに加えて、以下の基準を満たす必要があります。

  • この関数は過去 90 日間に呼び出されたか、または更新されています。

  • この関数は $LATEST にマークされています。

  • この関数はタグによるスキャンから除外されていません。

注記

過去 90 日間に呼び出されたり変更されたりしていない Lambda 関数は、自動的にスキャンから除外されます。Amazon Inspector は、再度呼び出されたり、Lambda 関数コードに変更が加えられたりする場合に、自動的に除外された関数のスキャンを再開します。