HAQM Inspector のよくある質問
全般
すべて開くHAQM Inspector とは何ですか?
HAQM Inspector は、HAQM ECR や継続的インテグレーション/継続的デリバリー (CI/CD) ツール内の HAQM Elastic Compute Cloud (EC2)、AWS Lambda 関数、コンテナイメージをほぼリアルタイムで継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかを調べる自動脆弱性管理サービスです。
HAQM Inspector の主な利点は何ですか?
HAQM Inspector は、ワンステップですべてのアカウントに HAQM Inspector をデプロイできるようにすることで、脆弱性管理ソリューションのデプロイと設定に関連する運用上のオーバーヘッドを取り除きます。追加の利点には以下が含まれます。
- ほぼリアルタイムの脆弱性の発見を提供する自動検出と継続的なスキャン
- 委任された管理者 (DA) アカウントを設定することによる、すべての組織のアカウントの一元的な管理、設定、および検出結果の表示
- より正確な対応の優先順位を設定するのに役立つ、各検出結果の高度にコンテキスト化された有意義な HAQM Inspector リスクスコア
- HAQM ECR や CI/CD ツール内のアカウント、HAQM EC2 インスタンス、Lambda 関数、コンテナイメージなどのカバレッジメトリクスをほぼリアルタイムで確認できる、直感的な HAQM Inspector ダッシュボード。
- EC2 インスタンスをシームレスにスキャンし、エージェントベースとエージェントレススキャン (プレビュー) を切り替えることで、脆弱性評価の対象範囲を最大化します。
- 監視対象のすべてのリソースのソフトウェア部品表 (SBOM) エクスポートを一元管理します。
- ワークフローとチケットルーティングを自動化するための AWS Security Hub および HAQM EventBridge との統合
HAQM Inspector Classic から新しい HAQM Inspector に移行するにはどうすればよいですか?
アカウント内のすべての評価テンプレートを削除するだけで、HAQM Inspector Classic を無効にできます。既存の評価の検出結果にアクセスするには、それらをレポートとしてダウンロードするか、HAQM Inspector API を使用してエクスポートします。AWS マネジメントコンソールでの数回のステップ、または新しい HAQM Inspector API を使用して、新しい HAQM Inspector を有効にできます。詳細な移行手順は、HAQM Inspector Classic ユーザーガイドに記載されています。
HAQM Inspector は HAQM Inspector Classic とどのように異なりますか?
HAQM Inspector は、新しい脆弱性管理サービスを創出するために再設計および再構築されました。HAQM Inspector Classic から強化された主な点は次のとおりです。
- スケールを考慮した構築: 新しい HAQM Inspector は、スケールと動的なクラウド環境を考慮して構築されています。一度にスキャンできるインスタンスまたはイメージの数に制限はありません。
- コンテナイメージおよび Lambda 関数のサポート: 新しい HAQM Inspector は、HAQM ECR と CI/CD ツール、および Lambda 関数にあるコンテナイメージもスキャンして、ソフトウェアの脆弱性を検出します。コンテナ関連の検出結果も ECR コンソールにプッシュされます。
- マルチアカウント管理のサポート: 新しい HAQM Inspector は AWS Organizations と統合されているため、組織の HAQM Inspector の管理者アカウントに委任できます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。
- AWS Systems Manager Agent: 新しい HAQM Inspector を使用すると、すべての HAQM EC2 インスタンスにスタンドアロンの HAQM Inspector エージェントをインストールして維持する必要がなくなります。新しい HAQM Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用しており、その必要性を排除しています。
- 自動化された継続的なスキャン: 新しい HAQM Inspector は、新しく起動されたすべての HAQM EC2 インスタンス、Lambda 関数と HAQM ECR にプッシュされた適格なコンテナイメージを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーを即座にスキャンします。新しい脆弱性をもたらす可能性のあるイベントが発生すると、関連するリソースが自動的に再スキャンされます。リソースの再スキャンを開始するイベントには、EC2 インスタンスへの新しいパッケージのインストール、パッチのインストール、およびリソースに影響を与える新しい一般的な脆弱性と暴露 (CVE) がパブリッシュされた際などがあります。
- Inspector リスクスコア: 新しい HAQM Inspector は、最新の CVE 情報を、ネットワークのアクセス可能性や悪用可能性の情報などの時間的および環境的要因と相関させて、検出結果の優先順位付けに役立つコンテキストを追加することにより、Inspector のリスクスコアを計算します。
- 脆弱性評価の対象範囲: 新しい HAQM Inspector は、EC2 インスタンスをシームレスにスキャンし、エージェントベースのスキャンとエージェントレススキャンの切り替え (プレビュー) により、脆弱性評価を強化します。
- ソフトウェア部品表 (SBOM) のエクスポート: 新しい HAQM Inspector は、監視対象のすべてのリソースの SBOM を一元的に管理してエクスポートします。
同じアカウントで HAQM Inspector と HAQM Inspector Classic を同時に使用できますか?
はい、同じアカウントで両方を同時に使用できます。
HAQM Elastic Container Registry (ECR) の HAQM Inspector コンテナイメージスキャンサービスは、HAQM ECR ネイティブコンテナイメージスキャンソリューションとどのように異なりますか?
| HAQM Inspector コンテナイメージスキャン (ECR 拡張スキャン) | HAQM ECR ネイティブコンテナイメージスキャン (ECR 基本スキャン) | |
|---|---|---|
| スキャンエンジン |
HAQM Inspector は、AWS が開発した脆弱性管理サービスであり、HAQM ECR に存在するコンテナイメージのサポートが組み込まれています。 |
HAQM ECR は、マネージド AWS ネイティブ基本スキャンソリューションを提供します |
| パッケージカバレッジ |
オペレーティングシステム (OS) パッケージとプログラミング言語 (Python、Java、および Ruby など) パッケージの両方の脆弱性を特定します |
OS パッケージでのみソフトウェアの脆弱性を特定します |
| 拡張検出のサポート | あり。Go ツールチェーン、Oracle JDK & JRE、HAQM Corretto、Apache Tomcat、Apache httpd、Wordpress (コア、テーマ、プラグイン)、Google Puppeteer (Chrome 埋め込み)、Node.js ランタイムなどのエコシステムの検出 | いいえ |
| スクラッチ、distroless、Chainguard イメージのサポート | あり。すべてのスクラッチ、distroless、Chainguard イメージがサポートされています。 | いいえ |
| スキャン頻度 |
継続的なスキャンとオンプッシュスキャンの両方を行えます |
オンプッシュスキャンのみを行います |
| 脆弱性インテリジェンス | CVE のエクスプロイトが可能かどうか、修正を含むパッケージバージョンと是正ガイダンス、EPSS スコア、CVE のエクスプロイトのために使用されているマルウェアキットなど、強化された脆弱性インテリジェンスを提供します | ソフトウェアの脆弱性に関する基本的な情報のみを提供します |
| 検出結果 |
結果は、HAQM Inspector と HAQM ECR コンソールの両方、および HAQM Inspector と HAQM ECR アプリケーションプログラムインターフェイス (API) と Software Development Kit (SDK) で利用できます |
結果は、HAQM ECR コンソールと HAQM ECR API および SDK で利用できます |
| EOL 検出 | あり。HAQM Inspector は EOL ソフトウェアに関する追加の検出結果を生成します | なし。EOL 検出は使用できません |
| 脆弱性スコアリング |
National Vulnerability Database (NVD) とベンダーの両方から、コンテキストに沿った Inspector スコアと共通脆弱性評価システム (CVSS) v2 および v3 スコアを取得できます |
CVSS v3 および v2 スコアのみ |
| AWS サービスの統合 |
AWS Security Hub、AWS Organizations、および AWS EventBridge と統合します |
他の AWS のサービスとの組み込みの統合は利用できません |
HAQM Inspector の料金について教えてください。
料金の詳細については、HAQM Inspector の料金ページを参照してください。
HAQM Inspector の無料トライアルはありますか?
HAQM Inspector を初めて使用するすべてのアカウントは、サービスを評価してそのコストを見積もるための 15 日間の無料トライアルの対象となります。 無料トライアル期間中、対象となるすべての HAQM EC2 インスタンス、AWS Lambda 関数と HAQM ECR にプッシュされたコンテナイメージは、無料で継続的にスキャンされます。HAQM Inspector コンソールで推定支出を確認することもできます。
HAQM Inspector はどのリージョンで利用できますか?
HAQM Inspector は世界中で利用できます。リージョンごとの具体的な可用性は、こちらにリストされています。
開始方法
すべて開く開始する方法を教えてください。
AWS マネジメントコンソールで数回クリックするだけで、組織全体または個々のアカウントに対して HAQM Inspector を有効にできます。有効にすると、HAQM Inspector は実行中の HAQM EC2 インスタンス、Lambda 関数と HAQM ECR リポジトリを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーに対するワークロードの継続的なスキャンをすぐに開始します。HAQM Inspector を初めて使用する場合は、15 日間の無料トライアルもあります。
HAQM Inspector の結果とは何ですか?
HAQM Inspector の結果は、潜在的なセキュリティの脆弱性です。例えば、HAQM Inspector がソフトウェアの脆弱性を検出したり、コンピューティングリソースへのネットワークパスを開いたりすると、セキュリティの結果が作成されます。
AWS Organizations を使用して HAQM Inspector を管理できますか?
はい。HAQM Inspector は AWS Organizations と統合されています。HAQM Inspector に DA アカウントを割り当てることができます。これは、HAQM Inspector のプライマリ管理者アカウントとして機能し、一元的に管理および設定できます。DA アカウントは、AWS Organizations の一部であるすべてのアカウントの結果を一元的に表示および管理できます。
HAQM Inspector サービスの管理者を委任する方法を教えてください。
AWS Organizations 管理アカウントでは、HAQM Inspector コンソールでまたは HAQM Inspector API を使用して、HAQM Inspector に DA アカウントを割り当てることができます。
特定のスキャンタイプ (つまり、HAQM EC2 スキャン、Lambda 関数スキャン、または HAQM ECR コンテナイメージスキャン) を有効にする必要がありますか?
HAQM Inspectorを初めて起動する場合、EC2 スキャン、Lambda スキャン、ECR コンテナイメージスキャンなど、すべてのスキャンタイプがデフォルトで有効になっています。ただし、組織内のすべてのアカウントで、これらの一部または全部を無効にすることができます。既存のユーザーは、HAQM Inspector コンソールまたは HAQM Inspector API を使用して新機能を有効にすることができます。
HAQM Inspector を使用するためにエージェントが必要ですか?
いいえ、スキャンにエージェントは必要ありません。HAQM EC2 インスタンスの脆弱性スキャンでは、エージェントベースのソリューションとして AWS Systems Manager Agent (SSM Agent) を使用できます。HAQM Inspector では、SSM エージェントをデプロイまたは設定していない場合でも、エージェントレススキャン (プレビュー) を利用できます。HAQM EC2 インスタンスのネットワーク到達性の評価、コンテナイメージの脆弱性スキャン、Lambda 関数の脆弱性スキャンについては、エージェントは必要ありません。
HAQM Systems Manager Agent をインストールして設定するにはどうすればよいですか?
HAQM EC2 インスタンスのソフトウェアの脆弱性を正常にスキャンするには、HAQM Inspector では、これらのインスタンスが AWS Systems Manager と SSM Agent によって管理されている必要があります。Systems Manager を有効にして設定する手順については、AWS Systems Manager ユーザーガイドの SystemsManager の前提条件を参照してください。マネージドインスタンスについては、AWS Systems Manager ユーザーガイドの「マネージドインスタンス」セクションを参照してください。
どの HAQM ECR リポジトリがスキャンするように設定されているかを知るにはどうすればよいですか? また、スキャンをするように設定する必要があるリポジトリを管理するにはどうすればよいですか?
HAQM Inspector は、スキャンする ECR リポジトリを選択するために包含ルールの設定をサポートしています。包含ルールは、ECR コンソール内のレジストリ設定ページで、または ECR API を使用して作成および管理できます。包含ルールに一致する ECR リポジトリは、スキャンするように設定されます。リポジトリの詳細なスキャンステータスは、ECR コンソールと HAQM Inspector コンソールの両方で利用できます。
HAQM Inspector での作業
すべて開くリソースがアクティブにスキャンされているかどうかを確認するにはどうすればよいですか?
HAQM Inspector ダッシュボードの Environmental Coverage パネルには、HAQM Inspector によってアクティブにスキャンされているアカウントのメトリクス、HAQM EC2 インスタンス、Lambda 関数、および ECR リポジトリが表示されます。各インスタンスとイメージのスキャンステータスは、[Scanning] または [Not Scanning] です。[Scanning] とは、リソースがほぼリアルタイムで継続的にスキャンされていることを意味します。[Not Scanning] のステータスは、最初のスキャンがまだ実行されていないか、OS がサポートされていないか、または他の何かがスキャンを妨げていることを意味する可能性があります。
自動再スキャンはどのくらいの頻度で実行されますか?
すべてのスキャンは、イベントに基づいて自動的に実行されます。すべてのワークロードは、最初に検出時にスキャンされ、その後再スキャンされます。
- HAQM EC2 インスタンスの場合: SSM エージェントベースのスキャンでは、インスタンスに新しいソフトウェアパッケージがインストールまたはアンインストールされたとき、新しい CVE が公開されたとき、脆弱なパッケージが更新されたあと (追加の脆弱性がないことを確認するため) に、再スキャンが開始されます。エージェントレススキャンの場合、スキャンは 24 時間ごとに実行されます。
- HAQM ECR コンテナイメージの場合: イメージに影響を与える新しい CVE が公開されると、自動再スキャンが開始され、コンテナイメージが適格であることを確認します。コンテナイメージの自動再スキャンは、HAQM Inspector コンソールまたは API でイメージのプッシュ日とプル日の両方に設定された再スキャン期間に基づいています。イメージのプッシュ日が設定された「プッシュ日の再スキャン期間」よりも短く、設定された「プル日の再スキャン期間」内にイメージがプルされた場合、コンテナイメージは引き続き監視され、イメージに影響する新しいCVEが公開されたときに自動再スキャンが開始されます。イメージプッシュ日に利用可能な再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、180日、または有効期間です。イメージプル日の再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、または180日です。
- Lambda 関数の場合: すべての新しい Lambda 関数は検出時に初期評価され、Lambda 関数が更新されたり、新しい CVE が公開されたりした際には継続的に再評価されます。
コンテナイメージはどの程度の期間にわたって HAQM Inspector で継続的に再スキャンされますか?
継続的なスキャンのために設定された HAQM ECR リポジトリにあるコンテナイメージは、HAQM Inspector コンソールまたは API で設定された期間にわたってスキャンされます。イメージプッシュ日に利用できる再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、180日、または有効期間です。イメージプル日の再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、または180日です。
- HAQM Inspector の ECR スキャンが有効になっている場合、HAQM Inspector は、過去 30 日間にプッシュまたはプルされた画像のみをスキャン対象として選択しますが、設定された期間 (30日 (デフォルト)、14日、60日、90日、180日、または無期限) は継続的にスキャンします。イメージのプッシュ日が設定された「プッシュ日の再スキャン期間」よりも短く、設定された「プル日の再スキャン期間」内にイメージがプルされた場合、コンテナイメージは引き続き監視され、イメージに影響する新しいCVEが公開されたときに自動再スキャンが開始されます。例えば、HAQM Inspector ECR スキャンを有効にすると、HAQM Inspector は過去 30 日間にプッシュまたはプルされた画像をピックアップしてスキャンします。ただし、アクティベーション後、180 日間の再スキャン期間を選択した場合、HAQM Inspector は画像が過去 180 日間にプッシュされたか、過去 180 日間に少なくとも 1 回は取り出された画像を引き続きスキャンします。過去 180 日間に画像がプッシュまたはプルされなかった場合、HAQM Inspector はその画像の監視を停止します。
- HAQM Inspector ECR スキャンがアクティブになった後に ECR にプッシュされたすべての画像は、「プッシュ日付再スキャン期間」と「プル日付再スキャン期間」で設定された期間、継続的にスキャンされます。イメージプッシュ日に利用できる再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、180日、または有効期間です。イメージプル日の再スキャン期間の設定は、90日 (デフォルト)、14日、30日、60日、または180日です。自動再スキャン時間は、コンテナイメージの最終プッシュ日またはプル日に基づいて計算されます。例えば、HAQM Inspector ECR スキャンを有効にした後、180 日間の再スキャン期間を選択した場合、HAQM Inspector は画像が過去 180 日間にプッシュされたか、過去 180 日間に少なくとも 1 回プルされた画像をスキャンし続けます。ただし、過去 180 日間に画像がプッシュまたはプルされなかった場合、HAQM Inspector はその画像の監視を停止します。
- 画像が「スキャン資格の有効期限切れ」状態にある場合は、画像を取り出して HAQM Inspector の監視下に戻すことができます。画像は、最後に取り込まれた日付から設定された再スキャン期間の間、継続的にスキャンされます。
リソースをスキャンから除外できますか?
- HAQM EC2 インスタンスの場合: はい。リソースタグを追加することで EC2 インスタンスをスキャンから除外できます。「InspectorEc2Exclusion」キーを使用できます。値は <optional> です。
- HAQM ECR にあるコンテナイメージの場合: はい。スキャン用に設定する HAQM ECR リポジトリを選択できますが、リポジトリ内のすべてのイメージがスキャンされます。包含ルールを作成して、スキャンするリポジトリを選択できます。
- Lambda 関数の場合: はい、リソースタグを追加することで Lambda 関数をスキャンから除外できます。標準スキャンの場合は、「インスペクター除外」キーと値「LambdaStandardScanning」を使用してください。コードをスキャンするには、「InspectorCodeExclusion」キーと値「LambdaCodeScanning」を使用してください。
HAQM Inspector を使用して、Lambda 関数のセキュリティ脆弱性を評価するにはどうすればよいですか?
マルチアカウント構造では、AWS 組織内のすべてのアカウントに対して、HAQM Inspector コンソールまたは API からDelegated Administrator (DA) アカウントを通じて HAQM Inspector for Lambda 脆弱性評価を有効にし、他のメンバーアカウントは、中央セキュリティチームがまだ自分のアカウントに対して HAQM Inspector を有効化していない場合に、自分のアカウントに対して HAQM Inspector を有効にすることができます。AWS 組織に属さないアカウントは、HAQM Inspector コンソールまたは API を通じて、個々のアカウントに対して HAQM Inspector を有効化することができます。
Lambda 関数に複数のバージョンがある場合、HAQM Inspector はどのバージョンを評価するのでしょうか?
HAQM Inspector は、$LATEST バージョンのみを継続的に監視し、評価します。自動再スキャンは最新バージョンのみで継続されるため、新しい知見は最新バージョンのみで生成されます。コンソールでは、ドロップダウンからバージョンを選択することで、どのバージョンからの検出結果も見ることができるようになります。
Lambda 標準スキャンをアクティブ化せずに Lambda コードスキャンをアクティブ化することはできますか?
いいえ。オプションには 2 つあります。Lambda 標準スキャンのみを有効化するか、Lambda 標準スキャンとコードスキャンを同時に有効にするかのどちらかです。Lambda 標準スキャンは、Lambda 関数およびアソシエーションレイヤーとしてデプロイされたアプリケーションで使用される脆弱な依存関係に対する基本的なセキュリティ保護を提供します。Lambda コードスキャンは、Lambda 関数内のカスタム専用アプリケーションコードをスキャンして、インジェクションの欠陥、データ漏えい、弱い暗号化、埋め込みシークレットなどのコードセキュリティの脆弱性を見つけることで、セキュリティ上の価値をさらに高めます。
SSM インベントリ収集頻度をデフォルトの 30 分から 12 時間に変更すると、HAQM Inspector による継続的なスキャンにどのような影響がありますか?
デフォルトの SSM インベントリ収集頻度を変更すると、スキャンの継続的な性質に影響を与える可能性があります。HAQM Inspector は、SSM Agent を利用してアプリケーションインベントリを収集し、結果を生成します。アプリケーションインベントリの期間がデフォルトの 30 分から増加すると、アプリケーションインベントリへの変更の検出が遅れ、新しい検出結果が遅れる可能性があります。
HAQM Inspectorのリスクスコアとは何ですか?
HAQM Inspector リスクスコアは、一般的な脆弱性とエクスポージャー (CVE) 情報をネットワーク到達可能性の結果、悪用可能性データ、およびソーシャルメディアの傾向と相関させることにより、各検出結果に対して生成される高度にコンテキスト化されたスコアです。これにより、検出結果に優先順位を付け、最も重要な検出結果と脆弱なリソースに集中することが容易になります。Inspector のリスクスコアがどのように計算され、どの要因がスコアに影響を与えたかは、[Findings Details] サイドパネルの [Inspector Score] タブで確認できます。
例えば、HAQM EC2 インスタンスで識別された新しい CVE があり、これはリモートでのみ悪用できるとします。HAQM Inspector の継続的なネットワーク到達可能性スキャンでも、インスタンスがインターネットから到達可能ではないことが検出された場合、脆弱性が悪用される可能性が低いことがわかります。したがって、HAQM Inspector はスキャン結果を CVE と相関させて、リスクスコアを下方修正し、その特定のインスタンスに対する CVE の影響をより正確に反映します。
検出結果の重要度はどのように決定されますか?
| HAQM Inspector スコア | 重要度 |
|---|---|
| 0 | 情報 |
| 0.2~3.9 | 低 |
| 4.0~6.9 | 中 |
| 7.0~8.9 | 高 |
| 9.0~10.0 | 非常事態 |
抑制ルールはどのように機能しますか?
HAQM Inspector では、定義したカスタマイズされた基準に基づいて結果を抑制することができます。組織で受け入れ可能と見なされる結果の抑制ルールを作成できます。
検出結果をエクスポートするにはどうすればよいですか? また、何が含まれていますか?
HAQM Inspector コンソールまたは HAQM Inspector API を使用して数回クリックするだけで、複数の形式 (CSV または JSON) でレポートを生成できます。すべての検出結果を含む完全なレポートをダウンロードするか、コンソールで設定したビューフィルターに基づいてカスタマイズされたレポートを生成してダウンロードできます。
Lambda 標準スキャンをアクティブ化せずに Lambda コードスキャンをアクティブ化することはできますか?
いいえ。オプションには 2 つあります。Lambda 標準スキャンのみを有効化するか、Lambda 標準スキャンとコードスキャンを同時に有効にするかのどちらかです。Lambda 標準スキャンは、Lambda 関数およびアソシエーションレイヤーとしてデプロイされたアプリケーションで使用される脆弱な依存関係に対する基本的なセキュリティ保護を提供します。Lambda コードスキャンは、Lambda 関数内のカスタム専用アプリケーションコードをスキャンして、インジェクションの欠陥、データ漏えい、弱い暗号化、埋め込みシークレットなどのコードセキュリティの脆弱性を見つけることで、セキュリティ上の価値をさらに高めます。
リソースの SBOM をエクスポートする方法を教えてください。また、それらには何が含まれますか?
HAQM Inspectorで監視されているすべてのリソースのSBOMを、HAQM InspectorコンソールやHAQM Inspector APIを介して、複数の形式(CycloneDxまたはSPDX)で簡単な手順で生成およびエクスポートすることができます。すべてのリソースの SBOM を含む完全なレポートをダウンロードすることも、設定したビューフィルタに基づいて一部のリソースの SBOM を選択的に生成してダウンロードすることもできます。
アカウントのエージェントレススキャンを有効にするにはどうすればよいですか?
1 つのアカウントを使用している既存の HAQM Inspector のお客様は、HAQM Inspector コンソールのアカウント管理ページにアクセスするか、API を使用して、エージェントレススキャン (プレビュー) を有効にできます。
AWS Organizations を使用している既存の HAQM Inspector のお客様の場合、委任管理者は組織全体をエージェントレスソリューションに完全に移行するか、SSM エージェントベースのソリューションのみを引き続き使用する必要があります。スキャンモードの設定は、コンソールの EC2 設定ページまたは API を使用して変更できます。
HAQM Inspector を初めてご利用のお客様の場合、エージェントレススキャンのプレビュー期間中、EC2 スキャンを有効にすると、インスタンスはエージェントベースのスキャンモードでスキャンされます。必要に応じてハイブリッドスキャンモードに切り替えることができます。ハイブリッドスキャンモードでは、HAQM Inspector はアプリケーションインベントリ収集に SSM エージェントを利用して脆弱性評価を行い、SSM エージェントがインストールまたは設定されていないインスタンスでは自動的にエージェントレススキャンにフォールバックします。
エージェントレススキャンの頻度はどれくらいですか?
HAQM Inspector は、エージェントレススキャン (プレビュー) 対象としてマークされたインスタンスについて、24 時間ごとに自動的にスキャンを開始します。SSM エージェントベースのスキャン対象としてマークされたインスタンスの連続スキャンの動作に変更はありません。
EC2 スキャンにハイブリッドスキャンモードを使用している場合、エージェントを使用してスキャンされているインスタンスとエージェントレスを使用してスキャンされているインスタンスはどこで確認できますか?
スキャンモードは、HAQM Inspector コンソールのリソースカバレッジページにアクセスするか、HAQM Inspector カバレッジ API を使用するだけで、「監視対象」列で確認できます。
マルチアカウントセットアップのメンバーアカウントが、それぞれのアカウントの EC2 スキャンのスキャンモードを変更することはできますか?
いいえ、マルチアカウント設定では、委任された管理者のみが組織全体のスキャンモード構成を設定できます。
HAQM Inspector をコンテナイメージスキャン用の CI/CD ツールに統合するにはどうすればよいですか?
アプリケーションチームとプラットフォームチームは、Jenkins や TeamCity などのさまざまな CI/CD ツール用に設計された専用の HAQM Inspector プラグインを使用して、HAQM Inspector をビルドパイプラインに統合できます。これらのプラグインは、各 CI/CD ツールのマーケットプレイスで入手できます。プラグインをインストールしたら、コンテナイメージの評価を実行するステップをパイプラインに追加し、評価結果に基づいてパイプラインをブロックするなどのアクションを実行できます。評価で脆弱性が特定されると、実用的なセキュリティ調査検出結果が生成されます。これらの検出結果には、脆弱性の詳細、修復の推奨事項、悪用可能性の詳細が含まれます。これらは JSON 形式と CSV 形式の両方で CI/CD ツールに返され、HAQM Inspector プラグインによって人間が読めるダッシュボードに変換することも、チームがダウンロードすることもできます。
コンテナーイメージのスキャンに HAQM Inspector の CI/CD 統合を使用するには、HAQM Inspector を有効にする必要がありますか?
いいえ、アクティブな AWS アカウントがあれば、この機能を使用するために HAQM Inspector を有効にする必要はありません。
HAQM Inspector を VPC エンドポイントとしてセットアップして、プライベート HAQM EC2 インスタンスをスキャンできますか?
はい。HAQM Inspector は、SSM Agent を使用してアプリケーションインベントリを収集します。これは、インターネットを介した情報の送信を回避するために、HAQM 仮想プライベートクラウド (VPC) エンドポイントとして設定できます。
HAQM Inspector はどのオペレーティングシステムをサポートしていますか?
サポートされているオペレーティングシステム (OS) のリストはこちらにあります。
HAQM Inspector がコンテナイメージスキャン用にサポートしているプログラミング言語パッケージはどれですか?
サポートされているプログラミング言語パッケージのリストは、こちらにあります。
HAQM Inspector は、ネットワークアドレス変換 (NAT) を使用するインスタンスで動作しますか?
はい。NAT を使用するインスタンスは、HAQM Inspector によって自動的にサポートされます。
インスタンスでプロキシを使用します。そのインスタンスで HAQM Inspector は機能しますか?
はい。詳細については、プロキシを使用するように SSM Agent を設定するを参照してください。
ログ記録と通知のために HAQM Inspector に他の AWS のサービスを統合できますか?
HAQM Inspector は HAQM EventBridge と統合して、新しい結果、結果の状態の変更、抑制ルールの作成などのイベントの通知を送信します。HAQM Inspector は、呼び出しログ記録のために AWS CloudTrail とも統合されています。
HAQM Inspector は「CIS オペレーティングシステムのセキュリティ設定ベンチマーク」スキャンを提供していますか?
はい。HAQM Inspector を実行すると、AWS Organization 全体の HAQM EC2 インスタンスについて、OS レベルの CIS 設定ベンチマークに照らして、対象を絞ったオンデマンド評価を実施できます。
HAQM Inspector は、AWS パートナーソリューションと連携していますか?
はい。詳細については、HAQM Inspector パートナーを参照してください。
HAQM Inspectorを無効にすることはできますか?
はい。HAQM Inspector サービスを停止することで、すべてのスキャンタイプ (HAQM EC2 スキャン、HAQM ECR コンテナイメージスキャン、Lambda 関数スキャン) を停止することができますが、アカウントに対して各スキャンタイプを個別に停止することもできます。
HAQM Inspector を一時停止できますか?
いいえ。HAQM Inspector は一時停止状態をサポートしていません。