[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります [Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります [Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります [Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

Amazon Inspector の Security Hub コントロール

これら AWS Security Hub コントロールは、Amazon Inspector サービスとリソースを評価します。

これらのコントロールは、すべてので利用できるとは限りません。 AWS リージョン。詳細については、「」を参照してくださいリージョン別のコントロールの可用性。

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール： inspector-ec2-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector EC2スキャンが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで Amazon Inspector EC2スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任された Amazon Inspector 管理者アカウントとすべてのメンバーアカウントでEC2スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任された Amazon Inspector 管理者アカウントでのみ結果を生成します。組織内のメンバーアカウントのEC2スキャン機能を有効または無効にできるのは、委任された管理者だけです。Amazon Inspector メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された管理者に Amazon Inspector EC2スキャンが有効になっていない停止されたメンバーアカウントがある場合、FAILED結果を生成します。PASSED 結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector EC2スキャンは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからメタデータを抽出し、このメタデータをセキュリティアドバイザリから収集されたルールと比較して検出結果を生成します。Amazon Inspector は、パッケージの脆弱性とネットワーク到達可能性の問題についてインスタンスをスキャンします。SSM エージェントなしでスキャンできるオペレーティングシステムなど、サポートされているオペレーティングシステムの詳細については、「サポートされているオペレーティングシステム: Amazon EC2スキャン」を参照してください。

修正

Amazon Inspector EC2スキャンを有効にするには、Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール： inspector-ecr-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector ECRスキャンが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで Amazon Inspector ECRスキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任された Amazon Inspector 管理者アカウントとすべてのメンバーアカウントでECRスキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任された Amazon Inspector 管理者アカウントでのみ結果を生成します。組織内のメンバーアカウントのECRスキャン機能を有効または無効にできるのは、委任された管理者のみです。Amazon Inspector メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された管理者に Amazon Inspector ECRスキャンが有効になっていない停止されたメンバーアカウントがある場合、FAILED結果を生成します。PASSED 結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector は、Amazon Elastic Container Registry (Amazon ECR) に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性を検出し、パッケージの脆弱性に関する検出結果を生成します。Amazon の Amazon Inspector スキャンを有効にするとECR、プライベートレジストリの優先スキャンサービスとして Amazon Inspector が設定されます。これにより、Amazon によって無料で提供される基本的なスキャンがECR、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換えられます。拡張スキャンは、オペレーティングシステムとプログラミング言語パッケージの両方をレジストリレベルで脆弱性スキャンする利点を提供します。拡張スキャンを使用して検出された検出結果は、Amazon ECRコンソールでイメージのレイヤーごとにイメージレベルで確認できます。さらに、を含む基本的なスキャンの検出結果では利用できない他ののサービスで、これらの検出結果を確認して操作できます。 AWS Security Hub および Amazon EventBridge。

修正

Amazon Inspector ECRスキャンを有効にするには、Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール： inspector-lambda-code-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector Lambda コードスキャンが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda コードスキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任された Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda コードスキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任された Amazon Inspector 管理者アカウントでのみ結果を生成します。組織内のメンバーアカウントの Lambda コードスキャン機能を有効または無効にできるのは、委任された管理者のみです。Amazon Inspector メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された管理者に Amazon Inspector Lambda コードスキャンが有効になっていない停止されたメンバーアカウントがある場合、FAILED結果を生成します。PASSED 結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda コードスキャンは、内のカスタムアプリケーションコードをスキャンします。 AWS Lambda に基づくコード脆弱性の関数 AWS セキュリティのベストプラクティス。Lambda コードスキャンでは、コード内のインジェクションの欠陥、データ漏洩、脆弱な暗号化、または暗号化の欠落を検出できます。この機能は、特定ので使用できます。 AWS リージョンのみ。Lambda 標準スキャンと一緒に Lambda コードスキャンをアクティブ化できます (「」を参照[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります）。

修正

Amazon Inspector Lambda コードスキャンを有効にするには、Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール： inspector-lambda-standard-scan-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Inspector Lambda 標準スキャンが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで Amazon Inspector Lambda 標準スキャンが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任された Amazon Inspector 管理者アカウントとすべてのメンバーアカウントで Lambda 標準スキャンが有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任された Amazon Inspector 管理者アカウントでのみ結果を生成します。委任された管理者のみが、組織内のメンバーアカウントの Lambda 標準スキャン機能を有効または無効にできます。Amazon Inspector メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された管理者に Amazon Inspector Lambda 標準スキャンが有効になっていない停止されたメンバーアカウントがある場合、FAILED結果を生成します。PASSED 結果を受け取るには、委任管理者は Amazon Inspector でこれらの停止されたアカウントの関連付けを解除する必要があります。

Amazon Inspector Lambda 標準スキャンは、に追加するアプリケーションパッケージの依存関係のソフトウェアの脆弱性を特定します。 AWS Lambda 関数コードとレイヤー。Amazon Inspector が Lambda 関数アプリケーションパッケージの依存関係の脆弱性を検出すると、Amazon Inspector は詳細なPackage Vulnerabilityタイプ検出結果を生成します。Lambda 標準スキャンと一緒に Lambda コードスキャンをアクティブ化できます (「」を参照[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります）。

修正

Amazon Inspector Lambda 標準スキャンを有効にするには、Amazon Inspector ユーザーガイド」の「スキャンのアクティブ化」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Identity and Access Management （IAM) コントロール

AWS IoT コントロール