Amazon Inspector による自動リソーススキャン

Amazon Inspector は、ソフトウェア脆弱性や意図しないネットワークへの露出について リソースをモニタリングする専用のスキャンエンジンを使用します。Amazon Inspector は、ソフトウェアの脆弱性または意図しないネットワークの露出を検出すると、検出結果 を作成します。Amazon Inspector を初めてアクティブ化すると、アカウントは Amazon スキャン、Amazon スキャン、Lambda 標準スキャンを含むすべてのスキャンタイプに自動的に登録されます。 EC2 ECR

注記

Lambda コードスキャンは Lambda 関数スキャンのオプションレイヤーで、いつでもアクティブ化できます。

Amazon Inspector のスキャンタイプの概要

Amazon Inspector には、 AWS 環境内の特定のリソースタイプに焦点を当てたさまざまなスキャンタイプが用意されています。

Amazon EC2 スキャン

Amazon EC2スキャンをアクティブ化すると、Amazon Inspector はEC2インスタンスをスキャンして以下を確認します。

• 共通脆弱性識別子

• オペレーティングシステムとプログラミング言語パッケージの脆弱性

• ネットワーク到達可能性

• ネットワーク露出の問題

Amazon Inspector は、インスタンスにインストールされたSSMエージェントを使用するか、インスタンスの Amazon EBSスナップショットを使用してスキャンを実行します。Amazon のスキャンの詳細については、EC2「」を参照してくださいAmazon Inspector を使用した Amazon EC2インスタンスのスキャン。

注記

デフォルトでは、Amazon EC2スキャンを有効にすると、ハイブリッドスキャンモードが自動的に有効になります。詳細については、「エージェントレススキャン」を参照してください。

Amazon ECR スキャン

Amazon ECRスキャンを有効にすると、Amazon Inspector はプライベートレジストリ内のすべてのベーシックスキャンコンテナリポジトリを継続的スキャンによる拡張スキャンに変換します。また、オプションでこの設定をオンプッシュ時のみスキャンしたり、包含ルールを使用して特定のリポジトリをスキャンしたりするように設定することもできます。過去 30 日以内にプッシュされたイメージ、または過去 90 日以内にプルされたイメージはすべて、最初にスキャンされます。Amazon Inspector はデフォルトで 90 日間イメージをモニタリングし続けます。この設定はいつでも変更できます。Amazon のスキャンの詳細についてはECR、「」を参照してくださいAmazon Inspector を使用した Amazon Elastic Container Registry コンテナイメージのスキャン。

Lambda 標準スキャン

Lambda 標準スキャンをアクティブ化すると、Amazon Inspector はアカウント内の Lambda 関数を検出し、すぐに脆弱性のスキャンを開始します。Amazon Inspector は、デプロイ時に新しい Lambda 関数とレイヤーをスキャンし、更新時または新しい共通脆弱性識別子 (CVEs) が公開されたときに再スキャンします。Lambda 関数のスキャンの詳細については、「Amazon Inspector による AWS Lambda 関数のスキャン」を参照してください。

Lambda 標準スキャン + Lambda コードスキャン

このオプションは、Lambda 標準スキャンと Lambda コードスキャンを組み合わせます。Lambda コードスキャンをアクティブ化すると、Amazon Inspector はアカウント内の Lambda 関数とレイヤーを検出し、アプリケーションパッケージの依存関係にあるコードの脆弱性をスキャンします。Lambda コードスキャンは、Lambda 関数内のカスタムアプリケーションコードをスキャンして、コードの脆弱性がないか調べます。これら 2 つのスキャンタイプは同時にアクティブ化する必要があります。詳細については、「Amazon Inspector Lambda コードスキャン」を参照してください。