Amazon Inspector のよくある質問

全般

Amazon Inspector は、Amazon ECR や継続的インテグレーション/継続的デリバリー (CI/CD) ツール内の Amazon Elastic Compute Cloud (EC2)、AWS Lambda 関数、コンテナイメージをほぼリアルタイムで継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかを調べる自動脆弱性管理サービスです。

Amazon Inspector は、ワンステップですべてのアカウントに Amazon Inspector をデプロイできるようにすることで、脆弱性管理ソリューションのデプロイと設定に関連する運用上のオーバーヘッドを取り除きます。追加の利点には以下が含まれます。

  • ほぼリアルタイムの脆弱性の発見を提供する自動検出と継続的なスキャン
  • 委任された管理者 (DA) アカウントを設定することによる、すべての組織のアカウントの一元的な管理、設定、および検出結果の表示
  • より正確な対応の優先順位を設定するのに役立つ、各検出結果の高度にコンテキスト化された有意義な Amazon Inspector リスクスコア
  • Amazon ECR や CI/CD ツール内のアカウント、Amazon EC2 インスタンス、Lambda 関数、コンテナイメージなどのカバレッジメトリクスをほぼリアルタイムで確認できる、直感的な Amazon Inspector ダッシュボード。
  • EC2 インスタンスをシームレスにスキャンし、エージェントベースとエージェントレススキャン (プレビュー) を切り替えることで、脆弱性評価の対象範囲を最大化します。
  • 監視対象のすべてのリソースのソフトウェア部品表 (SBOM) エクスポートを一元管理します。 
  • ワークフローとチケットルーティングを自動化するための AWS Security Hub および Amazon EventBridge との統合

アカウント内のすべての評価テンプレートを削除するだけで、Amazon Inspector Classic を無効にできます。既存の評価の検出結果にアクセスするには、それらをレポートとしてダウンロードするか、Amazon Inspector API を使用してエクスポートします。AWS マネジメントコンソールでの数回のステップ、または新しい Amazon Inspector API を使用して、新しい Amazon Inspector を有効にできます。詳細な移行手順は、Amazon Inspector Classic ユーザーガイドに記載されています。

Amazon Inspector は、新しい脆弱性管理サービスを創出するために再設計および再構築されました。Amazon Inspector Classic から強化された主な点は次のとおりです。

  • スケールを考慮した構築: 新しい Amazon Inspector は、スケールと動的なクラウド環境を考慮して構築されています。一度にスキャンできるインスタンスまたはイメージの数に制限はありません。
  • コンテナイメージおよび Lambda 関数のサポート: 新しい Amazon Inspector は、Amazon ECR と CI/CD ツール、および Lambda 関数にあるコンテナイメージもスキャンして、ソフトウェアの脆弱性を検出します。コンテナ関連の検出結果も ECR コンソールにプッシュされます。
  • マルチアカウント管理のサポート: 新しい Amazon Inspector は AWS Organizations と統合されているため、組織の Amazon Inspector の管理者アカウントに委任できます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。
  • AWS Systems Manager Agent: 新しい Amazon Inspector を使用すると、すべての Amazon EC2 インスタンスにスタンドアロンの Amazon Inspector エージェントをインストールして維持する必要がなくなります。新しい Amazon Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用しており、その必要性を排除しています。
  • 自動化された継続的なスキャン: 新しい Amazon Inspector は、新しく起動されたすべての Amazon EC2 インスタンス、Lambda 関数と Amazon ECR にプッシュされた適格なコンテナイメージを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーを即座にスキャンします。新しい脆弱性をもたらす可能性のあるイベントが発生すると、関連するリソースが自動的に再スキャンされます。リソースの再スキャンを開始するイベントには、EC2 インスタンスへの新しいパッケージのインストール、パッチのインストール、およびリソースに影響を与える新しい一般的な脆弱性と暴露 (CVE) がパブリッシュされた際などがあります。
  • Inspector リスクスコア: 新しい Amazon Inspector は、最新の CVE 情報を、ネットワークのアクセス可能性や悪用可能性の情報などの時間的および環境的要因と相関させて、検出結果の優先順位付けに役立つコンテキストを追加することにより、Inspector のリスクスコアを計算します。
  • 脆弱性評価の対象範囲: 新しい Amazon Inspector は、EC2 インスタンスをシームレスにスキャンし、エージェントベースのスキャンとエージェントレススキャンの切り替え (プレビュー) により、脆弱性評価を強化します。
  • ソフトウェア部品表 (SBOM) のエクスポート: 新しい Amazon Inspector は、監視対象のすべてのリソースの SBOM を一元的に管理してエクスポートします。 

はい、同じアカウントで両方を同時に使用できます。

 

  Amazon Inspector コンテナイメージスキャン (ECR 拡張スキャン) Amazon ECR ネイティブコンテナイメージスキャン (ECR 基本スキャン)

スキャンエンジン

Amazon Inspector は、AWS が開発した脆弱性管理サービスであり、Amazon ECR に存在するコンテナイメージのサポートが組み込まれています。

Amazon ECR は、マネージド AWS ネイティブ基本スキャンソリューションを提供します

パッケージカバレッジ

オペレーティングシステム (OS) パッケージとプログラミング言語 (Python、Java、および Ruby など) パッケージの両方の脆弱性を特定します

OS パッケージでのみソフトウェアの脆弱性を特定します

スキャン頻度

継続的なスキャンとオンプッシュスキャンの両方を行えます

オンプッシュスキャンのみを行います

脆弱性インテリジェンス CVE のエクスプロイトが可能かどうか、修正を含むパッケージバージョンと是正ガイダンス、EPSS スコア、CVE のエクスプロイトのために使用されているマルウェアキットなど、強化された脆弱性インテリジェンスを提供します

ソフトウェアの脆弱性に関する基本的な情報のみを提供します

検出結果

結果は、Amazon Inspector と Amazon ECR コンソールの両方、および Amazon Inspector と Amazon ECR アプリケーションプログラムインターフェイス (API) と Software Development Kit (SDK) で利用できます

結果は、Amazon ECR コンソールと Amazon ECR API および SDK で利用できます

脆弱性スコアリング

National Vulnerability Database (NVD) とベンダーの両方から、コンテキストに沿った Inspector スコアと共通脆弱性評価システム (CVSS) v2 および v3 スコアを取得できます

CVSS v3 および v2 スコアのみ

AWS サービスの統合

AWS Security Hub、AWS Organizations、および AWS EventBridge と統合します

他の AWS のサービスとの組み込みの統合は利用できません

料金の詳細については、Amazon Inspector の料金ページを参照してください。

Amazon Inspector を初めて使用するすべてのアカウントは、サービスを評価してそのコストを見積もるための 15 日間の無料トライアルの対象となります。 無料トライアル期間中、対象となるすべての Amazon EC2 インスタンス、AWS Lambda 関数と Amazon ECR にプッシュされたコンテナイメージは、無料で継続的にスキャンされます。Amazon Inspector コンソールで推定支出を確認することもできます。

Amazon Inspector は世界中で利用できます。リージョンごとの具体的な可用性は、こちらにリストされています

開始方法

AWS マネジメントコンソールで数回クリックするだけで、組織全体または個々のアカウントに対して Amazon Inspector を有効にできます。有効にすると、Amazon Inspector は実行中の Amazon EC2 インスタンス、Lambda 関数と Amazon ECR リポジトリを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーに対するワークロードの継続的なスキャンをすぐに開始します。Amazon Inspector を初めて使用する場合は、15 日間の無料トライアルもあります。

Amazon Inspector の結果は、潜在的なセキュリティの脆弱性です。例えば、Amazon Inspector がソフトウェアの脆弱性を検出したり、コンピューティングリソースへのネットワークパスを開いたりすると、セキュリティの結果が作成されます。

はい。Amazon Inspector は AWS Organizations と統合されています。Amazon Inspector に DA アカウントを割り当てることができます。これは、Amazon Inspector のプライマリ管理者アカウントとして機能し、一元的に管理および設定できます。DA アカウントは、AWS Organizations の一部であるすべてのアカウントの結果を一元的に表示および管理できます。

AWS Organizations 管理アカウントでは、Amazon Inspector コンソールでまたは Amazon Inspector API を使用して、Amazon Inspector に DA アカウントを割り当てることができます。

Amazon Inspectorを初めて起動する場合、EC2 スキャン、Lambda スキャン、ECR コンテナイメージスキャンなど、すべてのスキャンタイプがデフォルトで有効になっています。ただし、組織内のすべてのアカウントで、これらの一部または全部を無効にすることができます。既存のユーザーは、Amazon Inspector コンソールまたは Amazon Inspector API を使用して新機能を有効にすることができます。

いいえ、スキャンにエージェントは必要ありません。Amazon EC2 インスタンスの脆弱性スキャンでは、エージェントベースのソリューションとして AWS Systems Manager Agent (SSM Agent) を使用できます。Amazon Inspector では、SSM エージェントをデプロイまたは設定していない場合でも、エージェントレススキャン (プレビュー) を利用できます。Amazon EC2 インスタンスのネットワーク到達性の評価、コンテナイメージの脆弱性スキャン、Lambda 関数の脆弱性スキャンについては、エージェントは必要ありません。 

Amazon EC2 インスタンスのソフトウェアの脆弱性を正常にスキャンするには、Amazon Inspector では、これらのインスタンスが AWS Systems ManagerSSM Agent によって管理されている必要があります。Systems Manager を有効にして設定する手順については、AWS Systems Manager ユーザーガイドの SystemsManager の前提条件を参照してください。マネージドインスタンスについては、AWS Systems Manager ユーザーガイドの「マネージドインスタンス」セクションを参照してください。

Amazon Inspector は、スキャンする ECR リポジトリを選択するために包含ルールの設定をサポートしています。包含ルールは、ECR コンソール内のレジストリ設定ページで、または ECR API を使用して作成および管理できます。包含ルールに一致する ECR リポジトリは、スキャンするように設定されます。リポジトリの詳細なスキャンステータスは、ECR コンソールと Amazon Inspector コンソールの両方で利用できます。

Amazon Inspector での作業

Amazon Inspector ダッシュボードの Environmental Coverage パネルには、Amazon Inspector によってアクティブにスキャンされているアカウントのメトリクス、Amazon EC2 インスタンス、Lambda 関数、および ECR リポジトリが表示されます。各インスタンスとイメージのスキャンステータスは、[Scanning] または [Not Scanning] です。[Scanning] とは、リソースがほぼリアルタイムで継続的にスキャンされていることを意味します。[Not Scanning] のステータスは、最初のスキャンがまだ実行されていないか、OS がサポートされていないか、または他の何かがスキャンを妨げていることを意味する可能性があります。

すべてのスキャンは、イベントに基づいて自動的に実行されます。すべてのワークロードは、最初に検出時にスキャンされ、その後再スキャンされます。

  • Amazon EC2 インスタンスの場合: SSM エージェントベースのスキャンでは、インスタンスに新しいソフトウェアパッケージがインストールまたはアンインストールされたとき、新しい CVE が公開されたとき、脆弱なパッケージが更新されたあと (追加の脆弱性がないことを確認するため) に、再スキャンが開始されます。エージェントレススキャンの場合、スキャンは 24 時間ごとに実行されます。
  • Amazon ECR コンテナイメージの場合: イメージに影響を与える新しい CVE が公開されると、自動再スキャンが開始され、コンテナイメージが適格であることを確認します。コンテナイメージの自動再スキャンは、Amazon Inspector コンソールまたは API でイメージのプッシュ日とプル日の両方に設定された再スキャン期間に基づいています。イメージのプッシュ日が設定された「プッシュ日の再スキャン期間」よりも短く、設定された「プル日の再スキャン期間」内にイメージがプルされた場合、コンテナイメージは引き続き監視され、イメージに影響する新しいCVEが公開されたときに自動再スキャンが開始されます。イメージプッシュ日に利用可能な再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、180日、または有効期間です。イメージプル日の再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、または180日です。
  • Lambda 関数の場合: すべての新しい Lambda 関数は検出時に初期評価され、Lambda 関数が更新されたり、新しい CVE が公開されたりした際には継続的に再評価されます。

継続的なスキャンのために設定された Amazon ECR リポジトリにあるコンテナイメージは、Amazon Inspector コンソールまたは API で設定された期間にわたってスキャンされます。イメージプッシュ日に利用できる再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、180日、または有効期間です。イメージプル日の再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、または180日です。

 

  • Amazon Inspector の ECR スキャンが有効になっている場合、Amazon Inspector は、過去 30 日間にプッシュまたはプルされた画像のみをスキャン対象として選択しますが、設定された期間 (30日 (デフォルト)、14日、60日、90日、180日、または無期限) は継続的にスキャンします。イメージのプッシュ日が設定された「プッシュ日の再スキャン期間」よりも短く、設定された「プル日の再スキャン期間」内にイメージがプルされた場合、コンテナイメージは引き続き監視され、イメージに影響する新しいCVEが公開されたときに自動再スキャンが開始されます。例えば、Amazon Inspector ECR スキャンを有効にすると、Amazon Inspector は過去 30 日間にプッシュまたはプルされた画像をピックアップしてスキャンします。ただし、アクティベーション後、180 日間の再スキャン期間を選択した場合、Amazon Inspector は画像が過去 180 日間にプッシュされたか、過去 180 日間に少なくとも 1 回は取り出された画像を引き続きスキャンします。過去 180 日間に画像がプッシュまたはプルされなかった場合、Amazon Inspector はその画像の監視を停止します。
  • Amazon Inspector ECR スキャンがアクティブになった後に ECR にプッシュされたすべての画像は、「プッシュ日付再スキャン期間」と「プル日付再スキャン期間」で設定された期間、継続的にスキャンされます。イメージプッシュ日に利用できる再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、180日、または有効期間です。イメージプル日の再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、または180日です。自動再スキャン時間は、コンテナイメージの最終プッシュ日またはプル日に基づいて計算されます。例えば、Amazon Inspector ECR スキャンを有効にした後、180 日間の再スキャン期間を選択した場合、Amazon Inspector は画像が過去 180 日間にプッシュされたか、過去 180 日間に少なくとも 1 回プルされた画像をスキャンし続けます。ただし、過去 180 日間に画像がプッシュまたはプルされなかった場合、Amazon Inspector はその画像の監視を停止します。
  • 画像が「スキャン資格の有効期限切れ」状態にある場合は、画像を取り出して Amazon Inspector の監視下に戻すことができます。画像は、最後に取り込まれた日付から設定された再スキャン期間の間、継続的にスキャンされます。
  • Amazon EC2 インスタンスの場合: はい。リソースタグを追加することで EC2 インスタンスをスキャンから除外できます。「InspectorEc2Exclusion」キーを使用できます。値は <optional> です。
  • Amazon ECR にあるコンテナイメージの場合: はい。スキャン用に設定する Amazon ECR リポジトリを選択できますが、リポジトリ内のすべてのイメージがスキャンされます。包含ルールを作成して、スキャンするリポジトリを選択できます。
  • Lambda 関数の場合: はい、リソースタグを追加することで Lambda 関数をスキャンから除外できます。標準スキャンの場合は、「インスペクター除外」キーと値「LambdaStandardScanning」を使用してください。コードをスキャンするには、「InspectorCodeExclusion」キーと値「LambdaCodeScanning」を使用してください。

マルチアカウント構造では、AWS 組織内のすべてのアカウントに対して、Amazon Inspector コンソールまたは API からDelegated Administrator (DA) アカウントを通じて Amazon Inspector for Lambda 脆弱性評価を有効にし、他のメンバーアカウントは、中央セキュリティチームがまだ自分のアカウントに対して Amazon Inspector を有効化していない場合に、自分のアカウントに対して Amazon Inspector を有効にすることができます。AWS 組織に属さないアカウントは、Amazon Inspector コンソールまたは API を通じて、個々のアカウントに対して Amazon Inspector を有効化することができます。

Amazon Inspector は、$LATEST バージョンのみを継続的に監視し、評価します。自動再スキャンは最新バージョンのみで継続されるため、新しい知見は最新バージョンのみで生成されます。コンソールでは、ドロップダウンからバージョンを選択することで、どのバージョンからの検出結果も見ることができるようになります。

いいえ。オプションには 2 つあります。Lambda 標準スキャンのみを有効化するか、Lambda 標準スキャンとコードスキャンを同時に有効にするかのどちらかです。Lambda 標準スキャンは、Lambda 関数およびアソシエーションレイヤーとしてデプロイされたアプリケーションで使用される脆弱な依存関係に対する基本的なセキュリティ保護を提供します。Lambda コードスキャンは、Lambda 関数内のカスタム専用アプリケーションコードをスキャンして、インジェクションの欠陥、データ漏えい、弱い暗号化、埋め込みシークレットなどのコードセキュリティの脆弱性を見つけることで、セキュリティ上の価値をさらに高めます。

デフォルトの SSM インベントリ収集頻度を変更すると、スキャンの継続的な性質に影響を与える可能性があります。Amazon Inspector は、SSM Agent を利用してアプリケーションインベントリを収集し、結果を生成します。アプリケーションインベントリの期間がデフォルトの 30 分から増加すると、アプリケーションインベントリへの変更の検出が遅れ、新しい検出結果が遅れる可能性があります。

Amazon Inspector リスクスコアは、一般的な脆弱性とエクスポージャー (CVE) 情報をネットワーク到達可能性の結果、悪用可能性データ、およびソーシャルメディアの傾向と相関させることにより、各検出結果に対して生成される高度にコンテキスト化されたスコアです。これにより、検出結果に優先順位を付け、最も重要な検出結果と脆弱なリソースに集中することが容易になります。Inspector のリスクスコアがどのように計算され、どの要因がスコアに影響を与えたかは、[Findings Details] サイドパネルの [Inspector Score] タブで確認できます。

例えば、Amazon EC2 インスタンスで識別された新しい CVE があり、これはリモートでのみ悪用できるとします。Amazon Inspector の継続的なネットワーク到達可能性スキャンでも、インスタンスがインターネットから到達可能ではないことが検出された場合、脆弱性が悪用される可能性が低いことがわかります。したがって、Amazon Inspector はスキャン結果を CVE と相関させて、リスクスコアを下方修正し、その特定のインスタンスに対する CVE の影響をより正確に反映します。

Amazon Inspector スコア 重要度
0 情報
0.2~3.9
4.0~6.9
7.0~8.9
9.0~10.0 非常事態

Amazon Inspector では、定義したカスタマイズされた基準に基づいて結果を抑制することができます。組織で受け入れ可能と見なされる結果の抑制ルールを作成できます。

Amazon Inspector コンソールまたは Amazon Inspector API を使用して数回クリックするだけで、複数の形式 (CSV または JSON) でレポートを生成できます。すべての検出結果を含む完全なレポートをダウンロードするか、コンソールで設定したビューフィルターに基づいてカスタマイズされたレポートを生成してダウンロードできます。

いいえ。オプションには 2 つあります。Lambda 標準スキャンのみを有効化するか、Lambda 標準スキャンとコードスキャンを同時に有効にするかのどちらかです。Lambda 標準スキャンは、Lambda 関数およびアソシエーションレイヤーとしてデプロイされたアプリケーションで使用される脆弱な依存関係に対する基本的なセキュリティ保護を提供します。Lambda コードスキャンは、Lambda 関数内のカスタム専用アプリケーションコードをスキャンして、インジェクションの欠陥、データ漏えい、弱い暗号化、埋め込みシークレットなどのコードセキュリティの脆弱性を見つけることで、セキュリティ上の価値をさらに高めます。

Amazon Inspectorで監視されているすべてのリソースのSBOMを、Amazon InspectorコンソールやAmazon Inspector APIを介して、複数の形式(CycloneDxまたはSPDX)で簡単な手順で生成およびエクスポートすることができます。すべてのリソースの SBOM を含む完全なレポートをダウンロードすることも、設定したビューフィルタに基づいて一部のリソースの SBOM を選択的に生成してダウンロードすることもできます。

1 つのアカウントを使用している既存の Amazon Inspector のお客様は、Amazon Inspector コンソールのアカウント管理ページにアクセスするか、API を使用して、エージェントレススキャン (プレビュー) を有効にできます。

AWS Organizations を使用している既存の Amazon Inspector のお客様の場合、委任管理者は組織全体をエージェントレスソリューションに完全に移行するか、SSM エージェントベースのソリューションのみを引き続き使用する必要があります。スキャンモードの設定は、コンソールの EC2 設定ページまたは API を使用して変更できます。

Amazon Inspector を初めてご利用のお客様の場合、エージェントレススキャンのプレビュー期間中、EC2 スキャンを有効にすると、インスタンスはエージェントベースのスキャンモードでスキャンされます。必要に応じてハイブリッドスキャンモードに切り替えることができます。ハイブリッドスキャンモードでは、Amazon Inspector はアプリケーションインベントリ収集に SSM エージェントを利用して脆弱性評価を行い、SSM エージェントがインストールまたは設定されていないインスタンスでは自動的にエージェントレススキャンにフォールバックします。

Amazon Inspector は、エージェントレススキャン (プレビュー) 対象としてマークされたインスタンスについて、24 時間ごとに自動的にスキャンを開始します。SSM エージェントベースのスキャン対象としてマークされたインスタンスの連続スキャンの動作に変更はありません。 

スキャンモードは、Amazon Inspector コンソールのリソースカバレッジページにアクセスするか、Amazon Inspector カバレッジ API を使用するだけで、「監視対象」列で確認できます。 

いいえ、マルチアカウント設定では、委任された管理者のみが組織全体のスキャンモード構成を設定できます。

アプリケーションチームとプラットフォームチームは、Jenkins や TeamCity などのさまざまな CI/CD ツール用に設計された専用の Amazon Inspector プラグインを使用して、Amazon Inspector をビルドパイプラインに統合できます。これらのプラグインは、各 CI/CD ツールのマーケットプレイスで入手できます。プラグインをインストールしたら、コンテナイメージの評価を実行するステップをパイプラインに追加し、評価結果に基づいてパイプラインをブロックするなどのアクションを実行できます。評価で脆弱性が特定されると、実用的なセキュリティ調査検出結果が生成されます。これらの検出結果には、脆弱性の詳細、修復の推奨事項、悪用可能性の詳細が含まれます。これらは JSON 形式と CSV 形式の両方で CI/CD ツールに返され、Amazon Inspector プラグインによって人間が読めるダッシュボードに変換することも、チームがダウンロードすることもできます。

いいえ、アクティブな AWS アカウントがあれば、この機能を使用するために Amazon Inspector を有効にする必要はありません。

はい。Amazon Inspector は、SSM Agent を使用してアプリケーションインベントリを収集します。これは、インターネットを介した情報の送信を回避するために、Amazon 仮想プライベートクラウド (VPC) エンドポイントとして設定できます。

サポートされているオペレーティングシステム (OS) のリストはこちらにあります。

サポートされているプログラミング言語パッケージのリストは、こちらにあります。

はい。NAT を使用するインスタンスは、Amazon Inspector によって自動的にサポートされます。

はい。詳細については、プロキシを使用するように SSM Agent を設定するを参照してください。

Amazon Inspector は Amazon EventBridge と統合して、新しい結果、結果の状態の変更、抑制ルールの作成などのイベントの通知を送信します。Amazon Inspector は、呼び出しログ記録のために AWS CloudTrail とも統合されています。

はい。Amazon Inspector を実行すると、AWS Organization 全体の Amazon EC2 インスタンスについて、OS レベルの CIS 設定ベンチマークに照らして、対象を絞ったオンデマンド評価を実施できます。

はい。詳細については、Amazon Inspector パートナーを参照してください。

はい。Amazon Inspector サービスを停止することで、すべてのスキャンタイプ (Amazon EC2 スキャン、Amazon ECR コンテナイメージスキャン、Lambda 関数スキャン) を停止することができますが、アカウントに対して各スキャンタイプを個別に停止することもできます。

いいえ。Amazon Inspector は一時停止状態をサポートしていません。