Amazon Inspector

Q: Amazon Inspector サービスの構成要素とは何ですか?
Amazon Inspector はお使いの Amazon EC2 インスタンスのオペレーティングシステムにインストールされたアマゾンの開発したエージェントと、このエージェントからのテレメトリーを用いるセキュリティー評価サービスと、インスタンスをセキュリティーに関する暴露と脆弱性について評価する AWS 設定で構成されています。

Q: 評価テンプレートとは何ですか?
評価テンプレートは、評価の実行を定義するために Amazon Inspector でお客様が作成する構成です。この評価テンプレートには、Amazon Inspector が評価ターゲットを評価するためのルールパッケージ、評価実行期間、Amazon Inspector による評価の実行状態と結果に関する通知の送信先である Amazon Simple Notification Service (SNS) トピック、評価の実行によって生成された結果を割り当てることができる Amazon Inspector 固有の属性 (キー/値のペア) が含まれています。

Q: 評価の実行とは何ですか?
評価の実行は、指定されたルールパッケージに対する評価ターゲットの構成と動作分析を通じて、セキュリティ上の問題を発見するプロセスです。評価の実行中、エージェントにより、安全なチャネルの使用、実行中のプロセス間のネットワークトラフィック、および AWS のサービスとの通信の詳細など、指定されたターゲット内の動作データ (テレメトリ) が監視、収集、分析されます。次に、エージェントによりデータが分析され、評価の実行中に使用された評価テンプレートで指定されているセキュリティルールパッケージのセットと比較されます。評価の実行が完了すると、結果 (さまざまな重大度の潜在的なセキュリティ上の問題) のリストが生成されます。

Q: Amazon Inspector 評価実行中にパフォーマンスへの影響はありますか?
Amazon Inspector と Amazon Inspector エージェントは、評価実行プロセス中のパフォーマンスへの影響を最小限に抑えるように設計されています。

Q: 評価ターゲットとは何ですか?
評価ターゲットは、お客様のビジネス目標の達成をサポートするために連携する AWS リソースのコレクションを表します。Amazon Inspector では、評価ターゲットを構成するリソースのセキュリティ状態が評価されます。お客様が Amazon EC2 タグを使用して評価ターゲットを作成し、評価テンプレートで定義された評価の実行の評価ターゲットとしてタグ付けされたリソースを定義することができます。

Q: 所見とは何ですか?
所見とは、指定されたターゲットの Amazon Inspector による評価の実行中に検出された潜在的なセキュリティ上の問題です。所見は、Amazon Inspector コンソールに表示されるか、API を介して検索、およびセキュリティの問題の詳細な説明およびそれを修正する方法についての推奨事項の両方を含んでいます。

Q: ルールパッケージとは何ですか?
ルールパッケージは、評価テンプレートと評価の実行の一部として構成できるセキュリティテストの集合です。Amazon Inspector には、一般的な脆弱性やリスク (CVE)、インターネットセキュリティーセンター (CIS) オペレーティングシステム構成のベンチマーク、およびセキュリティのベストプラクティスを含む多くのルールパッケージがあります。利用可能なルールパッケージの完全なリストについては、Amazon Inspector のドキュメントページをご覧ください。

Q: 評価テンプレートで独自のルールを定義することはできますか?
いいえ。当面は、評価の実行に使用できるのは事前に定義されたルールのみです。ただし、AWS では今後 AWS Marketplace のベンダーと自社開発のカスタムルールの両方のプレミアムルールセットを含めることを検討しています。

Q: Inspector は、どのアプリケーションの脆弱性を分析できますか?
Amazon Inspector は、エージェントがインストールされたオペレーティングシステムで、パッケージマネージャーやソフトウェアのインストールシステムをクエリして、アプリケーションを検索します。つまり、パッケージマネージャーを使ってインストールされたソフトウェアは脆弱性を評価されます。このような方法でインストールされていないソフトウェアのバージョンやパッチレベルは、Inspector で認識されません。例えば、apt、yum、Microsoft Installer 経由でインストールされたソフトウェアは、Inspector で評価されます。make config や make install、Puppet や Ansible といったオートメーションソフトウェアを使用してシステムに直接コピーされたバイナリファイルを使ってインストールされたソフトウェアは、Inspector で評価されません。

Q: 評価レポートとは何ですか? どのような内容が含まれていますか?
Amazon Inspector による評価レポートは、評価が実行され、正常に完了した場合に生成されます。評価レポートは、評価の実行においてテストされた内容やその評価の結果に関する詳細を示したドキュメントです。評価の結果は標準レポート形式で生成されるため、チーム内で結果を共有して改善アクションを取ることができます。これにより、監査データのコンプライアンスを向上させ、今後のリファレンスとして保存しておくことができます。

所見レポートまたは詳細レポートの、2 つの評価レポートタイプを選択できます。所見レポートには、評価全体の要約、対象のインスタンス、テストされたルールパッケージ、所見が生成されたルール、各ルールの詳細情報やチェックで不合格になったインスタンスのリストが含まれます。詳細レポートには、所見レポートの全情報が含まれます。さらに、評価対象のすべてのインスタンスでチェックされ、合格したルールのリストも含まれます。

Q: 評価の実行時にターゲットの一部が利用不能である場合、どうなりますか?
Amazon Inspector は、評価テンプレートに対して設定された利用可能なターゲットすべてを対象として脆弱性データを収集し、利用可能なターゲットについて該当するセキュリティの結果があればそれを返します。実行を開始した時点で評価テンプレートについて利用可能なターゲットがない場合、評価を実行できなかったことがシステムによって報告され、次の通知が返されます。「The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template.」

Q: ターゲットが利用不能になるのはどのようなときですか?
評価のターゲットが利用不能になる理由は数多くありますが、たとえば、EC2 インスタンスが停止しているか応答しない、タグ付けされた (ターゲットに指定された) インスタンスに Amazon Inspector エージェントがインストールされていない、インストールされている AWS エージェントが利用不能であるか脆弱性データを返せない、などがあります。

Q: Amazon Inspector の料金体系について教えてください。
Inspector の料金体系は、評価の実行の回数とそれらの実行時に評価されたエージェントまたはシステムの数に基づいています。AWS ではこれを “エージェント評価” と呼んでいます。オンデマンドの請求期間は、すべての AWS のサービスと同様に 1 暦月です。以下に例を示します。

     1 個のエージェントに対して実行された 1 回の評価 = 1 回のエージェント評価
     10 個のエージェントに対して実行された 1 回の評価 = 10 回のエージェント評価
     2 個のエージェントに対して実行された 10 回の評価 = 20 回のエージェント評価
     10 個のエージェントに対して実行された 30 回の評価 = 300 回のエージェント評価

これが特定の請求期間中のお客様のアカウントでの Amazon Inspector の評価の実行アクティビティを示しているとすると、合計 331 回のエージェント評価分が課金されます。

各エージェント評価の価格は、階層化された料金モデルに基づいています。特定の請求期間におけるエージェント評価数が増えると、エージェント評価あたりの料金が低下します。例えば、最初の 2 つの階層のエージェント評価料金は次のとおりです。

     最初の 250 回のエージェント評価 = 1 エージェント評価あたり 0.30 USD
     次の 750 回のエージェント評価 = 1 エージェント評価あたり 0.25 USD

そのため、上記の例の特定の請求期間で合計 331 回のエージェント評価では、この請求期間で最初の 250 回は 0.30 USD、次の 81 回は 0.25 USD、つまり、合計 95.25 USD が請求されます。完全な料金表については、Amazon Inspector の料金ページをご覧ください。

Q: Amazon Inspector の無料トライアルはありますか?
はい。Amazon Inspector には、最初の 250 回のエージェント評価が無料になる、90 日間の無料トライアル期間が用意されています。Amazon Inspector サービスを初めてご利用になるすべての AWS アカウントが対象となります。

Q: Amazon Inspector はどのオペレーティングシステムをサポートしますか？
サポートされているオペレーティングシステムの現在のリストについては、Amazon Inspector のドキュメントページをご覧ください。

Q: Amazon Inspector はどのリージョンで利用できますか?
サポートされているリージョンの現在のリストについては、Amazon Inspector のドキュメントページをご覧ください。

Q: Amazon Inspector 評価では、Linux カーネルのどのバージョンがサポートされていますか?
カーネルのバージョンにかかわらず、Linux ベースの OS を搭載した EC2 インスタンスでは、「共通脆弱性識別子 (CVE)」「Center for Internet Security (CIS) ベンチマーク」「セキュリティのベストプラクティス」といったルールパッケージを使用して正常に評価を実行できます。ただし、「実行時の動作の分析」ルールパッケージで評価を実行するには、Linux インスタンスのカーネルバージョンが Amazon Inspector でサポートされているものである必要があります。Amazon Inspector でサポートされている最新の Linux カーネルのバージョンの一覧は、こちらでご確認いただけます。

Q: Amazon Inspector を使用してみたいのですが、使用を開始するにはどうすればよいですか?
AWS マネジメントコンソールから、Amazon Inspector にサインアップするのみです。サインアップしたら、Amazon EC2 インスタンスに適切な Amazon Inspector エージェントをインストールし、新しい評価テンプレートを作成して、使用するルールパッケージを選択し、評価の実行をスケジュールします。これらの手順が完了したら、ご使用の環境で識別された問題に関する結果レポートが生成されます。

Q: Amazon Inspector Agent は、評価したい EC2 インスタンスのすべてにインストールする必要がありますか?
はい。評価の実行中、Amazon Inspector Agent はオペレーティングシステムの動作と、EC2 インスタンスにインストールされているアプリケーションの動作をモニタリングし、設定と動作データを収集し、このデータを Amazon Inspector サービスに転送します。

Q: Amazon Inspector Agent はどのようにインストールするのですか?
エージェントのインストールにはいくつかの方法があります。シンプルなインストール方法としては、各インスタンスにマニュアルでインストールするか、AWS Systems Manager Run Command ドキュメント (AmazonInspector-ManageAWSAgent) を用いて一回きりのロードを行えます。大規模なデプロイでは、インスタンス設定時に EC2 User Data Function を用いて自動エージェントインストールを行うか、AWS Lambda を用いてエージェントの自動インストールを生成できます。また EC2 コンソールまたは AWS Marketplace から予めインストールされた Amazon Inspector Agent と共にAmazon Linux AMI を用いて EC2 インスタンスを起動できます。

Q: Amazon Inspector Agent がインストールされているかどうか、また EC2 インスタンスの健全性はどのようにすれば確認できますか?
評価ターゲット中に全 EC2 インスタンスに対する Amazon Inspector Agent のステータスは、Inspector コンソールにある Preview Targets 機能を、PreviewAgents API クエリを通して確認できます。エージェントのステータスにはエージェントが EC2 インスタンスにインストールされているかどうかと、どのエージェントの健全性があります。ターゲットとする EC2 インスタンス上の Inspector Agent のステータスと共に、インスタンス ID、パブリックホスト名、パブリック IP アドレス (定義されている場合) が、各インスタンスに対する EC2 コンソールへのリンクと共に表示されます。

Q: Amazon Inspector はリソースをタグ付けすることなく実行できますか?
いいえ。Amazon Inspector では、評価を実行するために、Amazon EC2 インスタンスタグを使用する必要があります。

Q: Amazon Inspector は私のアカウントにある他の AWS サービスにアクセスしますか?
Amazon Inspector はお使いの EC2 インスタンスを列挙、タグ付けして、評価ターゲット中のインスタンスを特定する必要があります。Amazon Inspector は、ユーザーが Inspector を新規顧客として、あるいは新規リージョンで使用開始したときにユーザーに代わって生成した、サービスにリンクされたロールを通してこれらにアクセスします。Inspector のサービスにリンクされたロールは AWS Inspector によって管理されるため、Amazon Inspector に必要なアクセス権限を誤って取り消す心配はありません。既存の顧客の中には、Inspector のサービスにリンクされたロールが生成されるまでは、Inspector 使用開始中に登録した IAM ロールを使って他の AWS サービスにアクセスできる場合もあります。Inspector のサービスにリンクされたロールは、Inspector コンソールのダッシュボードのページから生成できます。

Q: インスタンスでネットワークアドレス変換 (NAT) を使用します。そのインスタンスで Amazon Inspector は機能しますか?
はい。Amazon Inspector では、NAT を使用しているインスタンスがサポートされています。ユーザーの設定は必要ありません。

Q: インスタンスでプロキシを使用します。そのインスタンスで Amazon Inspector は機能しますか?
はい。Amazon Inspector エージェントでは、プロキシ環境がサポートされています。Linux インスタンスでは HTTPS プロキシがサポートされ、Windows インスタンスでは WinHTTP プロキシがサポートされています。AWS エージェントのプロキシサポートを設定する手順については、Amazon Inspector ユーザーガイドを参照してください。

Q: 自分のインフラストラクチャの定期的な評価を自動化したいと思います。評価を自動的に実行できる方法は利用できますか?
はい。Amazon Inspector では、アプリケーション環境の自動作成、評価の作成、ポリシーの評価、ポリシー例外の作成、フィルタリング、および結果の取得を行うことができる完全な API をご利用いただけます。

Q: 特定の日時に実行されるようにセキュリティ評価のスケジュールを設定できますか?
はい。Amazon Inspector の評価は任意の Amazon CloudWatch Event でトリガーできます。反復性の Schedule イベントは、シンプルな固定反復レートで、またはさらに詳細な Cron 式で設定できます。

Q: セキュリティー評価はイベントに基づいて実行がトリガーされるようにできますか?
はい。Amazon CloudWatch Event を用いてイベントパターンの生成ができ、これが他の AWS サービスをモニターして評価をトリガーするようなアクションがあるかどうかを判定します。例えば、AWS Auto Scaling をモニターして新規 Amazon EC2 Instance の起動を確認するイベントを生成する、または AWS CodeDeploy 通知をモニターしてコードデプロイがいつ正常に完了したかを確認するイベントを生成できます。CloudWatch Event が Amazon Inspector テンプレートに対して設定されると、これらの評価イベントは評価テンプレートの一部として Inspector コンソールに表示されて、その評価に対するすべての自動トリガーを見ることができます。

Q: Amazon Inspector 評価は、AWS CloudFormation を通して設定できますか?
はい、Amazon Inspector リソースグループ、評価ターゲット、評価テンプレートを AWS CloudFormation テンプレートを用いて生成できます。これにより、EC2 インスタンスのデプロイ時にセキュリティ評価が自動的に設定されるようになります。CloudFormation テンプレートでは、AWS::CloudFormation::Init または EC2 ユーザーデータでエージェントインストールコマンドを使用して、EC2 インスタンスへの Inspector Agent のインストールをブートストラップすることもできます。あるいは、Inspector Agent が事前インストールされた AMI を使用して、CloudFormation テンプレートで EC2 インスタンスを作成することもできます。

Q: Amazon Inspector の評価に関するメトリクス情報はどこで確認できますか?
Amazon Inspector では、評価に関するメトリクスデータが自動的に Amazon CloudWatch に発行されます。CloudWatch を使用している場合、Inspector の評価の統計は自動的に CloudWatch に入力されます。現在、利用できる Inspector のメトリクスは、評価の実行回数、対象のエージェント、生成された結果です。詳細については、CloudWatch に発行される評価メトリクスの詳細に関する Amazon Inspector のドキュメントを参照してください。

Q: ログ記録と通知のために Amazon Inspector に他の AWS のサービスを統合できますか?
Amazon Inspector では Amazon SNS を統合し、マイルストーンの監視、障害、または例外の期限切れなどのさまざまなイベントの通知を行い、AWS CloudTrail を組み込み Amazon Inspector への呼び出しをログ記録しています。

Q: 「CIS オペレーティングシステムセキュリティ設定ベンチマーク」ルールパッケージはどのようなものですか?
CIS セキュリティベンチマークは Center for Internet Security によって提供されたもので、政府、企業、業界、および学界によって開発および承認された、ただ一つのコンセンサスベースのベストプラクティスとしてのセキュリティ設定ガイドです。アマゾン ウェブ サービスは CIS セキュリティベンチマークメンバー企業であり、Amazon Inspector の認定のリストはここから表示できます。CIS ベンチマークルールは合格/不合格のセキュリティチェックになるように設計されています。不合格となったすべての CIS チェックについて、Inspector は緊急度「高」で所見を生成します。また、チェックされたすべての CIS ルールおよび各ルールの合格/不合格の結果をリストする情報の所見が、各インスタンスについて生成されます。

Q: 「一般的な脆弱性やリスク」ルールパッケージとはどのようなものですか?
一般的な脆弱性やリスク (CVE) ルールは、公に知られている情報セキュリティの脆弱性およびリスクにさらされていないかどうかをチェックします。CVE ルールについては、National Vulnerability Database (NVD) から一般向け情報が入手できます。NVD の Common Vulnerability Scoring System (CVSS) が、緊急度情報の優先ソースとして使用されます。ある CVE のスコアが NVD によって設定されていないが、Amazon Linux AMI Security Advisory (ALAS) 内に CVE が存在する場合、Amazon Linux アドバイザリからの緊急度が使用されます。ある CVE について両方からスコアを入手できない場合、その CVE は所見として報告されません。NVD および ALAS からの最新情報が日次でチェックされ、情報に応じてルールパッケージが更新されます。

Q: 所見の緊急度とはどのようなものですか?
Amazon Inspector の各ルールには、Amazon によって高 (High)、中 (Medium)、低 (Low)、または情報 (Informational) に分類された緊急度が割り当てられます。緊急度は、所見に対する応答の優先順位付けに役立てるためのものです。

Q: 緊急度はどのように決定されますか?
ルールの緊急度は、検出されたセキュリティ上の問題の潜在的な影響に基づきます。一部のルールパッケージには、パッケージに提供されたルールの一部として緊急度が設定されますが、緊急度は多くの場合、設定されるルールごとに異なります。Amazon Inspector は、個々の緊急度を高、中、低、および情報という共通の分類にマッピングすることによって、使用可能なすべてのルールパッケージにわたって知見の緊急度を標準化します。緊急度が "高"、"中"、"低" の知見の場合、知見の緊急度が高いほど、根底にある問題が持つセキュリティ上の影響も大きくなります。"情報" として分類される知見では、緊急なセキュリティへの影響がないセキュリティ上の問題が通知されます。

• AWS でサポートされるルールパッケージの場合、緊急度は AWS セキュリティチームが決定します。
  
• CIS ベンチマークのルールパッケージの知見については、緊急度が常に「高」に設定されます。
• 一般的な脆弱性およびリスク (CVE) ルールパッケージの場合、Amazon Inspector は、提供された CVSS ベーススコアと ALAS の緊急度を次のようにマッピングします。
          Amazon Inspector の緊急度        CVSS ベーススコア           ALAS の緊急度 (CVSS スコアがない場合)
          高 (High)                                           >= 5                                  クリティカルまたは重要
          中 (Medium)                                     < 5 および >= 2.1                   中
          低 (Low)                                           < 2.1 および >= 0.8                低
          情報 (Informational)                             < 0.8                                  該当なし

Q: API (DescribeFindings) 経由で知見を記述すると、各知見に "numericSeverity" 属性が含まれます。この属性は何を示していますか?
"numericSeverity" 属性は、知見の緊急度の数値表示です。緊急度を表す数値では、緊急度を次のようにマッピングします。
            情報 = 0.0
            低 = 3.0
            中 = 6.0
            高 = 9.0

Q: Amazon Inspector は、AWS パートナーソリューションと連携していますか?
はい。Amazon Inspector には、お客様や AWS パートナーが利用できる公開の API があります。複数のパートナーが Amazon Inspector を統合して、メール、チケット発行システム、ポケットベルプラットフォーム、またはより幅広いセキュリティダッシュボードに結果を組み込んでいます。AWS のサポートパートナーの詳細については、Amazon Inspector パートナーページをご覧ください。

Q: Amazon Inspector は、HIPAA 対応サービスですか?
はい。Amazon Inspector は HIPAA 対応サービスであり、AWS 事業提携契約 (BAA) の対象になっています。AWS と BAA を締結している場合は、保護された医療情報 (PHI) が保管されている EC2 で Inspector を実行できます。

Q: Amazon Inspector では、どのようなコンプライアンスと保証プログラムがサポートされていますか?
Inspector では、SOC 1、SOC 2、SOC 3、ISO 9001、ISO 27001、ISO 27017、ISO 27018、HIPAA がサポートされています。Inspector は FedRAMP の統制に準拠しています。また現在、監査レポートが作成されています。コンプライアンスプログラムによる AWS 対象範囲内のサービスに関する詳細は、AWS 対象範囲内のサービスに関するページをご覧ください。