概要

HAQM Inspector は、ソフトウェアの脆弱性や、意図しないネットワークエクスポージャーについて、継続的に AWS ワークロードをスキャンする脆弱性管理サービスです。AWS マネジメントコンソールで数回クリックするだけで、組織内のすべてのアカウントで HAQM Inspector を利用できます。利用を開始すると、HAQM Elastic Compute Cloud (HAQM EC2) インスタンス、HAQM Elastic Container Registry (HAQM ECR) 内のコンテナイメージ、AWS Lambda 関数を自動的かつ大規模に検出し、直ちに評価を開始して既知の脆弱性がないかを確認します。

HAQM Inspector は、共通脆弱性識別子 (CVE) 情報を、ネットワークアクセスや悪用される可能性などの要素と相関させることにより、各検出結果について高度にコンテキスト化されたリスクスコアを計算します。このスコアは、極めて重大な脆弱性に優先順位を付け、是正対応の効率を向上させるために使用されます。すべての検出結果は HAQM Inspector コンソールに集約され、AWS Security Hub および HAQM EventBridge にプッシュされて、ワークフローが自動化されます。コンテナイメージで見つかった脆弱性も HAQM ECR に送信され、リソースの所有者はこれらの脆弱性を表示および是正できます。HAQM Inspector は、あらゆる規模のセキュリティチームやデベロッパーが、AWS 環境全体で包括的なインフラストラクチャワークロードのセキュリティとコンプライアンスを実現できるようにします。

Page Topics

主な特徴

主な特徴

Open all
HAQM Inspector は、HAQM EC2、Lambda 関数、コンテナワークロードなどのさまざまなリソースにまたがる包括的な脆弱性管理サービスです。ワークロードの侵害、悪意のある用途でのリソースの再利用、データの不正引き出しの促進に使用される可能性のある、ソフトウェアの脆弱性や意図しないネットワークエクスポージャーなど、さまざまな種類の脆弱性を特定します。
HAQM Inspector コンソールでの 1 つのステップまたは 1 回の API 呼び出しで、複数のアカウントにわたって HAQM Inspector を開始できます。HAQM Inspector を利用すると、Inspector Delegated Administrator (DA) アカウントを組織に割り当てることができます。このアカウントは、すべてのメンバーアカウントをシームレスに開始および設定し、すべての検出結果を統合できます。
HAQM Inspector は、開始されると、HAQM ECR 内のすべての HAQM EC2 インスタンス、Lambda 関数、コンテナイメージを自動的に検出します。すぐにスキャンを始め、ソフトウェアの脆弱性や意図しないネットワークエクスポージャーがないかを確認します。新しい CVE が公開されたときや、ワークロードに変更があったとき (EC2 インスタンスへの新しいソフトウェアのインストールなど) には、常にすべてのワークロードを再スキャンします。
HAQM Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用して、HAQM EC2 インスタンスからソフトウェアのインベントリと設定を収集します。収集されたアプリケーションインベントリと設定は、ワークロードの脆弱性を評価するために使用されます。

HAQM Inspector では、エージェントや追加のソフトウェアをインストールしなくても、HAQM EC2 インスタンスのソフトウェアの脆弱性を継続的にモニタリングできます。HAQM Inspector は EBS ボリュームのスナップショットを取得して、システムのデータとインスタンスの設定に関するデータを抽出し、脆弱性評価を実行します。この機能により、SSM エージェントがインストールまたは設定されていない EC2 インスタンスの HAQM Inspector エージェントレススキャンにより、EC2 インフラストラクチャ全体の脆弱性評価の対象範囲を拡大できます。
HAQM Inspector は、定義した基準に基づいた検出結果の抑制をサポートしています。これらの抑制ルールを作成して、組織が許容可能なリスクとみなす検出結果を抑制できます。
HAQM Inspector は、CVE 情報を、ネットワーク到達可能性の結果や悪用される可能性に関するデータなどの環境的な要因と相関させることにより、各検出結果について高度にコンテキスト化された HAQM Inspector リスクスコアを生成します。これは、検出結果に優先順位を付け、極めて重要な検出結果や脆弱なリソースを明らかにするのに役立ちます。HAQM Inspector スコアの計算 (およびスコアに影響した要因) は、[検出結果の詳細] サイドパネルの [HAQM Inspector スコア] タブで確認できます。
HAQM Inspector は、脆弱性にパッチが適用されているか、または脆弱性が是正されているかどうかを自動的に検出します。検出すると、検出結果の状態を自動的に [Closed] に変更します。手動介入は必要ありません。
HAQM Inspector は、組織全体の環境カバレッジの包括的なほぼリアルタイムの概要を提供するため、カバレッジのギャップを回避できます。HAQM Inspector によってアクティブにスキャンされているアカウント、HAQM EC2 インスタンス、HAQM ECR リポジトリ、コンテナイメージについてのメトリクスと詳細情報が提供されます。さらに、アクティブにモニタリングされていないリソースを強調して表示し、それらを含める方法についてのガイダンスを提供します。
すべての検出結果は HAQM Inspector コンソールに集約され、AWS Security Hub にルーティングされ、HAQM EventBridge を通じてプッシュされて、ワークフロー (チケット発行など) が自動化されます。

HAQM Inspector は Lambda 関数内のカスタムプロプライエタリアプリケーションコードをスキャンし、AWS セキュリティのベストプラクティスに基づいて、インジェクションの欠陥、データ漏えい、暗号化の強度不足、暗号化の欠落など、コードセキュリティの脆弱性がないかを確認します。Lambda 関数またはレイヤー内のコードの脆弱性を検出すると、HAQM Inspector は、セキュリティ検出器名、影響を受けるコードスニペット、脆弱性に対処するための是正案など、複数の詳細情報を含む、セキュリティに関する実用的な検出結果を生成します HAQM Inspector は、生成系 AI と自動推論を使用して、複数のクラスの脆弱性に対してコンテキストに応じたコードパッチを提供し、コードの脆弱性の修正に必要な労力を軽減します。基礎レイヤーで脆弱性に対処することは、すべてのダウンストリーム Lambda 関数のセキュリティを強化するのに役立ちます。 
HAQM Inspector は、ソフトウェア部品表 (SBOM) エクスポートを自動一元管理します。これにより、すべてのモニタリング対象リソースの統合 SBOM を、事前設定済みの HAQM S3 バケットに、業界標準フォーマット対応で簡単にエクスポートできます。SBOM アーティファクトのダウンロードや、HAQM Athena クエリの実行、HAQM QuickSight ダッシュボードの作成によって、貴重なインサイトを得て傾向を視覚化することができます。

HAQM Inspector は、Jenkins や TeamCity などの開発者ツールと統合してコンテナイメージを評価します。これにより、開発者はこれらの CI/CD ツール内でコンテナイメージを評価できるため、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化できます。結果はCI/CDツールのダッシュボードに表示されるため、ビルドのブロックやコンテナレジストリへのイメージのプッシュなど、重大なセキュリティ問題に対応して自動化されたアクションをすぐに実行できます。CI/CD ツールは、AWS、オンプレミス、ハイブリッドクラウドなど、どこでもホストできるため、開発者はすべての開発パイプラインで単一のソリューションを一貫して使用できます。

HAQM Inspector は、Center for Internet Security の CIS Benchmark をサポートしています。HAQM Inspector を実行すると、AWS Organization 全体の HAQM EC2 インスタンスについて、OS レベルの CIS 設定ベンチマークに照らして、対象を絞ったオンデマンド評価を実施できます。HAQM Inspector の CIS 評価は、HAQM Linux 2、Windows 2019、Windows 2022 を含むオペレーティングシステム全体で、レベル 1 と 2 の両方の設定ベンチマークチェックをサポートしています。