「 Amazon Inspector のよくある質問」

Amazon Inspector とは何ですか?

Amazon Inspector は自動化されたセキュリティ評価サービスで、Amazon EC2 インスタンスのネットワークアクセスと、そのインスタンスで実行しているアプリケーションのセキュリティ状態をテストできます。

Amazon Inspector を使用すると、どのようなことができるのですか?

Amazon Inspector を使用すると、開発およびデプロイパイプライン全体で、または静的な本番システムに対してセキュリティ上の脆弱性の評価を自動化することができます。こうした機能により、開発や IT 運用の一環として、セキュリティテストをより定期的に実行できるようになります。Amazon Inspector は API 主導のサービスで、オプションのエージェントによってデプロイ、管理、自動化を簡単に行うことができます。Amazon Inspector の評価では、事前に定義されたルールパッケージを使用でき、こうしたルールパッケージは一般的なセキュリティのベストプラクティスと脆弱性の定義にマッピングされています。

Amazon Inspector サービスの構成要素とは何ですか?

Amazon Inspector は、AWS のネットワーク構成の到達可能性について分析するテクノロジー、Amazon EC2 インスタンスのオペレーティングシステムにインストールして使用するアマゾンの開発したエージェント、このエージェントからのテレメトリーと AWS の構成を用いてインスタンスのセキュリティについて露出と脆弱性を評価するセキュリティ評価サービスで構成されています。

評価テンプレートとは何ですか?

評価テンプレートは、評価の実行を定義するために Amazon Inspector でお客様が作成する構成です。この評価テンプレートには、Amazon Inspector が評価ターゲットを評価するためのルールパッケージ、評価実行期間、Amazon Inspector による評価の実行状態と結果に関する通知の送信先である Amazon Simple Notification Service (SNS) トピック、評価の実行によって生成された結果を割り当てることができる Amazon Inspector 固有の属性 (キー/値のペア) が含まれています。

評価の実行とは何ですか?

評価の実行は、指定したルールパッケージを使用して評価ターゲットの構成、インストールされたソフトウェア、動作を分析し、潜在的なセキュリティ上の問題を発見するプロセスです。ネットワークの到達可能性のルールパッケージを使用すると、Inspector で AWS のネットワーク構成が分析され、ネットワークを経由した EC2 インスタンスへのアクセス可能性が検査されます。インスタンスに Inspector エージェントをインストールしている場合、エージェントによってホスト上のソフトウェアデータと設定データが収集および送信されます。次に、こうしたデータは Inspector サービスによって分析され、指定したルールパッケージと比較されます。評価の実行が完了すると、潜在的なセキュリティ上の問題がリストアップされます。

Amazon Inspector の評価実行中にパフォーマンスへの影響はありますか?

ネットワークの到達可能性のルールパッケージを使用してエージェントレス型の評価を実行する場合、アプリケーションのパフォーマンスに対する影響はありません。Amazon Inspector エージェントを使用すると、評価実行時のデータ収集フェーズにおけるパフォーマンスへの影響を最小限に抑えることができます。

評価ターゲットとは何ですか?

評価ターゲットは、評価対象となる Amazon EC2 インスタンスの集合です。通常は、ビジネス目標を達成するために連携させて使用しているインスタンスのセットを評価します。Amazon Inspector では、こうした EC2 インスタンスのセキュリティ状態が評価されます。すべてのインスタンスを評価ターゲットに含めることも、Amazon EC2 タグを使用して一部のインスタンスを指定することもできます。

所見とは何ですか?

所見とは、指定されたターゲットの Amazon Inspector による評価の実行中に検出された潜在的なセキュリティ上の問題です。所見は、Amazon Inspector コンソールに表示されるか、API を介して検索、およびセキュリティの問題の詳細な説明およびそれを修正する方法についての推奨事項の両方を含んでいます。

ルールパッケージとは何ですか?

ルールパッケージは、評価テンプレートと評価の実行の一部として構成されるセキュリティチェックのコレクションです。Amazon Inspector のルールパッケージには、Amazon EC2 インスタンスについてネットワークのアクセス可能性をチェックするネットワークの到達可能性ルールパッケージと、Amazon EC2 インスタンスの脆弱性と問題のある設定をチェックするホスト評価のルールパッケージの 2 種類があります。ホスト評価のルールパッケージには、共通脆弱性識別子 (CVE)、Center for Internet Security (CIS) オペレーティングシステム構成のベンチマーク、セキュリティのベストプラクティスがあります。利用可能なルールパッケージの一覧については、Amazon Inspector のドキュメントページを参照してください。

評価テンプレートで独自のルールを定義することはできますか?

いいえ。現在、評価の実行に使用できるのは事前に定義されたルールのみです。

Inspector で脆弱性を分析できるのは、ホスト上のどのようなソフトウェアパッケージですか?

Amazon Inspector は、エージェントがインストールされたオペレーティングシステムで、パッケージマネージャーやソフトウェアのインストールシステムに対してクエリを実行して、アプリケーションを検索します。つまり、パッケージマネージャーを使ってインストールされたソフトウェアは脆弱性を評価されます。このような方法でインストールされていないソフトウェアのバージョンやパッチレベルは、Inspector で認識されません。例えば、apt、yum、Microsoft Installer 経由でインストールされたソフトウェアは、Inspector で評価されます。make config や make install を使ってインストールされたソフトウェア、あるいは Puppet や Ansible といったオートメーションソフトウェアを使用してシステムに直接コピーされたバイナリファイルは、Inspector で評価されません。

評価レポートとは何ですか? どのような内容が含まれていますか?

Amazon Inspector による評価レポートは、評価が実行され、正常に完了した場合に生成されます。評価レポートは、評価の実行においてテストされた内容やその評価の結果に関する詳細を示したドキュメントです。評価の結果は標準レポート形式で生成されるため、チーム内で結果を共有して改善アクションを取ることができます。これにより、監査データのコンプライアンスを向上させ、今後のリファレンスとして保存しておくことができます。

所見レポートまたは詳細レポートの、2 つの評価レポートタイプを選択できます。所見レポートには、評価全体の要約、対象のインスタンス、テストされたルールパッケージ、所見が生成されたルール、各ルールの詳細情報やチェックで不合格になったインスタンスのリストが含まれます。詳細レポートには、所見レポートの全情報が含まれます。さらに、評価対象のすべてのインスタンスでチェックされ、合格したルールのリストも含まれます。

評価の実行時にエージェントの一部が利用不能である場合、どうなりますか?

ネットワークの到達可能性ルールパッケージを使用した Amazon Inspector の評価は、Amazon EC2 インスタンスのエージェントなしで実行できます。エージェントは、ホスト評価のルールパッケージに必要です。Amazon Inspector では、正常に動作しているすべてのエージェントから脆弱性データが収集され、各エージェントに該当するセキュリティの検出結果が返されます。Inspector では、除外が生成され、エージェントがインストールされていない EC2 インスタンスやエージェントに異常が発生している EC2 インスタンスについてユーザーに通知が送信されます。

エージェントが利用不能になるのはどのような場合ですか?

Amazon Inspector エージェントが利用不能になる理由は数多くありますが、例えば、EC2 インスタンスが停止しているか応答しない、ターゲットに指定されたインスタンスにエージェントがインストールされていない、インストールされているエージェントが利用不能であるか脆弱性データを返せない、といったものがあります。

Amazon Inspector の料金について教えてください。

Amazon Inspector の料金は、各評価に含まれる Amazon EC2 インスタンスの数と、評価に使用するルールパッケージによって決まります。Inspector による評価では、ホスト評価のルールパッケージとネットワーク到達可能性のルールパッケージを自由に組み合わせて使用できます。ホスト評価のルールパッケージには、共通脆弱性識別子 (CVE)、Center for Internet Security (CIS) のベンチマーク、セキュリティのベストプラクティス、実行時の動作の分析といったものがあります。実行する評価で、ホスト評価のルールパッケージとネットワークの到達可能性のルールパッケージを使用する場合、両方に対して個別に料金が発生します。オンデマンドの請求期間は 1 か月です。料金の詳細については、Amazon Inspector の料金ページを参照してください。

料金の例:

1 か月に以下の評価の実行を行うシナリオについて考えてみましょう。この例では、すべての評価の実行で、ホスト評価のルールパッケージとネットワークの到達可能性のルールパッケージの両方を使用します。すべての EC2 インスタンスに Inspector エージェントがインストールされています。

1 つのインスタンスに対する 1 回の評価の実行
10 個のインスタンスに対する 1 回の評価の実行
2 つのインスタンスそれぞれに対する 10 回の評価の実行
10 個のインスタンスそれぞれに対する 30 回の評価の実行

特定の請求期間中にお客様のアカウントで、上記のように Amazon Inspector による評価の実行が行われた場合、ホストに関する 331 回のエージェント評価分とネットワークの到達可能性に関する 331 回のインスタンス評価分が課金されます。

ホストに関するエージェント評価と、ネットワークの到達可能性に関するインスタンス評価それぞれの料金は、段階的価格モデルに基づいて決まります。例えば、特定の請求期間におけるエージェント評価数が増えると、1 回のエージェント評価あたりの料金が下がります。

この請求期間中 Amazon Inspector によって発生する料金は以下のとおりです。

ホスト評価のルールパッケージを使用した場合
最初の 250 回のエージェント評価: 1 回のエージェント評価あたり 0.30 USD
次の 81 回のエージェント評価: 1 回のエージェント評価あたり 0.25 USD

ネットワークの到達可能性のルールパッケージを使用した場合
最初の 250 回のインスタンス評価: 1 回のインスタンス評価あたり 0.15 USD
次の 81 回のインスタンス評価: 1 回のインスタンス評価あたり 0.13 USD

以上の内容を計算すると、Amazon Inspector による課金額は、ホストについてのエージェント評価に対して 95.25 USD、ネットワークの到達可能性についてのインスタンス評価に対して 48.03 USD となり、合計 143.28 USD です。

Amazon Inspector の無料トライアルはありますか?

はい。これまでにアカウントで Amazon Inspector の評価を実行したことがない場合、最初の 90 日間、ホスト評価のルールパッケージを使用した 250 回のエージェント評価と、ネットワークの到達可能性のルールパッケージを使用した 250 回のインスタンス評価を無料でご利用いただけます。

Amazon Inspector ではどのオペレーティングシステムがサポートされていますか?

Inspector エージェントでサポートされているオペレーティングシステムの最新リストについては、Amazon Inspector のドキュメントページを参照してください。ネットワークの到達可能性のルールパッケージは、オペレーティングシステムに関係なく Amazon EC2 インスタンスのエージェントなしで実行できます。Inspector エージェントがインストールされている場合、ネットワークの到達可能性のルールパッケージによって、より詳しい検出結果と、EC2 インスタンスで到達可能なソフトウェアプロセスに関する識別情報が生成されます。

Amazon Inspector はどのリージョンで利用できますか?

サポートされているリージョンの現在のリストについては、Amazon Inspector のドキュメントページをご覧ください。

Amazon Inspector 評価では、Linux カーネルのどのバージョンがサポートされていますか?

カーネルのバージョンにかかわらず、Linux ベースの OS を搭載した EC2 インスタンスでは、ネットワークの到達可能性、共通脆弱性識別子 (CVE)、Center for Internet Security (CIS) ベンチマーク、セキュリティのベストプラクティスといったルールパッケージを使用して正常に評価を実行できます。ただし、実行時の動作の分析ルールパッケージで評価を実行するには、Linux インスタンスのカーネルバージョンが Amazon Inspector でサポートされているものである必要があります。Amazon Inspector でサポートされている最新の Linux カーネルのバージョンの一覧は、こちらでご確認いただけます。

Amazon Inspector を使用してみたいのですが、使用を開始するにはどうすればよいですか?

AWS マネジメントコンソールから、Amazon Inspector にサインアップします。[Welcome] ページで 1 回クリックするだけで、お使いのアカウント全体でネットワークの到達可能性の評価をスケジュールできます。EC2 インスタンスにオプションの Inspector エージェントをインストールして、ホスト評価のルールパッケージを使用できます。また、高度な設定オプションを使用し、評価対象の EC2 インスタンス、ルールパッケージの選択、検出結果の通知をカスタマイズすることもできます。評価の実行が完了すると、Inspector によってお使いの環境で特定されたセキュリティの問題に関する検出結果が生成されます。

Amazon Inspector エージェントは、評価する EC2 インスタンスすべてにインストールする必要がありますか?

いいえ。ネットワークの到達可能性のルールパッケージを使用した Amazon Inspector の評価は、Amazon EC2 インスタンスのエージェントなしで実行できます。エージェントは、ホスト評価のルールパッケージに必要です。

Amazon Inspector エージェントはどのようにインストールするのですか?

エージェントのインストールにはいくつかの方法があります。シンプルなインストール方法としては、各インスタンスにマニュアルでインストールするか、AWS Systems Manager Run Command ドキュメント (AmazonInspector-ManageAWSAgent) を用いて一回きりのロードを行えます。大規模なデプロイでは、インスタンス設定時に EC2 User Data Function を用いて自動エージェントインストールを行うか、AWS Lambda を用いてエージェントの自動インストールを生成できます。また EC2 コンソールまたは AWS Marketplace からあらかじめインストールされた Amazon Inspector エージェントと共に Amazon Linux AMI を用いて EC2 インスタンスを作成できます。

Amazon Inspector エージェントがインストールされているかどうか、また EC2 インスタンスの健全性はどのようにすれば確認できますか?

評価ターゲット中に全 EC2 インスタンスに対する Amazon Inspector エージェントのステータスは、Inspector コンソールにある Preview Targets 機能を、PreviewAgents API クエリを通して確認できます。エージェントのステータスにはエージェントが EC2 インスタンスにインストールされているかどうかと、どのエージェントの健全性があります。ターゲットとする EC2 インスタンス上の Inspector エージェントのステータスと共に、インスタンス ID、パブリックホスト名、パブリック IP アドレス (定義されている場合) が、各インスタンスに対する EC2 コンソールへのリンクと共に表示されます。

Amazon Inspector によって、私のアカウントで使用している AWS の他のサービスにアクセスされることはありますか?

Amazon Inspector では、EC2 インスタンスとタグを列挙し、評価ターゲットとして指定されたインスタンスを特定し、AWS のネットワーク構成を読み込む必要があります。これらに Amazon Inspector では、サービスにリンクしたロールを使用してアクセスします。ロールは、ユーザーが Inspector を初めて使用する場合や、新規リージョンで使用開始する場合に自動で生成されます。Inspector のサービスにリンクされたロールは Amazon Inspector によって管理されるため、Amazon Inspector に必要なアクセス権限を誤って取り消す心配はありません。既存の顧客の中には、Inspector のサービスにリンクされたロールが生成されるまでは、Inspector 使用開始中に登録した IAM ロールを使って他の AWS サービスにアクセスできる場合もあります。Inspector のサービスにリンクされたロールは、Inspector コンソールのダッシュボードのページから生成できます。

インスタンスでネットワークアドレス変換 (NAT) を使用します。そのインスタンスで Amazon Inspector は機能しますか?

はい。Amazon Inspector では、NAT を使用しているインスタンスがサポートされています。ユーザーの設定は必要ありません。

インスタンスでプロキシを使用します。そのインスタンスで Amazon Inspector は機能しますか?

はい。Amazon Inspector エージェントでは、プロキシ環境がサポートされています。Linux インスタンスでは HTTPS プロキシがサポートされ、Windows インスタンスでは WinHTTP プロキシがサポートされています。Amazon Inspector エージェントのプロキシサポートを設定する手順については、Amazon Inspector ユーザーガイドを参照してください。

自分のインフラストラクチャの定期的な評価を自動化したいと思います。評価を自動的に設定する方法は利用できますか?

はい。Amazon Inspector では、アプリケーション環境の自動作成、評価の作成、ポリシーの評価、ポリシー例外の作成、フィルタリング、および結果の取得を行うことができる完全な API をご利用いただけます。Amazon Inspector の評価は、AWS CloudFormation テンプレートから設定およびトリガーすることもできます。

特定の日時に実行されるようにセキュリティ評価のスケジュールを設定できますか?

はい。評価が繰り返し実施されるよう評価テンプレートでスケジュールを簡単に設定できます。また、Inspector の評価は任意の Amazon CloudWatch イベントでトリガーすることもできます。カスタムスケジュールは CloudWatch Events を使用して、固定した rate 式で、またはより詳細な Cron 式で設定できます。

セキュリティ評価はイベントに基づいて実行がトリガーされるようにできますか?

はい。Amazon CloudWatch Event を用いてイベントパターンの生成ができ、これが他の AWS サービスをモニターして評価をトリガーするようなアクションがあるかどうかを判定します。例えば、AWS Auto Scaling をモニターして新規 Amazon EC2 Instance の起動を確認するイベントを生成する、または AWS CodeDeploy 通知をモニターしてコードデプロイがいつ正常に完了したかを確認するイベントを生成できます。CloudWatch Event が Amazon Inspector テンプレートに対して設定されると、これらの評価イベントは評価テンプレートの一部として Inspector コンソールに表示されて、その評価に対するすべての自動トリガーを見ることができます。

Amazon Inspector 評価は、AWS CloudFormation を通して設定できますか?

はい、Amazon Inspector リソースグループ、評価ターゲット、評価テンプレートを AWS CloudFormation テンプレートを用いて生成できます。これにより、EC2 インスタンスのデプロイ時にセキュリティ評価が自動的に設定されるようになります。CloudFormation テンプレートでは、エージェントインストールコマンドを使用して、EC2 インスタンスへの Inspector Agent のインストールをブートストラップすることもできます。エージェントインストールコマンドは、AWS::CloudFormation::Init または EC2 user data にあります。あるいは、Inspector Agent が事前インストールされた AMI を使用して、CloudFormation テンプレートで EC2 インスタンスを作成することもできます。

Amazon Inspector の評価に関するメトリクス情報はどこで確認できますか?

Amazon Inspector では、評価に関するメトリクスデータが自動的に Amazon CloudWatch に発行されます。CloudWatch を使用している場合、Inspector の評価の統計は自動的に CloudWatch に入力されます。現在、利用できる Inspector のメトリクスは、評価の実行回数、対象のエージェント、生成された結果です。詳細については、CloudWatch に発行される評価メトリクスの詳細に関する Amazon Inspector のドキュメントを参照してください。

ログ記録と通知のために Amazon Inspector に他の AWS のサービスを統合できますか?

Amazon Inspector では Amazon SNS を統合し、マイルストーンの監視、障害、または例外の期限切れなどのさまざまなイベントの通知を行い、AWS CloudTrail を組み込み Amazon Inspector への呼び出しをログ記録しています。

ネットワークの到達可能性のルールパッケージとは何ですか?

ネットワークの到達可能性のルールパッケージでは、VPC 外からアクセス可能な Amazon EC2 インスタンス上のポートとサービスを識別できます。このルールパッケージを使用して評価を実行すると、Inspector では、AWS API にクエリが実行され、Amazon Virtual Private Cloud (VPC)、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、ルートテーブルなどの、アカウント内のネットワーク構成が読み込まれ、これらのネットワーク構成を分析してポートのアクセス可能性が検証されます。検出結果には、到達可能なポートへのアクセスを許可するネットワーク構成が示され、必要に応じてアクセスを簡単に制限できます。Amazon Inspector エージェントは、ネットワークの到達可能性ルールパッケージを使用した評価では必要ありませんが、Inspector エージェントがインストールされているインスタンスでは、ネットワークの到達可能性の検出結果がより詳しく生成され、アクセス可能なポートをリッスンしているプロセスを特定する情報が追加されます。

ネットワークの到達可能性のルールパッケージで Inspector エージェントを使用するメリットは何ですか?

Amazon Inspector エージェントは、ネットワークの到達可能性ルールパッケージを使用した評価では必要ありませんが、Inspector エージェントがインストールされているインスタンスでは、ネットワークの到達可能性の検出結果がより詳しく生成され、アクセス可能なポートをリッスンしているプロセスを特定する情報が追加されます。

「CIS オペレーティングシステムセキュリティ設定ベンチマーク」ルールパッケージはどのようなものですか?

CIS セキュリティベンチマークは Center for Internet Security によって提供されたもので、政府、企業、業界、および学界によって開発および承認された、ただ一つのコンセンサスベースのベストプラクティスとしてのセキュリティ設定ガイドです。アマゾン ウェブ サービスは CIS セキュリティベンチマークメンバー企業であり、Amazon Inspector の認定のリストはここから表示できます。CIS ベンチマークルールは合格/不合格のセキュリティチェックになるように設計されています。不合格となったすべての CIS チェックについて、Inspector は緊急度「高」で所見を生成します。また、チェックされたすべての CIS ルールおよび各ルールの合格/不合格の結果をリストする情報の所見が、各インスタンスについて生成されます。

「一般的な脆弱性や暴露」ルールパッケージとはどのようなものですか?

一般的な脆弱性や暴露 (CVE) ルールは、公に知られている情報セキュリティの脆弱性およびリスクにさらされていないかどうかをチェックします。CVE ルールについては、National Vulnerability Database (NVD) から一般向け情報が入手できます。NVD の Common Vulnerability Scoring System (CVSS) が、緊急度情報の優先ソースとして使用されます。ある CVE のスコアが NVD によって設定されていないが、Amazon Linux AMI Security Advisory (ALAS) 内に CVE が存在する場合、Amazon Linux アドバイザリからの緊急度が使用されます。ある CVE について両方からスコアを入手できない場合、その CVE は所見として報告されません。NVD および ALAS からの最新情報が日次でチェックされ、情報に応じてルールパッケージが更新されます。

所見の緊急度とはどのようなものですか?

Amazon Inspector の各ルールには、Amazon によって高 (High)、中 (Medium)、低 (Low)、または情報 (Informational) に分類された緊急度が割り当てられます。緊急度は、所見に対する応答の優先順位付けに役立てるためのものです。

緊急度はどのように決定されますか?

ルールの緊急度は、検出されたセキュリティ上の問題の潜在的な影響に基づきます。一部のルールパッケージには、パッケージに提供されたルールの一部として緊急度が設定されますが、緊急度は多くの場合、設定されるルールごとに異なります。Amazon Inspector は、個々の緊急度を高、中、低、および情報という共通の分類にマッピングすることによって、使用可能なすべてのルールパッケージにわたって所見の緊急度を標準化します。緊急度が "高"、"中"、"低" の所見の場合、所見の緊急度が高いほど、根底にある問題が持つセキュリティ上の影響も大きくなります。"情報" として分類される所見では、緊急なセキュリティへの影響がないセキュリティ上の問題が通知されます。

AWS でサポートされるルールパッケージの場合、緊急度は AWS セキュリティチームが決定します。

CIS ベンチマークのルールパッケージの所見については、緊急度が常に「高」に設定されます。

一般的な脆弱性およびリスク (CVE) ルールパッケージの場合、Amazon Inspector は、提供された CVSS ベーススコアと ALAS の緊急度を次のようにマッピングします。

API (DescribeFindings) 経由で所見を記述すると、各所見に "numericSeverity" 属性が含まれます。この属性は何を示していますか?

"numericSeverity" 属性は、所見の緊急度の数値表示です。緊急度を表す数値では、緊急度を次のようにマッピングします。

 情報 = 0.0
 低 = 3.0
 中 = 6.0
 高 = 9.0

Amazon Inspector は、AWS パートナーソリューションと連携していますか?

はい。Amazon Inspector には、お客様や AWS パートナーが利用できる公開の API があります。複数のパートナーが Amazon Inspector を統合して、メール、チケット発行システム、ポケットベルプラットフォーム、またはより幅広いセキュリティダッシュボードに結果を組み込んでいます。AWS のサポートパートナーの詳細については、Amazon Inspector パートナーページをご覧ください。

Amazon Inspector は、HIPAA 対応サービスですか?

はい。Amazon Inspector は HIPAA 対応サービスであり、AWS 事業提携契約 (BAA) の対象になっています。AWS と BAA を締結している場合は、保護された医療情報 (PHI) が保管されている EC2 で Inspector を実行できます。

Amazon Inspector では、どのようなコンプライアンスと保証プログラムがサポートされていますか?

Inspector では、SOC 1、SOC 2、SOC 3、ISO 9001、ISO 27001、ISO 27017、ISO 27018、HIPAA がサポートされています。Inspector は FedRAMP の統制に準拠しています。また現在、監査レポートが作成されています。コンプライアンスプログラムによる AWS 対象範囲内のサービスに関する詳細は、AWS 対象範囲内のサービスに関するページをご覧ください。