Amazon Inspector
ユーザーガイド (Version Latest)

実行時の動作の分析

ランタイム動作分析ルールパッケージのルールは、評価実行中のインスタンスの動作を分析します。また、EC2 instances をより安全にする方法についてのガイダンスも提供します。

詳細については、「サポートされているオペレーティングシステムに関して、Amazon Inspector ルールパッケージ」を参照してください。

安全でないクライアントプロトコル (ログイン)

このルールでは、リモートマシンにログインするためのクライアントによる安全でないプロトコルの使用を検出します。

重要

現時点では、Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances を評価ターゲットに含めることができます。

このルールは Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances の結果を生成します。

重大度: [Medium]

結果

評価ターゲットの EC2 instance は、安全でないプロトコルを使用してログインのためにリモートホストに接続しています。これらのプロトコルは認証情報を保護せずプレーンテキストで渡すため、証明書の盗難リスクが高まります。

解決方法

これらの安全でないプロトコルを、SSH などの安全なプロトコルと置き換えることをお勧めします。

安全でないクライアントプロトコル (一般)

このルールは、クライアントによる安全でないプロトコルの使用を検出します。

重要

現時点では、Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances を評価ターゲットに含めることができます。

このルールは Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances の結果を生成します。

重大度: [Low]

結果

評価ターゲットの EC2 instance は、安全でないプロトコルを使用してリモートホストに接続しています。これらのプロトコルはトラフィックを保護しないため、トラフィック傍受攻撃が成功するリスクが高まります。

解決方法

これらの安全でないプロトコルは、暗号化されたバージョンと置き換えることをお勧めします。

未使用のリッスンする TCP ポート

このルールは、評価ターゲットで必要ではない可能性のある、リッスンする TCP ポートを検出します。

重要

現時点では、Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances を評価ターゲットに含めることができます。

このルールは Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances の結果を生成します。

重大度: [Informational]

結果

評価ターゲットの EC2 instance は TCP ポートでリッスンしていますが、Amazon Inspector は、評価の実行中にこれらのポートへのトラフィックを発見しませんでした。

解決方法

デプロイの攻撃対象領域を減らすため、使用していないネットワークサービスは無効にすることをお勧めします。ネットワークサービスが必要な場合、VPC ACL、EC2 セキュリティグループ、ファイアウォールなどのネットワークコントロールメカニズムを採用して、そのサービスの公開を制限することをお勧めします。

安全でないサーバープロトコル

このルールは、EC2 instances が FTP、Telnet、HTTP、IMAP、POP バージョン 3、SMTP、SNMP バージョン 1 および 2、RSH、rlogin などの安全でないおよび暗号化されていないポート/サービスのサポートを許可しているかどうかを判断するのに役立ちます。

重要

現時点では、Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances を評価ターゲットに含めることができます。

このルールは Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances の結果を生成します。

重大度: [Informational]

結果

評価ターゲットの EC2 instance は、安全でないプロトコルをサポートするように設定されています。

解決方法

評価ターゲットの EC2 instance でサポートされている安全でないプロトコルを無効化し、以下に示す安全な代替プロトコルと置き換えることをお勧めします。

  • Telnet、RSH、rlogin を無効にして SSH に置き換えます。これが不可能な場合、安全でないサービスが VPC ネットワーク ACL や EC2 セキュリティグループなどの適切なネットワーク アクセス コントロールで保護されていることを確認する必要があります。

  • 可能な場合は FTP を SCP または SFTP と置き換えます。これが不可能な場合、FTP サーバーが VPC network ACL や EC2 セキュリティ グループなどの適切なネットワーク アクセス コントロールで保護されていることを確認する必要があります。

  • 可能な場合は HTTP を HTTPS と置き換えます。問題のウェブサーバーに固有の詳細については、「http://nginx.org/en/docs/http/configuring_https_servers.html」および「http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html」を参照してください。

  • IMAP、POP3、SMTP の各サービスが必要ない場合はこれらを無効にします。必要な場合は、これらの E メール プロトコルを TLS などの暗号化プロトコルとともに使用することをお勧めします。

  • SNMP サービスが必要ない場合はこれを無効にします。必要な場合は、SNMP v1 および v2 を、暗号化通信を使用するより安全な SNMP v3 と置き換えます。

データ実行防止機能を持たないソフトウェア (DEP)

このルールでは、データ実行防止 (DEP) のサポートなしでコンパイルされたサードパーティー製ソフトウェアの存在を検出します。DEP は、スタックベースのバッファオーバーフローやその他のメモリ破損攻撃を防御して、システムセキュリティを向上させます。

重要

現時点では、Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances を評価ターゲットに含めることができます。

評価の実行中に、このルールは Linux ベースのオペレーティングシステムを実行している EC2 instances の結果のみを生成します。このルールでは、Windows ベースのオペレーティングシステムを実行している EC2 instances の結果は生成されません。

重大度: [Medium]

結果

評価ターゲットの EC2 instance に、DEP をサポートしていない実行ファイルがあります。

解決方法

このソフトウェアを使用していない場合は、評価ターゲットからアンインストールします。または、DEP が有効な更新バージョンについてベンダーに問い合わせます。

安全でないアクセス権限を持つ Root プロセス

このルールは、不正ユーザーによる変更が可能なモジュールをロードする root プロセスを検出します。

重要

現時点では、Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 instances を評価ターゲットに含めることができます。

評価の実行中に、このルールは Linux ベースのオペレーティングシステムを実行している EC2 instances の結果のみを生成します。このルールでは、Windows ベースのオペレーティングシステムを実行している EC2 instances の結果は生成されません。

重大度: [High]

結果

評価ターゲットに、許可されていない変更が行われる危険がある共有オブジェクトを使用する、1 つ以上の root 所有プロセスを持つインスタンスがあります。これらの共有オブジェクトには不適切なアクセス権限/所有権があるため、改ざんの危険があります。

解決方法

評価ターゲットのセキュリティを向上させるため、関連モジュールの権限を修正して root ユーザー以外が書き込みできないようにすることをお勧めします。