脆弱性管理プログラムでの Amazon Inspector の使用

Amazon Inspector は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Container Registry (Amazon ECR) コンテナイメージ、および AWS Lambda 関数を継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークへの露出を検出する脆弱性管理サービスです。Amazon Inspector を使用して、 AWS 環境全体のソフトウェアの脆弱性を可視化し、解決に優先順位を付けることができます。

Amazon Inspector は、リソースのライフサイクルを通じて環境を継続的に評価します。新しい脆弱性を引き起こす可能性のある変更に応じて、リソースを自動的に再スキャンします。例えば、EC2 インスタンスに新しいパッケージをインストールするとき、パッチをインストールするとき、またはリソースに影響を与える新しい共通脆弱性識別子 (CVE) が公開されたときに再スキャンされます。Amazon Inspector が脆弱性またはオープンネットワークパスを特定すると、調査できる検出結果が生成されます。この検出結果は、以下を含む脆弱性に関する包括的な情報を提供します。

• Amazon Inspector リスクスコア

• 共通脆弱性評価システム (CVSS) スコア

• 影響を受けるリソース

• Amazon、、Recorded Futureおよび からの CVE に関する脆弱性インテリジェンスデータ Cybersecurity and Infrastructure Security Agency (CISA)

• 修復の推奨事項

Amazon Inspector の設定手順については、Amazon Inspector の開始方法」を参照してください。このチュートリアルのAmazon Inspector を有効にする」ステップでは、スタンドアロンアカウント環境とマルチアカウント環境の 2 つの設定オプションを提供します。組織のメンバー AWS アカウント である複数の をモニタリングする場合は、マルチアカウント環境オプションを使用することをお勧めします AWS Organizations。

マルチアカウント環境に Amazon Inspector を設定するときは、組織内のアカウントを Amazon Inspector の委任管理者に指定します。委任管理者は、組織メンバーの結果と一部の設定を管理できます。例えば、委任管理者は、すべてのメンバーアカウントの集計結果の詳細を表示したり、メンバーアカウントのスキャンを有効または無効にしたり、スキャンされたリソースを確認したりできます。SRA では、Security Tooling AWS アカウントを作成し、Amazon Inspector の委任された管理者として使用することをお勧めします。 https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html