Amazon Inspector は、ソフトウェアの脆弱性や、意図しないネットワークエクスポージャーについて、継続的に AWS ワークロードをスキャンする脆弱性管理サービスです。AWS マネジメントコンソールで数回クリックするだけで、組織内のすべてのアカウントで Amazon Inspector を利用できます。利用を開始すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Container Registry (Amazon ECR) 内のコンテナイメージ、AWS Lambda 関数を自動的かつ大規模に検出し、直ちに評価を開始して既知の脆弱性がないかを確認します。
Amazon Inspector は、共通脆弱性識別子 (CVE) 情報を、ネットワークアクセスや悪用される可能性などの要素と相関させることにより、各検出結果について高度にコンテキスト化されたリスクスコアを計算します。このスコアは、極めて重大な脆弱性に優先順位を付け、是正対応の効率を向上させるために使用されます。すべての検出結果は Amazon Inspector コンソールに集約され、AWS Security Hub および Amazon EventBridge にプッシュされて、ワークフローが自動化されます。コンテナイメージで見つかった脆弱性も Amazon ECR に送信され、リソースの所有者はこれらの脆弱性を表示および是正できます。Amazon Inspector は、あらゆる規模のセキュリティチームやデベロッパーが、AWS 環境全体で包括的なインフラストラクチャワークロードのセキュリティとコンプライアンスを実現できるようにします。
コンピューティングワークロード向けの自動脆弱性管理
Amazon Inspector は、Amazon EC2、Lambda 関数、コンテナワークロードなどのさまざまなリソースにまたがる包括的な脆弱性管理サービスです。ワークロードの侵害、悪意のある用途でのリソースの再利用、データの不正引き出しの促進に使用される可能性のある、ソフトウェアの脆弱性や意図しないネットワークエクスポージャーなど、さまざまな種類の脆弱性を特定します。
簡素化されたワンクリックのオンボーディングと AWS Organizations との統合
Amazon Inspector コンソールでの 1 つのステップまたは 1 回の API 呼び出しで、複数のアカウントにわたって Amazon Inspector を開始できます。Amazon Inspector を利用すると、Inspector Delegated Administrator (DA) アカウントを組織に割り当てることができます。このアカウントは、すべてのメンバーアカウントをシームレスに開始および設定し、すべての検出結果を統合できます。
自動検出と継続的な脆弱性スキャン
Amazon Inspector は、開始されると、Amazon ECR 内のすべての Amazon EC2 インスタンス、Lambda 関数、コンテナイメージを自動的に検出します。すぐにスキャンを始め、ソフトウェアの脆弱性や意図しないネットワークエクスポージャーがないかを確認します。新しい CVE が公開されたときや、ワークロードに変更があったとき (EC2 インスタンスへの新しいソフトウェアのインストールなど) には、常にすべてのワークロードを再スキャンします。
AWS Systems Manager のエージェント
Amazon Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用して、Amazon EC2 インスタンスからソフトウェアのインベントリと設定を収集します。収集されたアプリケーションインベントリと設定は、ワークロードの脆弱性を評価するために使用されます。
検出結果に関する Amazon Inspector リスクスコア
Amazon Inspector は、CVE 情報を、ネットワーク到達可能性の結果や悪用される可能性に関するデータなどの環境的な要因と相関させることにより、各検出結果について高度にコンテキスト化された Amazon Inspector リスクスコアを生成します。これは、検出結果に優先順位を付け、極めて重要な検出結果や脆弱なリソースを明らかにするのに役立ちます。Amazon Inspector スコアの計算 (およびスコアに影響した要因) は、[検出結果の詳細] サイドパネルの [Amazon Inspector スコア] タブで確認できます。
検出結果の抑制
Amazon Inspector は、定義した基準に基づいた検出結果の抑制をサポートしています。これらの抑制ルールを作成して、組織が許容可能なリスクとみなす検出結果を抑制できます。
是正された検出結果の自動解決
Amazon Inspector は、脆弱性にパッチが適用されているか、または脆弱性が是正されているかどうかを自動的に検出します。検出すると、検出結果の状態を自動的に [Closed] に変更します。手動介入は必要ありません。
カバレッジの詳細なモニタリング
Amazon Inspector は、組織全体の環境カバレッジの包括的なほぼリアルタイムの概要を提供するため、カバレッジのギャップを回避できます。Amazon Inspector によってアクティブにスキャンされているアカウント、Amazon EC2 インスタンス、Amazon ECR リポジトリ、コンテナイメージについてのメトリクスと詳細情報が提供されます。さらに、アクティブにモニタリングされていないリソースを強調して表示し、それらを含める方法についてのガイダンスを提供します。
Security Hub および EventBridge との統合
すべての検出結果は Amazon Inspector コンソールに集約され、AWS Security Hub にルーティングされ、Amazon EventBridge を通じてプッシュされて、ワークフロー (チケット発行など) が自動化されます。
Lambda 関数のレイヤーへの脆弱性マッピングの統合
Amazon Inspector は Lambda 関数内のカスタムプロプライエタリアプリケーションコードをスキャンし、AWS セキュリティのベストプラクティスに基づいて、インジェクションの欠陥、データ漏えい、暗号化の強度不足、暗号化の欠落など、コードセキュリティの脆弱性がないかを確認します。Lambda 関数またはレイヤー内のコードの脆弱性を検出すると、Amazon Inspector は、セキュリティ検出器名、影響を受けるコードスニペット、脆弱性に対処するための是正案など、複数の詳細情報を含む、セキュリティに関する実用的な検出結果を生成します。基礎レイヤーで脆弱性に対処することは、すべてのダウンストリーム Lambda 関数のセキュリティを強化するのに役立ちます。
ソフトウェア部品表 (SBOM) のエクスポートを管理する
Amazon Inspector は、ソフトウェア部品表 (SBOM) エクスポートを自動一元管理します。これにより、すべてのモニタリング対象リソースの統合 SBOM を、事前設定済みの Amazon S3 バケットに、業界標準フォーマット対応で簡単にエクスポートできます。SBOM アーティファクトのダウンロードや、Amazon Athena クエリの実行、Amazon QuickSight ダッシュボードの作成によって、貴重なインサイトを得て傾向を視覚化することができます。
Amazon Inspector をご利用のお客様について知る