- セキュリティ、アイデンティティ、コンプライアンス›
- Amazon Inspector›
- Amazon Inspector のよくある質問
Amazon Inspector のよくある質問
ページトピック
全般
すべて開くAmazon Inspector は、Amazon ECR や継続的インテグレーション/継続的デリバリー (CI/CD) ツール内の Amazon Elastic Compute Cloud (EC2)、AWS Lambda 関数、コンテナイメージをほぼリアルタイムで継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかを調べる自動脆弱性管理サービスです。
アカウント内のすべての評価テンプレートを削除するだけで、Amazon Inspector Classic を無効にできます。既存の評価の検出結果にアクセスするには、それらをレポートとしてダウンロードするか、Amazon Inspector API を使用してエクスポートします。AWS マネジメントコンソールでの数回のステップ、または新しい Amazon Inspector API を使用して、新しい Amazon Inspector を有効にできます。詳細な移行手順は、 Amazon Inspector クラシックユーザーガイドに記載されています。
はい、同じアカウントで両方を同時に使用できます。
Amazon Inspector は世界中で利用できます。地域別の具体的な提供状況については、こちらをご覧ください。
開始方法
すべて開くAmazon Inspector の結果は、潜在的なセキュリティの脆弱性です。たとえば、Amazon Inspector がソフトウェアの脆弱性を検出したり、コンピューティングリソースやコードへのオープンネットワークパスを検出したりすると、セキュリティ結果が作成されます。
AWS Organizations 管理アカウントでは、Amazon Inspector コンソールでまたは Amazon Inspector API を使用して、Amazon Inspector に DA アカウントを割り当てることができます。
いいえ、スキャンにエージェントは必要ありません。Amazon EC2 インスタンスの脆弱性スキャンでは、エージェントベースのソリューションとして AWS Systems Manager Agent (SSM Agent) を使用できます。Amazon Inspector では、SSM エージェントをデプロイまたは設定していない場合、エージェントレススキャンも利用できます。Amazon EC2 インスタンスのネットワーク到達性の評価、コンテナイメージの脆弱性スキャン、Lambda 関数の脆弱性スキャンについては、エージェントは必要ありません。
Amazon EC2 インスタンスのソフトウェア脆弱性を正常にスキャンするために、Amazon Inspector はこれらのインスタンスを AWS Systems Manager と SSM エージェントによって管理することを推奨しています。Systems Manager をアクティベートして設定する手順については、『AWS Systems Manager ユーザーガイド』の「システムマネージャーの前提条件」を参照してください。マネージドインスタンスについては、AWS Systems Manager ユーザーガイドの「マネージドインスタンス」セクションを参照してください。SSM エージェントがインストールされていないインスタンスの場合は、ハイブリッドモードをサポートするエージェントレススキャンでスキャンできます。
Amazon Inspector は、スキャンする ECR リポジトリを選択するために包含ルールの設定をサポートしています。包含ルールは、ECR コンソール内のレジストリ設定ページで、または ECR API を使用して作成および管理できます。包含ルールに一致する ECR リポジトリは、スキャンするように設定されます。リポジトリの詳細なスキャンステータスは、ECR コンソールと Amazon Inspector コンソールの両方で利用できます。
Amazon Inspector での作業
すべて開くデフォルトの SSM インベントリ収集頻度を変更すると、スキャンの継続的な性質に影響を与える可能性があります。Amazon Inspector は、SSM Agent を利用してアプリケーションインベントリを収集し、結果を生成します。アプリケーションインベントリの期間がデフォルトの 30 分から増加すると、アプリケーションインベントリへの変更の検出が遅れ、新しい検出結果が遅れる可能性があります。
| Amazon Inspector スコア | 重要度 |
|---|---|
| 0 | 情報 |
| 0.2~3.9 | 低 |
| 4.0~6.9 | 中 |
| 7.0~8.9 | 高 |
| 9.0~10.0 | 非常事態 |
Amazon Inspectorで監視されているすべてのリソースのSBOMを、Amazon InspectorコンソールやAmazon Inspector APIを介して、複数の形式(CycloneDxまたはSPDX)で簡単な手順で生成およびエクスポートすることができます。すべてのリソースの SBOM を含む完全なレポートをダウンロードすることも、設定したビューフィルタに基づいて一部のリソースの SBOM を選択的に生成してダウンロードすることもできます。
はい。Amazon Inspector は、SSM Agent を使用してアプリケーションインベントリを収集します。これは、インターネットを介した情報の送信を回避するために、Amazon 仮想プライベートクラウド (VPC) エンドポイントとして設定できます。
サポートされているプログラミング言語パッケージのリストは、こちらにあります。
はい。詳細については、Amazon Inspector パートナーを参照してください。
はい。Amazon Inspector サービスを停止することで、すべてのスキャンタイプ (Amazon EC2 スキャン、Amazon ECR コンテナイメージスキャン、Lambda 関数スキャン) を停止することができますが、アカウントに対して各スキャンタイプを個別に停止することもできます。