Amazon Inspector をセットアップして、Amazon EC2 インスタンスでセキュリティ評価を実行する方法を教えてください。
最終更新日: 2019 年 12 月 19 日
Amazon Inspector をセットアップして、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスでセキュリティ評価を実行する方法を教えてください。
解決方法
以下の手順に従うと、Amazon Inspector サービスを使って Amazon EC2 インスタンスのセキュリティ評価を作成および実行できます。
Amazon Inspector のサービスにリンクされたロールを作成して Amazon EC2 インスタンスにタグ付けする
- Amazon Inspector コンソールを開き、[Get Started] (今すぐ始める) を選択します。
- Amazon Inspector のワンクリック設定の指示に従います。
- Amazon EC2 コンソールを開き、ナビゲーションペインから [Instances] (インスタンス) を選択します。
- Amazon Inspector で評価を実行するインスタンスを選択し、[Tags] (タグ) タブを選択します。
- [タグの追加/編集] を選択し、次に [タグの作成] を選択します。
- [Key] (キー) と [Value] (値) の名前を入力したら、[Save] (保存) を選択します。
Amazon Inspector エージェントをインストールする
手順に従い、Amazon EC2 インスタンスの OS 用の Amazon Inspector エージェントをインストールします。
- Linux ベースの EC2 インスタンスにエージェントをインストールする
- Windows ベースの EC2 インスタンスにエージェントをインストールする
- Amazon Inspector エージェントを使用する Amazon Linux AMI
- Systems Manager の実行コマンドを使用して複数の EC2 インスタンスにエージェントをインストールする (SSM エージェントが必要)
Amazon Inspector エージェントのインストールを自動化する方法については、Amazon EC2 Systems Manager と Amazon Inspector を使用してセキュリティ評価の設定を簡素化する方法を参照してください。
評価ターゲットを定義する
- Amazon Inspector コンソールを開き、[評価ターゲット] を選択します。
- [Create] (作成) を選択し、評価ターゲットの名前を入力します。
- 評価に含める Amazon EC2 インスタンスの [Key] (キー) と [Value] (値) のペア (「examplekey」や「examplevalue」など) を選択します。
- [Install Agents] (エージェントのインストール) チェックボックスをオフにし、[Preview] (プレビュー) を選択して、含まれているインスタンスを表示して確認します。
- [OK] を選択し、次に [保存] を選択します。
評価テンプレートを定義し評価を実行する
- Amazon Inspector コンソールを開き、[評価テンプレート] を選択し、次に [作成] を選択します。
- [評価テンプレート] で、[名前] と [ターゲット名] を入力します。
- [ルールパッケージ] で、[Common Vulnerabilities] を選択します。
- [Duration] (所要時間) で、評価を実行する時間の長さを選択します。注意: 複数のルールパッケージまたはインスタンスがある場合は、1 時間を選択することがベストプラクティスです。
- [Assessment Schedule]チェックボックスをオフにし、[Create and run] (作成および実行) を選択します。
- 評価が完了したら、ナビゲーションメニューで [Finding] (結果) または [Assessment runs] (評価の実行) を選択します。
評価を実行する
- Amazon Inspector コンソールを開きます。
- [Assessment templates] (評価テンプレート) セクションを選択し、利用可能な評価を表示します。
- 作成したテンプレートを選択します。
- 評価をすぐに開始するには、[Run] (実行) を選択します。
- 評価が完了したら、ナビゲーションメニューで [Findings] (結果) または [Assessment runs] (評価の実行) を選択します。
注意: AWS Lambda 関数を使用して自動評価実行を設定することもできます。
[Assessment runs] (評価の実行) には、評価の実行をすべて列挙したリストが含まれます。特定の評価に関する情報を確認したり、その評価からレポートを生成したり、あるいは特定のセキュリティ評価の結果に移動したりすることが可能です。詳細については、「評価レポート」を参照してください。
結果には、すべての評価の実行おけるすべての結果のリストが含まれます。これらの結果をフィルタリングして、特定の結果を表示できます。結果は、Amazon Inspector の評価の最中に検出されたセキュリティの脆弱性または設定のエクスポージャです。Amazon Inspector の結果の詳細を確認するには、結果の横にある三角形を選択し詳細ビューを展開します。詳細については、Amazon Inspector の結果を参照してください。
注意: Amazon Inspector の評価ターゲットに含めることができるのは、サポート対象の OS がインストールされた Amazon EC2 インスタンスのみです。詳細については、Amazon Inspector でサポートされているオペレーティングシステムとリージョンを参照してください。