Amazon EC2 インスタンスでセキュリティ評価を実行するように Amazon Inspector Classic をセットアップする方法を教えてください。
最終更新日: 2022 年 1 月 19日
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスでセキュリティ評価を実行するように Amazon Inspector Classic をセットアップするにはどうすればよいですか?
解決方法
次の手順に従って、Amazon Inspector Classic サービスを使用して、Amazon EC2 インスタンスのセキュリティ評価を作成および実行できます。
重要: 開始する前に、Amazon Inspector Classic から新しい Amazon Inspector への移行を検討してください。これは、新しい Amazon Inspector が、ソフトウェアの脆弱性や意図しないネットワークの公開 (ネットワークエクスポージャー) がないか、継続的に AWS ワークロードをスキャンする自動脆弱性管理サービスであるためです。手順については、Moving to the new Amazon Inspector を参照してください。
Amazon Inspector のサービスにリンクされたロールを作成し、Amazon EC2 インスタンスにタグ付けする
- Amazon Inspector コンソールを開き、ナビゲーションペインで [Switch to Inspector Classic] (Inspector Classic への切り替え) を選択します。
- [One-click setup] (ワンクリック設定) の手順に従います。
- Amazon EC2 コンソールを開き、ナビゲーションペインで [Instances] (インスタンス) を選択します。
- Amazon Inspector で評価を行うインスタンスを選択してから、[Tags] タブをクリックします。
- [Add/Edit Tags] を選択してから、[Create Tag] をクリックします。
- [Key (キー)] と [Value (値)] の名前を入力してから、[Save (保存)] を選択します。
Amazon Inspector エージェントのインストール
Amazon EC2 インスタンスの OS に Amazon Inspector エージェントをインストールする手順に従います。
- Linux ベースの EC2 インスタンスにエージェントをインストールする
- Windows ベースの EC2 インスタンスにエージェントをインストールする
- Amazon Inspector Classic エージェントを使用した Amazon Linux 2 AMI
- Systems Manager Run Command を使用して複数の EC2 インスタンスにエージェントをインストールする (SSM Agentが必要)
Amazon Inspector エージェントのインストールの自動化については、Amazon EC2 Systems Manager と Amazon Inspector を使用してセキュリティ評価のセットアップを簡素化する方法を参照してください。
評価ターゲットを定義する
- Amazon Inspector Classic コンソールを開き、[Assessment target] (評価ターゲット) を選択します。
- [Create] (作成) を選択し、評価ターゲットの名前を入力します。
- 「examplekey」や「examplevalue」など、評価に含める Amazon EC2 インスタンスの Key と Value のペアを選択します。
- [Install Agents] のチェックを外し、次に [Preview] を選択して、含まれているインスタンスを表示および確認します。
- [OK] を選択してから、[Save (保存)] をクリックします。
評価テンプレートを定義し、評価を実行する
- Amazon Inspector Classic コンソールを開き、[Assessment templates] (評価テンプレート) を選択してから、[Create] (作成) をクリックします。
- 評価テンプレートに、名前とターゲット名を入力します。
- Rules packages には、[Common Vulnerabilities] を選択します。
- [Duration (期間)] には、評価を実行する期間を選択します。注: 複数のルールパッケージまたはインスタンスがある場合は、1 時間を選択することをお勧めします。
- [Assessment Schedule (評価スケジュール)] のチェックを外してから、[Create and run (作成して実行する)] を選択します。
- 評価が完了したら、ナビゲーションペインから [Findings (調査結果)] または [Assessment run (評価実行)] を選択します。
評価を実行する
- Amazon Inspector Classic コンソールを開きます。
- [Assessment templates] (評価テンプレート) セクションを選択して、利用できる評価を表示します。
- 作成したテンプレートを選択します。
- [Run] を選択して、評価をすぐに開始します。
- 評価が完了したら、ナビゲーションペインから [Findings (調査結果)] または [Assessment run (評価実行)] を選択します。
注: AWS Lambda 関数を介した自動評価実行をセットアップすることもできます。
評価の実行には、すべての評価実行のリストが含まれます。特定の評価に関する情報を確認したり、その評価からレポートを生成したり、特定の評価のセキュリティ検出結果に移動したりできます。詳細については、評価レポートを参照してください。
結果には、すべての評価実行のすべての結果が列記されています。これらの結果をフィルタリングして、特定の結果を確認できます。結果は、Amazon Inspector の評価中に発見されたセキュリティの脆弱性または設定の露出を特定します。Amazon Inspector の結果の詳細については、調査結果の横にある矢印を選択して詳細ビューを展開します。詳細については、Amazon Inspector Classic findings を参照してください。
注: Amazon Inspector 評価ターゲットには、サポートされている OS がインストールされている Amazon EC2 インスタンスのみを含めることができます。詳細については、Amazon Inspector Classic supported operating systems and Regions を参照してください。