全般
Q: Amazon Inspector とは何ですか?
Amazon Inspector は、自動化された脆弱性管理サービスであり、Amazon Elastic Compute Cloud (EC2) とコンテナのワークロードを継続的にスキャンして、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーを検出します。
Q: Amazon Inspector の主な利点は何ですか?
Amazon Inspector は、ワンクリックですべてのアカウントに Amazon Inspector をデプロイできるようにすることで、脆弱性管理ソリューションのデプロイと設定に関連する運用上のオーバーヘッドを取り除きます。Amazon Inspector のその他の利点は次のとおりです。
- ほぼリアルタイムの脆弱性の発見を提供する自動検出と継続的なスキャン
- 委任された管理者 (DA) アカウントを設定することによる、すべての組織のアカウントの一元的な管理、設定、および結果の表示
- より正確な対応の優先順位を設定するのに役立つ、各結果の高度にコンテキスト化された意味のある Inspector リスクスコア
- Amazon Inspector によってアクティブにスキャンされているアカウント、EC2 インスタンス、 Amazon Elastic Container Registry (ECR) リポジトリなどの対象メトリクス用の直感的な Amazon Inspector ダッシュボード
- ワークフローとチケットルーティングを自動化するための AWS SecurityHub および Amazon EventBridge との統合
Q: Amazon Inspector は Amazon Inspector Classic とどのように異なりますか?
Amazon Inspector は、新しい脆弱性管理サービスを創出するために再設計および再構築されました。Amazon Inspector Classic で強化された主な点は次のとおりです。
- スケールを考慮した構築: 新しい Amazon Inspector は、スケールと動的なクラウド環境を考慮して構築されています。一度にスキャンできるインスタンスまたはイメージの数に制限はありません。
- コンテナイメージのサポート: 新しい Amazon Inspector は、Amazon ECR にあるコンテナイメージもスキャンして、ソフトウェアの脆弱性を検出します。コンテナ関連の結果も ECR コンソールにプッシュされます。
- マルチアカウント管理のサポート: 新しい Amazon Inspector は AWS Organizations と統合されているため、組織の Amazon Inspector の管理者アカウントに委任できます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。
- AWS Systems Manager Agent: 新しい Amazon Inspector を使用すると、すべての Amazon EC2 インスタンスにスタンドアロンの Amazon Inspector エージェントをインストールして維持する必要がなくなります。新しい Amazon Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用しており、その必要性を排除しています。
- 自動化された継続的なスキャン: 新しい Amazon Inspector は、新しく起動されたすべての Amazon EC2 インスタンスと Amazon ECR にプッシュされた適格なコンテナイメージを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーを即座にスキャンします。 新しい脆弱性をもたらす可能性のあるイベントが発生すると、関連するリソースが自動的に再スキャンされます。リソースの再スキャンを開始するイベントには、EC2 インスタンスへの新しいパッケージのインストール、パッチのインストール、およびリソースに影響を与える新しい一般的な脆弱性と暴露 (CVE) がパブリッシュされた際などがあります。
- Inspector リスクスコア: 新しい Amazon Inspector は、最新の CVE 情報を、ネットワークのアクセス可能性や悪用可能性の情報などの時間的および環境的要因と相関させて、結果の優先順位付けに役立つコンテキストを追加することにより、Inspector のリスクスコアを計算します。
Q: 同じアカウントで Amazon Inspector と Amazon Inspector Classic を同時に使用できますか?
はい、同じアカウントで両方を同時に使用できます。
Q: Amazon Inspector Classic から新しい Amazon Inspector に移行するにはどうすればよいですか?
アカウント内のすべての評価テンプレートを削除するだけで、Amazon Inspector Classic を無効にできます。既存の評価実行の結果にアクセスするには、それらをレポートとしてダウンロードするか、Amazon Inspector API を使用してエクスポートします。AWS マネジメントコンソールで数回クリックするか、新しい Amazon Inspector API を使用して、新しい Amazon Inspector を有効にできます。詳細な移行手順は、Amazon Inspector Classic ユーザーガイドに記載されています。
Q: Amazon ECR 用の Amazon Inspector コンテナイメージスキャンサービスは、Amazon ECR Clair ベースのソリューションとどのように異なりますか?
| Amazon Inspector コンテナイメージのスキャン | Amazon ECR Clair ベースのソリューション | |
|---|---|---|
スキャンエンジン |
Amazon Inspector は、AWS が開発した脆弱性管理サービスであり、Amazon ECR に存在するコンテナイメージのサポートが組み込まれています。 |
Amazon ECR は、基本的なスキャンソリューションとしてマネージドオープンソース Clair プロジェクトを提供しています |
パッケージカバレッジ |
オペレーティングシステム (OS) パッケージとプログラミング言語 (Python、Java、Ruby など) パッケージの両方の脆弱性を特定します |
OS パッケージでのみソフトウェアの脆弱性を特定します |
スキャン頻度 |
継続的なスキャンとオンプッシュスキャンの両方を行えます |
オンプッシュスキャンのみを行います |
検出結果 |
結果は、Amazon Inspector と ECR コンソールの両方、および Amazon Inspector と ECR アプリケーションプログラムインターフェイス (API) とソフトウェア開発キット (SDK) で利用できます |
結果は、ECR コンソールと ECR API および SDK で利用できます |
脆弱性スコアリング |
National Vulnerability Database (NVD) とベンダーの両方から、コンテキストに沿った Inspector スコアと共通脆弱性評価システム (CVSS) v2 および v3 スコアを取得できます |
CVSS v2 スコアのみを取得できます |
AWS サービスの統合 |
AWS Security Hub、AWS Organizations、および AWS EventBridge と統合します |
他の AWS のサービスとの組み込みの統合は利用できません |
Q: Amazon Inspector の料金体系について教えてください。
料金の詳細については、Amazon Inspector の料金ページを参照してください。
Q: Amazon Inspector の無料トライアルはありますか?
Amazon Inspector を初めて使用するすべてのアカウントは、サービスを評価してそのコストを見積もるための 15 日間の無料トライアルの対象となります。 試用期間中、対象となるすべての Amazon EC2 インスタンスと ECR にプッシュされたコンテナイメージは、無料で継続的にスキャンされます。Amazon Inspector コンソールで推定支出を確認することもできます。
Q: Amazon Inspector はどのリージョンで利用できますか?
Amazon Inspector は世界中で利用できます。リージョンごとの具体的な可用性は、こちらにリストされています。
開始方法
Q: 使用を開始する方法を教えてください。
AWS マネジメントコンソールで数回クリックするだけで、組織全体または個々のアカウントに対して Amazon Inspector を有効にできます。有効にすると、Amazon Inspector は実行中の Amazon EC2 インスタンスと Amazon ECR リポジトリを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーに対するワークロードの継続的なスキャンをすぐに開始します。Inspector を初めて使用する場合は、15 日間の無料トライアルもあります。
Q: Amazon Inspector の結果とは何ですか?
Amazon Inspector の結果は、潜在的なセキュリティの脆弱性です。例えば、Amazon Inspector がソフトウェアの脆弱性を検出したり、コンピューティングリソースへのネットワークパスを開いたりすると、セキュリティの結果が作成されます。
Q: AWS Organizations を使用して Amazon Inspector を管理できますか?
はい。Amazon Inspector は AWS Organizations と統合されています。Amazon Inspector に DA アカウントを割り当てることができます。これは、Amazon Inspector のプライマリ管理者アカウントとして機能し、Amazon Inspector を一元的に管理および設定できます。DA アカウントは、AWS Organizations の一部であるすべてのアカウントの結果を一元的に表示および管理できます。
Q: Amazon Inspector サービスの管理者を委任する方法を教えてください。
AWS Organizations 管理アカウントでは、Amazon Inspector コンソールでまたは Amazon Inspector API を使用して、Amazon Inspector に DA アカウントを割り当てることができます。
Q: 特定のスキャンタイプ (つまり、Amazon EC2 スキャンまたは Amazon ECR コンテナイメージスキャン) を有効にする必要がありますか?
EC2 インスタンスと ECR イメージスキャンの両方がデフォルトで有効になっています。ただし、アカウントで Amazon EC2 インスタンススキャン、Amazon ECR イメージスキャン、またはその両方を無効にすることができます。
Q: Amazon Inspector を使用するためにエージェントが必要ですか?
スキャンしているリソースによって異なります。Amazon EC2 インスタンスの脆弱性スキャンには、AWS Systems Manager Agent (SSM Agent) が必要です。Amazon EC2 インスタンスのネットワーク到達可能性とコンテナイメージの脆弱性スキャンにエージェントは必要ありません。
Q: Amazon Systems Manager Agent をインストールして設定するにはどうすればよいですか?
Amazon EC2 インスタンスのソフトウェアの脆弱性を正常にスキャンするには、Amazon Inspector では、これらのインスタンスが AWS Systems Manager (SSM) と SSM Agent によって管理されている必要があります。AWS Systems Manager を有効にして設定する手順については、AWS Systems Manager ユーザーガイドの SystemsManager の前提条件を参照してください。マネージドインスタンスについては、 AWS Systems Manager ユーザーガイドの「マネージドインスタンス」セクションを参照してください。
Q: 一部の Amazon EC2 インスタンスをスキャンから除外できますか?
いいえ。Amazon Inspector で Amazon EC2 スキャンを有効にすると、アカウントに Amazon SSM Agent がインストールおよび設定されているすべての EC2 インスタンスが継続的にスキャンされます。
Q: どの Amazon ECR リポジトリがスキャンするように設定されているかを知るにはどうすればよいですか? また、スキャンをするように設定する必要があるリポジトリを管理するにはどうすればよいですか?
Amazon Inspector は、スキャンする Amazon ECR リポジトリを選択するために包含ルールの設定をサポートしています。包含ルールは、ECR コンソール内のレジストリ設定ページで、または ECR API を使用して作成および管理できます。包含ルールに一致する ECR リポジトリは、スキャンするように設定されます。リポジトリの詳細なスキャンステータスは、ECR コンソールと Amazon Inspector コンソールの両方で利用できます。
Amazon Inspector での作業
Q: リソースがアクティブにスキャンされているかどうかを確認するにはどうすればよいですか?
Amazon Inspector ダッシュボードの Environmental Coverage パネルには、Amazon Inspector によってアクティブにスキャンされているアカウントのメトリクス、Amazon EC2 インスタンス、および Amazon ECR リポジトリが表示されます。各インスタンスとイメージのスキャンステータスは、[Scanning] または [Not Scanning] です。[Scanning] とは、リソースがほぼリアルタイムで継続的にスキャンされていることを意味します。[Not Scanning] のステータスは、最初のスキャンがまだ実行されていないか、OS がサポートされていないか、または他の何かがスキャンを妨げていることを意味する可能性があります。
Q: 自動再スキャンはどのくらいの頻度で実行されますか?
すべてのスキャンは、イベントに基づいて自動的に実行されます。すべてのワークロードは、最初に検出時にスキャンされ、その後再スキャンされます。
- Amazon EC2 インスタンスの場合: 再スキャンは、インスタンスに新しいソフトウェアパッケージがインストールまたはアンインストールされたとき、新しい CVE がパブリッシュされたとき、および脆弱なパッケージが更新された後に開始されます (追加の脆弱性がないことを確認するため)。
- ECR コンテナイメージの場合: イメージに影響を与える新しい CVE がパブリッシュされると、自動再スキャンが開始され、コンテナイメージが適格であることを確認します。コンテナイメージの自動再スキャンは、イメージがプッシュされてから最初の 30 日間です。
Q: コンテナイメージはどのくらいの期間、Amazon Inspector で継続的に再スキャンされるのですか?
継続的にスキャンするように設定された Amazon ECR リポジトリにあるコンテナイメージは、リポジトリにプッシュされてから 30 日間スキャンされます。
Q: リソースをスキャンから除外できますか?
- Amazon EC2 インスタンスの場合: いいえ。Amazon Inspector は、アカウント内のすべての EC2 インスタンスを自動的に検出し、Amazon SSM Agent が設定されているすべてのインスタンスを継続的にスキャンします。
- Amazon ECR にあるコンテナイメージの場合: はい。スキャン用に設定する ECR リポジトリを選択できますが、リポジトリ内のすべてのイメージがスキャンされます。包含ルールを作成して、スキャンするリポジトリを選択できます。
Q: SSM インベントリ収集頻度をデフォルトの 30 分から 12 時間に変更すると、Amazon Inspector による継続的なスキャンにどのような影響がありますか?
デフォルトの SSM インベントリ収集頻度を変更すると、スキャンの継続的な性質に影響を与える可能性があります。Amazon Inspector は、SSM Agent を利用してアプリケーションインベントリを収集し、結果を生成します。アプリケーションインベントリの期間がデフォルトの 30 分から増加すると、アプリケーションインベントリへの変更の検出が遅れ、新しい検出が遅れる可能性があります。
Q: Inspector リスクスコアとは何ですか?
Inspector リスクスコアは、一般的な脆弱性とエクスポージャー (CVE) 情報をネットワーク到達可能性の結果、悪用可能性データ、およびソーシャルメディアの傾向と相関させることにより、各結果に対して生成される高度にコンテキスト化されたスコアです。これにより、結果に優先順位を付け、最も重要な結果と脆弱なリソースに集中することが容易になります。Inspector のリスクスコアがどのように計算され、どの要因がスコアに影響を与えたかは、[Findings Details] サイドパネルの [Inspector Score] タブで確認できます。
例えば、Amazon EC2 インスタンスで識別された新しい CVE があり、これはリモートでのみ悪用できるとします。Amazon Inspector の継続的なネットワーク到達可能性スキャンでも、インスタンスがインターネットから到達可能ではないことが検出された場合、脆弱性が悪用される可能性が低いことがわかります。したがって、Amazon Inspector はスキャン結果を CVE と相関させて、リスクスコアを下方修正し、その特定のインスタンスに対する CVE の影響をより正確に反映します。
Q: 検出の重要度はどのように決定されますか?
| Inspector スコア | 重要度 |
|---|---|
| 0 | 情報 |
| 0.2~3.9 | 低 |
| 4.0~6.9 | 中 |
| 7.0~8.9 | 高 |
| 9.0~10.0 | クリティカル |
Q: 抑制ルールはどのように機能しますか?
Amazon Inspector では、定義したカスタマイズされた基準に基づいて結果を抑制することができます。組織で受け入れ可能と見なされる結果の抑制ルールを作成できます。
Q: 結果をエクスポートするにはどうすればよいですか? また、何が含まれていますか?
Amazon Inspector コンソールまたは Amazon Inspector API を使用して数回クリックするだけで、複数の形式 (CSV または JSON) でレポートを生成できます。すべての結果を含む完全なレポートをダウンロードするか、コンソールで設定したビューフィルターに基づいてカスタマイズされたレポートを生成してダウンロードできます。
Q: Amazon Inspector を VPC エンドポイントとしてセットアップして、プライベート Amazon EC2 インスタンスをスキャンできますか?
はい。Amazon Inspector は、Amazon SSM Agent を使用してアプリケーションインベントリを収集します。これは、インターネットを介した情報の送信を回避するために、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントとして設定できます。
Q: Amazon Inspector はどのオペレーティングシステムをサポートしていますか?
サポートされているオペレーティングシステム (OS) のリストはこちらにあります。
Q: Amazon Inspector がコンテナイメージスキャン用にサポートしているプログラミング言語パッケージはどれですか?
サポートされているプログラミング言語パッケージのリストは、こちらにあります。
Q: Amazon Inspector は、ネットワークアドレス変換 (NAT) を使用するインスタンスで動作しますか?
はい。NAT を使用するインスタンスは、Amazon Inspector によって自動的にサポートされます。
Q: インスタンスにプロキシを使用しています。そのインスタンスで Amazon Inspector は機能しますか?
はい。詳細については、プロキシを使用するように SSM Agent を設定するを参照してください。
Q: ログ記録と通知のために Amazon Inspector に他の AWS のサービスを統合できますか?
Amazon Inspector は Amazon EventBridge と統合して、新しい結果、結果の状態の変更、抑制ルールの作成などのイベントの通知を送信します。Amazon Inspector は、呼び出しログ記録のために AWS CloudTrail とも統合されています。
Q: Amazon Inspector は「CIS オペレーティングシステムのセキュリティ設定ベンチマーク」スキャンを提供していますか?
いいえ。Amazon Inspector は現在 CIS スキャンをサポートしていませんが、この機能は将来追加される予定です。ただし、Amazon Inspector Classic で提供されている CIS スキャンルールパッケージを引き続き利用できます。
Q: Amazon Inspector は、AWS パートナーソリューションと連携していますか?
はい。詳細については、Amazon Inspector パートナーを参照してください。
Q: Amazon Inspector を無効にできますか?
はい。Amazon Inspector サービスを無効にすることで、すべてのスキャンタイプ (EC2 スキャンと ECR コンテナイメージスキャン) を無効できます。また、アカウントの各スキャンタイプを個別に無効にすることができます。
Q: Amazon Inspector を一時停止できますか?
いいえ。Amazon Inspector は一時停止状態をサポートしていません。
Amazon Inspector カスタマーの詳細