翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Inspector での検出結果の管理
Amazon Inspector を使用すると、検出結果をさまざまな方法で管理できます。検出結果は、そのステータスに基づいてフィルタリングできます。検出結果は、フィルター条件に基づいて検索できます。抑制ルールを作成して、検出結果のリストから検出結果を除外できます。検出結果を AWS Security Hub CSPM、Amazon EventBridge、Amazon Simple Storage Service (Amazon S3) にエクスポートすることもできます。
**Topics**
+ [
# Amazon Inspector の検出結果のフィルタリング
](findings-managing-filtering.md)
+ [
# Amazon Inspector 検出結果の抑制
](findings-managing-supression-rules.md)
+ [
# Amazon Inspector 検出結果レポートのエクスポート
](findings-managing-exporting-reports.md)
+ [
# Amazon EventBridge を使用して Amazon Inspector の検出結果に対するカスタムレスポンスを作成する
](findings-managing-automating-responses.md)
# Amazon Inspector の検出結果のフィルタリング
Amazon Inspector の検出結果は、フィルター条件を使用してフィルタリングできます。検出結果がフィルター条件と一致しない場合、Amazon Inspector は検出結果をビューから除外します。このセクションでは、フィルター条件を使用して Amazon Inspector 検出結果をフィルタリングする方法について説明します。
## Amazon Inspector コンソールでフィルターを作成
各検出結果ビューでは、フィルター機能を使用して特定の特性を持つ検出結果を検索できます。別のタブ付きビューに移動すると、フィルターは削除されます。
フィルタは、フィルタ属性とフィルタ値からなるフィルタ基準で構成されます。フィルター条件に一致しない検出結果は検出結果リストから除外されます。たとえば、管理者アカウントに関連付けられているすべての検出結果を表示するには、 AWS アカウント ID 属性を選択し、12 桁の AWS アカウント ID の値とペアリングします。
すべての検出結果に適用されるフィルター条件もあれば、特定のリソースタイプや検出結果タイプのみに適用されるフィルター条件もあります。
**検出結果ビューにフィルターを適用するには**
1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。
1. ナビゲーションペインで **調査検出結果** を選択します。デフォルトビューでは、「**アクティブ**」ステータスのすべての検出結果が表示されます。
1. 検索結果を条件でフィルタリングするには、*[フィルタを追加]* バーを選択すると、そのビューに適用可能なすべてのフィルタ条件のリストが表示されます。さまざまなビューで、さまざまなフィルター条件を使用できます。
1. フィルターに使う条件をリストから選択します。
1. 条件入力ペインから、その条件を定義するために必要なフィルター値を入力します。
1. **[適用]** を選択して、そのフィルター条件を現在の結果に適用します。フィルター入力バーをもう一度選択すると、他のフィルター条件を引き続き追加できます。
1. (オプション) 抑制された検出結果または終了した結果を表示するには、フィルターバーの **[アクティブ]** を選択し、次に **[抑制]** または **[終了]** を選択します。**[すべて表示]** を選択すると、アクティブな結果、抑制された結果、終了した結果が同じビューに表示されます。
# Amazon Inspector 検出結果の抑制
抑制ルールを作成して、条件に一致する検出結果を非表示にできます。例えば、抑制ルールを作成し、重要度評価に基づいて検出結果を非表示にできます。Amazon Inspector が抑制ルールに一致する検出結果を生成する場合、Amazon Inspector は検出結果を抑制し、非表示にします。Amazon Inspector では、抑制された検出結果は修復されるまで保存されます。抑制された検出結果が修正されると、Amazon Inspector は検出結果を終了します。抑制された検出結果は、コンソールで表示できます。
最も重要な検出結果を優先するための抑制ルールを作成します。抑制ルールは検出結果を非表示にするだけであり、検出結果には影響しません。検出結果を終了または修正する抑制ルールを作成することはできません。[Amazon EventBridge ルール AWS Security Hub CSPM を使用して、 で不要な検出結果を抑制](https://aws.amazon.com/blogs/security/how-to-create-auto-suppression-rules-in-aws-security-hub/)することもできます。このセクションの手順は、抑制ルールを作成、表示、編集、削除する方法を示しています。
**注記**
組織の委任管理者のみが抑制ルールを作成および管理できます。
## 抑制ルールを作成する
抑制ルールを作成して、デフォルトで表示される検出結果のリストを絞り込むことができます。[CreateFilter](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFilter.html) API を使用し、`action` の値として `SUPPRESS` を指定することで、抑制ルールをプログラムで作成できます。
**注記**
抑制ルールを作成および管理できるのは、スタンドアロンアカウントと Amazon Inspector の委任管理者のみです。組織のメンバーには、ナビゲーションペインに抑制ルールのオプションが表示されません。
**抑制ルールを作成するには (コンソール)**
1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。
1. ナビゲーションペインで、**[抑制ルール]** を選択します。次に、**[Create rule (ルールを作成)]** を選択します。
1. 各条件について、以下を実行します。
+ フィルターバーを選択すると、抑制ルールに追加できるフィルター条件のリストが表示されます。
+ 抑制ルールのフィルター条件を選択します。
1. 条件を追加し終えたら、ルールの名前と、必要に応じて説明を入力します。
1. **[ルールを保存]** を選択します。Amazon Inspector は、新しい抑制ルールを直ちに適用し、条件に一致する結果はすべて非表示にします。
## 抑制された検出結果を表示する
デフォルトでは、Amazon Inspector は抑制された検出結果を Amazon Inspector コンソールに表示しません。ただし、特定のルールによって抑制された結果は表示できます。
**抑制された検出結果を表示するには**
1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。
1. ナビゲーションペインで、**[抑制ルール]** を選択します。
1. 抑制ルールリストで、ルールのタイトルを選択します。
## 抑制ルールを編集する
抑制ルールはいつでも変更ができます。
**抑制ルールを変更するには**
1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。
1. ナビゲーションペインで、**[抑制ルール]** を選択します。
1. 変更する抑制ルールの名前を選択し、**[編集]** を選択します。
1. 変更を行ってから、[**保存**] を選択します。
## 抑制ルールを削除する
抑制ルールは削除できます。抑制ルールを削除すると、Amazon Inspector は、ルールの基準を満たし、他のルールによって抑制されていない、新規および既存の結果の抑制を停止します。
抑制ルールを削除したすると、ルールの基準を満たした検出結果の新規および現在の発生は、ステータスが **[アクティブ]** になります。これは、それらが Amazon Inspector コンソールにデフォルトで表示されることを意味します。さらに、Amazon Inspector はこれらの検出結果を AWS Security Hub CSPM と Amazon EventBridge にイベントとして公開します。
**抑制ルールを削除するには**
1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。
1. ナビゲーションペインで、**[抑制ルール]** を選択します。
1. 削除する抑制ルールのタイトルの横にあるチェックボックスをオンにします。
1. **[削除]** を選択し、その選択を確定してルールを完全に削除します。
# Amazon Inspector 検出結果レポートのエクスポート
検出結果レポートは、検出結果の詳細なスナップショットを提供する CSV または JSON ファイルです。検出結果レポートは AWS Security Hub CSPM、、Amazon EventBridge、Amazon Simple Storage Service (Amazon S3) にエクスポートできます。検出結果レポートを設定するときは、どの検出結果をレポートに含めるかを指定します。デフォルトでは、検出結果レポートには、すべてのアクティブな検出結果のデータが含まれます。組織の委任管理者である場合、検出結果レポートには、組織内のすべてのメンバーアカウントの検出結果データが含まれます。検出結果レポートをカスタマイズするには、[フィルター](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html)を作成して適用します。
検出結果レポートをエクスポートすると、Amazon Inspector は AWS KMS key 指定した を使用して検出結果データを暗号化します。Amazon Inspector が検出結果を暗号化すると、検出結果は指定された Amazon S3 バケットに保存されます。 AWS KMS キーは、Amazon S3 バケット AWS リージョン と同じ で使用する必要があります。 AWS KMS キーポリシーでは Amazon Inspector による使用を許可し、Amazon S3 バケットポリシーでは Amazon Inspector によるオブジェクトの追加を許可する必要があります。検出結果レポートをエクスポートしたら、Amazon S3 バケットからダウンロードするか、新しい場所に転送できます。Amazon S3 バケットを、エクスポートされた他の検出結果レポートのリポジトリとして使用することもできます。
このセクションでは、Amazon Inspector コンソールで検出結果レポートをエクスポートする方法について説明します。以下のタスクでは、アクセス許可の検証、Amazon S3 バケットの設定、 の設定 AWS KMS key、検出結果レポートの設定とエクスポートを行う必要があります。
**注記**
Amazon Inspector [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html) API を使用して検出結果レポートをエクスポートする場合、アクティブな検出結果の表示のみができます。抑制された検出結果または終了した検出結果を表示するには、[フィルター条件](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html)の一部として `SUPPRESSED` または `CLOSED` を指定する必要があります。
**Topics**
+ [
## ステップ 1: アクセス許可を確認する
](#findings-managing-exporting-permissions)
+ [
## ステップ 2: S3 バケットを設定する
](#findings-managing-exporting-bucket-perms)
+ [
## ステップ 3: を設定する AWS KMS key
](#findings-managing-exporting-KMS)
+ [
## ステップ 4: 調査結果レポートを設定しエクスポートする
](#findings-managing-exporting-console)
+ [エラーのトラブルシューティング](#findings-managing-access-error)
## ステップ 1: アクセス許可を確認する
**注記**
検出結果レポートの初回エクスポート後、ステップ 1~3 はオプションになります。これらのステップは、同じ Amazon S3 バケットと、エクスポートされた AWS KMS key 他の検出結果レポートのどちらを使用するかに基づいています。ステップ 1~3 の完了後に検出結果レポートをプログラムでエクスポートする場合は、Amazon Inspector API の [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html) オペレーションを使用してください。
Amazon Inspector から調査結果レポートをエクスポートする前に、調査結果レポートのエクスポートと、レポートの暗号化と保存のためのリソースの設定の両方に必要なアクセス許可があることを確認してください。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、調査結果レポートをエクスポートするために実行を許可されなければならない以下のアクションのリストと比較します。
**Amazon Inspector**
Amazon Inspector の場合、次のアクションの実行が許可されていることを確認します。
+ `inspector2:ListFindings`
+ `inspector2:CreateFindingsReport`
これらのアクションにより、アカウントの検出結果データを取得し、そのデータを調査結果レポートにエクスポートできます。
サイズの大きいレポートをプログラムでエクスポートする予定の場合は、レポートのステータスを確認する、`inspector2:CancelFindingsReport`、進行中のエクスポートをキャンセルする操作が許可されていることも確認してください。`inspector2:GetFindingsReportStatus`
**AWS KMS**
では AWS KMS、次のアクションを実行できることを確認します。
+ `kms:GetKeyPolicy`
+ `kms:PutKeyPolicy`
これらのアクションにより、Amazon Inspector にレポートの暗号化に使用させたい AWS KMS key のキーポリシーを取得して更新できます。
Amazon Inspector コンソールを使用してレポートをエクスポートするには、次の AWS KMS アクションを実行できることも確認します。
+ `kms:DescribeKey`
+ `kms:ListAliases`
これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択してレポートを暗号化できます。
レポートを暗号化するために新しい KMS キーを作成することを計画している場合、`kms:CreateKey` アクションの実行も許可される必要があります。
**Amazon S3**
Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。
+ `s3:CreateBucket`
+ `s3:DeleteObject`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
+ `s3:PutObjectAcl`
これらのアクションにより、Amazon Inspector でレポートを保存する S3 バケットを作成して設定できます。また、バケットにオブジェクトを追加したり、バケットからオブジェクトを削除したりすることもできます。
Amazon Inspector コンソールを使用してレポートをエクスポートする予定がある場合は、`s3:ListAllMyBuckets` および `s3:GetBucketLocation` アクションの実行が許可されていることも確認してください。これらのアクションにより、アカウントの S3 バケットに関する情報を取得して表示することができます。その後、レポートを保存するバケットを 1 つ選択できます。
必要なアクションの 1 つ以上を実行できない場合は、次のステップに進む前に、 AWS 管理者にサポートを依頼してください。
## ステップ 2: S3 バケットを設定する
アクセス許可を確認したら、調査結果レポートを保存する S3 バケットを設定します。自分のアカウントの既存のバケットでも、別の が所有するアクセスが許可されている既存のバケット AWS アカウント でもかまいません。レポートを新しいバケットに保存する場合は、先に進む前にバケットを作成してください。
S3 バケットは、エクスポートする検出結果データ AWS リージョン と同じ にある必要があります。例えば、Amazon Inspector を米国東部 (バージニア北部) リージョンで使用していて、そのリージョンの検出結果データをエクスポートする場合、バケットも米国東部 (バージニア北部) リージョンにある必要があります。
さらに、バケットのポリシーでは、Amazon Inspector がバケットにオブジェクトを追加することを許可する必要があります。このトピックでは、バケットポリシーを更新する方法について説明し、ポリシーに追加するステートメントの例も示します。バケットポリシーの追加と更新の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[バケットポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」を参照してください。
別のアカウントが所有する S3 バケットにレポートを保存する場合は、バケットの所有者と連携してバケットのポリシーを更新します。また、バケットの URI も取得します。レポートをエクスポートするときに、この URI を入力する必要があります。
**バケットポリシーを更新するには**
1. 認証情報を使用してサインインし、Amazon S3 コンソール ([https://console.aws.amazon.com/s3](https://console.aws.amazon.com//s3)) を開きます。
1. ナビゲーションペインで、**バケット**を選択します。
1. 調査結果レポートを保存する S3 バケットを選択します。
1. **アクセス許可** タブを選択します。
1. **バケットポリシー** セクションで、**編集** を選択します。
1. 次のステータス例をクリップボードにコピーします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:report/*"
}
}
}
]
}
```
------
1. Amazon S3 コンソールの**バケットポリシー**エディタで、前のステートメントをポリシーに貼り付けてポリシーに追加します。
ステートメントをポリシーに追加するときに、構文が有効であることを確認します。バケットポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。
1. 環境に合った正しい値でステートメントを更新します。
+ *amzn-s3-demo-bucket* はバケットの名前です。
+ *111122223333* は、お客様の AWS アカウントのアカウント ID です。
+ *リージョン*は、Amazon Inspector を使用していて、Amazon Inspector にバケットへのレポートの追加を許可する AWS リージョン です。例えば、米国東部 (バージニア北部) リージョンの場合は `us-east-1` です。
**注記**
手動で有効にした で Amazon Inspector を使用している場合は AWS リージョン、 `Service`フィールドの値に適切なリージョンコードも追加します。このフィールドは Amazon Inspector サービスプリンシパルを指定します。
たとえば、リージョンコード `me-south-1` が設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、ステートメントで `inspector2.amazonaws.com` を `inspector2.me-south-1.amazonaws.com` に置き換えます。
これらのステートメント例は、2 つの IAM グローバル条件キーを使用する条件を定義していることにご注意してください。
+ [[aws:SourceAccount]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — この条件により、Amazon Inspector はアカウントのレポートのみをバケットに追加することができます。これにより、Amazon Inspector が他のアカウントのバケットにレポートを追加できなくなります。具体的には、条件は、`aws:SourceArn` 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。
バケット内の追加アカウントのレポートを保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例えば、次のようになります。
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — この条件により、バケットに追加されているオブジェクトのソースに基づいて、バケットへのアクセスを制限します。これにより、他の AWS のサービス がバケットにオブジェクトを追加できなくなります。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます 具体的には、Amazon Inspectorは、オブジェクトが調査結果レポートであり、かつ、それらのレポートがアカウントによって作成され、かつ、条件で指定されたリージョンにある場合にのみ、オブジェクトをバケットに追加することができます。
Amazon Inspector が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに Amazon リソースネーム (ARN) をこの条件に追加します。例えば、次のようになります。
```
"aws:SourceArn": [
"arn:aws:inspector2:Region:111122223333:report/*",
"arn:aws:inspector2:Region:444455556666:report/*",
"arn:aws:inspector2:Region:123456789012:report/*"
]
```
`aws:SourceAccount` と `aws:SourceArn` の条件によって指定されたアカウントは、一致する必要があります。
どちらの条件も、Amazon Inspector が Amazon S3 とのトランザクション中に [[混乱した代理]](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。
1. バケットポリシーの更新が完了したら、**変更を保存する** を選択します。
## ステップ 3: を設定する AWS KMS key
アクセス許可を確認して S3 バケットを設定したら、Amazon Inspector で調査結果レポートを暗号化するためにどの AWS KMS key を使用するかを決定します。キーは、カスタマーマネージドキーで、対称暗号化 KMS キーである必要があります。さらに、キーは、レポートを保存するように設定した S3 バケット AWS リージョン と同じ にある必要があります。
キーは、ご自分のアカウントの既存の KMS キーでも、別のアカウントが所有する既存の KMS キーでもかまいません。新しい KMS キーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用したい場合は、そのキーの Amazon リソースネーム (ARN) を取得します。Amazon Inspector からレポートをエクスポートするときに、この ARN を入力する必要があります。KMS キー設定の作成と確認については、「*AWS Key Management Service デベロッパーガイド*」の「[キーの管理](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)」を参照してください。
使用する KMS キーを決定した後、Amazon Inspector にそのキーを使用するアクセス許可を付与します。そうしないと、Amazon Inspector がレポートを暗号化しエクスポートすることができません。Amazon Inspector にキーを使用するアクセス許可を付与するには、キーのキーポリシーを更新します。キーポリシーと KMS キーへのアクセス管理の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMSのキーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。
**注記**
以下の手順は、Amazon Inspector が既存のキーを使用できるように更新するためのものです。既存のキーがない場合は、「*AWS Key Management Service デベロッパーガイド*」の「[キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。
**キーポリシーを更新するには**
1. 認証情報を使用してサインインし、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。
1. レポートの暗号化に使用する KMS キーを選択します。キーは対称暗号化 (**SYMMETRIC\$1DEFAULT**) キーである必要があります。
1. **アクセスポリシー** タブで **編集** を選択します。**[編集]** ボタンのあるキーポリシーが表示されない場合は、まず **[ポリシービューへの切り替え]** を選択する必要があります。
1. 次のステートメント例をクリップボードにコピーします。
```
{
"Sid": "Allow Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
}
}
}
```
1. AWS KMS コンソールの**キーポリシー**エディタで、前述のステートメントをキーポリシーに貼り付けてポリシーに追加します。
ステートメントをポリシーに追加するときに、構文が有効であることを確認します。キーポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。
1. 環境に合った正しい値でステートメントを更新します。
+ *111122223333* は、お客様の AWS アカウントのアカウント ID です。
+ *リージョン*は、Amazon Inspector AWS リージョン が キーを使用してレポートを暗号化できるようにする です。例えば、米国東部 (バージニア北部) リージョンの場合は `us-east-1` です。
**注記**
手動で有効にした で Amazon Inspector を使用している場合は AWS リージョン、 `Service`フィールドの値に適切なリージョンコードも追加します。たとえば、リージョンコードが設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、`inspector2.amazonaws.com` を `inspector2.me-south-1.amazonaws.com` に置き換えます。
前のステップのバケットポリシーのサンプルステートメントと同様に、この例の `Condition` フィールドでは 2 つの IAM グローバル条件キーを使用しています。
+ [[aws:SourceAccount]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — この条件により、Amazon Inspector がお客様のアカウントに対してのみ指定されたアクションを実行することを許可します。具体的には、`aws:SourceArn` 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。
Amazon Inspector が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例えば、次のようになります。
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — この条件により、他の AWS のサービス が指定されたアクションを実行するのを防ぎます。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、Amazon Inspector は、オブジェクトが調査結果レポートであり、それらのレポートがアカウントによって作成され、条件で指定されたリージョンにある場合にのみ、S3 オブジェクトをキーで暗号化することができます。
Amazon Inspector が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例えば、次のようになります。
```
"aws:SourceArn": [
"arn:aws:inspector2:us-east-1:111122223333:report/*",
"arn:aws:inspector2:us-east-1:444455556666:report/*",
"arn:aws:inspector2:us-east-1:123456789012:report/*"
]
```
`aws:SourceAccount` と `aws:SourceArn` の条件によって指定されたアカウントは、一致する必要があります。
これらの条件は、 トランザクション中に Amazon Inspector が[混乱した代理](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。
1. キーポリシーの更新が完了したら、**[変更を保存する]** を選択します。
## ステップ 4: 調査結果レポートを設定しエクスポートする
**注記**
検出結果レポートは一度に 1 つしかエクスポートできません。エクスポートが進行中の場合は、エクスポートが完了するまで待ってから別の検出結果レポートをエクスポートする必要があります。
アクセス許可を確認し、調査結果レポートを暗号化して保存するリソースを設定したら、レポートを設定してエクスポートします。
**調査結果レポートの設定とエクスポートをするには**
1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。
1. ナビゲーションペインで **[検出結果]** の **[すべての検出結果]** を選択します。
1. (オプション) **検出結果** テーブルの上にあるフィルターバーを使用して、レポートに含める検出結果を指定する[フィルター条件を追加](findings-managing-filtering.md)します。条件を追加すると、Amazon Inspector は条件に一致する検出結果のみを含むようにテーブルを更新します。このテーブルには、レポートに含まれるデータのプレビューが表示されます。
**注記**
フィルター条件を追加することをお勧めします。そうしないと、レポートには、ステータスが**アクティブ** AWS リージョン である現在の のすべての検出結果のデータが含まれます。お客様が組織の Amazon Inspector 管理者である場合、これには、組織内のすべてのメンバーアカウントの検出結果データが含まれます。
レポートにすべてまたは多数の検出結果データが含まれている場合、レポートの生成とエクスポートには時間がかかり、エクスポートは一度に 1 つのレポートしか生成できません。
1. **[検出結果をエクスポート]** を選択します。
1. **[エクスポート設定]** セクションの **[エクスポートファイルタイプ]** で、レポートのファイル形式を指定します。
+ データを含む JavaScript オブジェクト表記法 (.json) ファイルを作成するには、**[JSON]** を選択します。
**[JSON]** オプションを選択した場合、レポートには各検出結果のすべてのフィールドが含まれます。使用可能な JSON フィールドのリストについては、Amazon Inspector API リファレンスの「[検出結果](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Finding.html)データタイプ」を参照してください。
+ データを含むカンマ区切り値 (CSV) ファイルを作成するには、**[CSV]** を選択します。
**CSV** オプションを選択した場合、レポートには各検出結果のフィールドのサブセット、つまり検出結果の主要な属性を報告する約 45 のフィールドのみが含まれます。フィールドには、*[検出結果のタイプ]、[タイトル]、[重要度]、[ステータス]、[説明]、[初回確認日]、[最終確認日]、[使用可能な修正]、[ AWS アカウント ID]、[リソース ID]、[リソースタグ]*、および *[対策]* が含まれます。これらのフィールドに加え、各検出結果のスコアリングの詳細と参照 URL をキャプチャするフィールドもあります。以下は、検出結果レポートの CSV ヘッダーのサンプルです。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/inspector/latest/user/findings-managing-exporting-reports.html)
1. **[エクスポートの場所]** の **[S3 URI]** で、レポートを保存する S3 バケットを指定します。
+ アカウントが所有するバケットにレポートを保存するには、**[S3 の参照]** を選択します。Amazon Inspector は、アカウントの S3 バケットのテーブルを表示します。使用したいバケットを選択し、**[選択]** を選択します。
**ヒント**
レポートの Amazon S3 パスプレフィックスも指定するには、**[S3 URI]** ボックスの値にスラッシュ (/) とプレフィックスを追加します。その後、Amazon Inspector はレポートをバケットに追加するときにプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。
たとえば、 AWS アカウント ID をプレフィックスとして使用し、アカウント ID が *111122223333* である場合は、**S3 URI** ボックスの値**/111122223333**に を追加します。
*[プレフィックス]* は、バケット内のディレクトリパスと類似しています。これにより、類似ファイルをファイルシステム上のフォルダにまとめて保存する場合と同様に、バケット内の類似オブジェクトをまとめてグループ化できます。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[フォルダを使用して Amazon S3 コンソールのオブジェクトを整理する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)」を参照してください。
+ 別のアカウントが所有するバケットにレポートを保存するには、そのバケットの URI を入力します。たとえば **s3://DOC-EXAMPLE\$1BUCKET**、*DOC-EXAMPLE\$1BUCKET* はバケットの名前です。バケット所有者は、この情報をバケットのプロパティで確認できます。
1. **KMS キー**で、レポートの暗号化 AWS KMS key に使用する を指定します。
+ ご自分のアカウントのキーを使用するには、リストからキーを選択します。リストには、アカウントのカスタマーマネージド、対称暗号化 KMS キーが表示されます。
+ 別のアカウントによって所有されているキーを使用するには、キーの Amazon リソースネーム (ARN) を入力します。キーの所有者は、キーのプロパティでこの情報をユーザーに代わって確認できます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[キー ID と ARN の検索](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)」を参照してください。
1. **[エクスポート]** を選択します。
Amazon Inspector は調査結果レポートを生成し、指定した KMS キーで暗号化して、指定した S3 バケットに追加します。レポートに含めるように選択した検出結果の数によっては、このプロセスに数分または数時間かかる場合があります。エクスポートが完了すると、Amazon Inspector は調査結果レポートが正常にエクスポートされたことを示すメッセージを表示します。オプションで、メッセージ内の **[レポートを表示]** を選択し、Amazon S3 のレポートに移動します。
一度に 1 つのレポートしかエクスポートできないことに注意してください。エクスポートが進行中の場合は、エクスポートが完了するまで待ってから別のレポートをエクスポートしてください。
## エクスポートエラーのトラブルシューティング
調査結果レポートをエクスポートしようとしたときにエラーが発生した場合、Amazon Inspector では、エラーを説明するメッセージが表示されます。このトピックに記載されている情報を参考にして、考えられるエラーの原因と解決策を特定してください。
たとえば、S3 バケットが現在の にあり AWS リージョン 、バケットのポリシーで Amazon Inspector がバケットにオブジェクトを追加できることを確認します。また、現在のリージョンで AWS KMS key が有効になっていることを確認し、キーポリシーが Amazon Inspector にキーの使用を許可していることを確認します。
エラーに対処したら、もう一度レポートのエクスポートを試します。
### 「Cannot have multiple reports」エラー
レポートを作成しようとしても、Amazon Inspector が既にレポートを生成している場合、「**Reason: Cannot have multiple reports in-progress**」というエラーが表示されます。このエラーは、Amazon Inspector がアカウントに対して一度に 1 つのレポートしか生成できないために発生します。
エラーを解決するには、他のレポートが終了するのを待つか、キャンセルしてから新しいレポートをリクエストしてください。
[GetFindingsReportStatus](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetFindingsReportStatus.html) オペレーションを使用してレポートのステータスを確認できます。この操作は、現在生成中のすべてのレポートのレポート ID を返します。
必要な場合は、[CancelFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CancelFindingsReport.html) オペレーションを使用し、`GetFindingsReportStatus` オペレーションで指定されたレポート ID を使用して、進行中のエクスポートをキャンセルできます。
# Amazon EventBridge を使用して Amazon Inspector の検出結果に対するカスタムレスポンスを作成する
Amazon Inspector は、新たに生成された検出結果や集計された検出結果に対して、[Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) のイベントを作成します。Amazon Inspector は、検出結果の状態に対する変更のイベントも作成します。つまり、リソースの再起動やリソースに関連付けられているタグの変更などのアクションを実行すると、検出結果に関する新しいイベントが生成されます。Amazon Inspector が更新された検出結果の新しいイベントを作成すると、検出結果 `id` は同じままになります。
**注記**
アカウントが Amazon Inspector の委任管理者アカウントである場合、EventBridge はお客様のアカウントと、イベントの発行元であるメンバーアカウントにイベントを発行します。
Amazon Inspector で EventBridge イベントを使用すると、タスクを自動化し、検出結果によって明らかになったセキュリティ上の問題に対応できるようになります。EventBridge イベントに基づいて Amazon Inspector の検出結果に関する通知を受け取るには、[EventBridge ルール](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)を作成し、Amazon Inspector のターゲットを指定する必要があります。EventBridge ルールにより、EventBridge は Amazon Inspector の検出結果通知を送信でき、ターゲットは通知の送信先を指定します。
Amazon Inspector は、現在 Amazon Inspector を使用している のデフォルトのイベントバスにイベントを出力 AWS リージョン します。つまり、Amazon Inspector を AWS リージョン アクティブ化し、EventBridge イベントを受信するように Amazon Inspector を設定した各 のイベントルールを設定する必要があります。Amazon Inspector は、ベストエフォートベースでイベントを発行します。
このセクションでは、イベントスキーマの例と、EventBridge ルールの作成方法について説明します。
## イベントスキーマ
以下は、EC2 の検出結果イベントの Amazon Inspector イベントフォーマットの例です。他の検出結果タイプやイベントタイプのスキーマの例については、「[Amazon Inspector イベントのAmazon EventBridge イベントスキーマ](eventbridge-integration.md)」を参照してください。
```
{
"version": "0",
"id": "66a7a279-5f92-971c-6d3e-c92da0950992",
"detail-type": "Inspector2 Finding",
"source": "aws.inspector2",
"account": "111122223333",
"time": "2023-01-19T22:46:15Z",
"region": "us-east-1",
"resources": ["i-0c2a343f1948d5205"],
"detail": {
"awsAccountId": "111122223333",
"description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
"exploitAvailable": "YES",
"exploitabilityDetails": {
"lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
},
"findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
"firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
"fixAvailable": "YES",
"lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
"packageVulnerabilityDetails": {
"cvss": [{
"baseScore": 4.7,
"scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
"source": "NVD",
"version": "3.1"
}],
"referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
"relatedVulnerabilities": [],
"source": "UBUNTU_CVE",
"sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
"vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
"vendorSeverity": "medium",
"vulnerabilityId": "CVE-2022-3303",
"vulnerablePackages": [{
"arch": "X86_64",
"epoch": 0,
"fixedInVersion": "0:5.15.0.1027.31~20.04.16",
"name": "linux-image-aws",
"packageManager": "OS",
"remediation": "apt update && apt install --only-upgrade linux-image-aws",
"version": "5.15.0.1026.30~20.04.16"
}]
},
"remediation": {
"recommendation": {
"text": "None Provided"
}
},
"resources": [{
"details": {
"awsEc2Instance": {
"iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
"imageId": "ami-0b7ff1a8d69f1bb35",
"ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
"ipV6Addresses": [],
"launchedAt": "Jan 19, 2023, 7:53:14 PM",
"platform": "UBUNTU_20_04",
"subnetId": "subnet-8213f2a3",
"type": "t2.micro",
"vpcId": "vpc-ab6650d1"
}
},
"id": "i-0c2a343f1948d5205",
"partition": "aws",
"region": "us-east-1",
"type": "AWS_EC2_INSTANCE"
}],
"severity": "MEDIUM",
"status": "ACTIVE",
"title": "CVE-2022-3303 - linux-image-aws",
"type": "PACKAGE_VULNERABILITY",
"updatedAt": "Jan 19, 2023, 10:46:15 PM"
}
}
```
## Amazon Inspector の検出結果を通知する EventBridge ルールの作成
Amazon Inspector の検出結果の可視性を高めるために、EventBridge を使用して自動検出結果アラートを設定し、メッセージングハブに送信することができます。このトピックでは、E メール、Slack、または Amazon Chime に、`CRITICAL` および `HIGH` の重要度の検出結果に対するアラートを送信する方法を説明します。Amazon Simple Notification Service のトピックを設定し、EventBridge イベントルールに関連付ける方法を説明します。
### ステップ 1. Amazon SNS トピックおよびエンドポイントの設定
自動アラートを設定するには、まず Amazon Simple Notification Service でトピックを設定し、エンドポイントを追加する必要があります。詳細については、「[SNS ガイド](https://docs.aws.amazon.com//sns/latest/dg/sns-getting-started.html)」を参照してください。
この手順では、Amazon Inspector の検出結果データを送信したい場所を設定します。SNS トピックは、イベントルールの作成中または作成後に EventBridge イベントルールに追加できます。
------
#### [ Email setup ]
**SNS トピックの作成**
1. [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) で Amazon SNS コンソール にサインインします。
1. ナビゲーションペインから **[トピック]** 、**[トピックの作成]** を選択します。
1. **[トピックの作成]** セクションで **[標準]** を選択します。次に、**Inspector\$1to\$1Email** のようなトピック名を入力します。その他の詳細はオプションです。
1. **[Create Topic]** (トピックの作成) を選択します。新しいトピックの詳細が表示された新しいパネルが開きます。
1. **[サブスクリプション]** セクションで、**[サブスクリプションの作成]** を選択します。
1.
1. **[Protocol]** (プロトコル) メニューから **[Email]** (E メール) を選択します。
1. **[エンドポイント]** フィールドに、通知を受信する E メールアドレスを入力します。
**注記**
サブスクリプションを作成後、E メールクライアントを通じてサブスクリプションを確認する必要があります。
1. [**Create subscription**] を選択してください。
1. 受信トレイでサブスクリプションのメッセージを検索し、**[サブスクリプションを確認]** を選択します。
------
#### [ Slack setup ]
**SNS トピックの作成**
1. [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) で Amazon SNS コンソール にサインインします。
1. ナビゲーションペインから **[トピック]** 、**[トピックの作成]** を選択します。
1. **[トピックの作成]** セクションで **[標準]** を選択します。次に、**Inspector\$1to\$1Slack** のようなトピック名を入力します。その他の詳細はオプションです。**[トピックを作成]** を選択してエンドポイントの作成を完了します。
**Amazon Q Developer in chat applications クライアントを設定する**
1. [https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/) の Amazon Q Developer in chat applications コンソールに移動します。
1. **[設定されたクライアント]** ペインから **[新しいクライアントを設定]** を選択します。
1. **[Slack]** を選択して確認し、**[設定]** を選択します。
**注記**
Slack を選択するときは、[**許可**] を選択して、チャネルにアクセスするために Amazon Q Developer in chat applications のアクセス許可を確認する必要があります。
1. **[新しいチャネルを設定]** を選択し、設定の詳細ペインを開きます。
1. チャンネルの名前を入力します。
1. **[Slack チャネル]** で、使用したいチャネルを選択します。
1. Slack で、チャネル名を右クリックして **[リンクのコピー]** を選択して、コピーのリンクを選択することでプライベートチャンネルのチャネル ID をコピーします。
1. チャットアプリケーションの AWS マネジメントコンソール Amazon Q Developer ウィンドウで、Slack からコピーしたチャネル ID を**プライベートチャネル ID **フィールドに貼り付けます。
1. **[アクセス許可]** で、まだロールを持っていない場合は、テンプレートを使用して IAM ロールを作成することを選択します。
1. **[ポリシー]** テンプレートで、**[通知の許可]** を選択します。これは、Amazon Q Developer in chat applications の IAM ポリシーテンプレートです。このポリシーは、CloudWatch アラーム、イベント、ログ、および Amazon SNS トピックに必要な読み取りおよびリスト許可を提供します。
1. **チャネルガードレールポリシー**には、**AmazonInspector2ReadOnlyAccess** を選択します。
1. 以前に SNS トピックを作成したリージョンを選択し、Slack チャネルに通知を送信するために作成した Amazon SNS トピックを選択します。
1. **[Configure]** (設定) を選択します。
------
#### [ Amazon Chime setup ]
**SNS トピックの作成**
1. [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) で Amazon SNS コンソール にサインインします。
1. ナビゲーションペインから **[トピック]**、**[トピックの作成]** を選択します。
1. **[トピックの作成]** セクションで **[標準]** を選択します。次に、**Inspector\$1to\$1Chime** のようなトピック名を入力します。その他の詳細はオプションです。**[トピックを作成**] を選択して完了します。
**Amazon Q Developer in chat applications クライアントを設定する**
1. [https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/) の Amazon Q Developer in chat applications コンソールに移動します。
1. **[Configured clients]** (設定されたクライアント) パネルから **[Configure new client]** (新しいクライアントを設定) を選択します。
1. **[Chime]**、**[設定]** を選択して確認します。
1. **[Configuration details]** (設定の詳細) ペインから、チャンネルの名前を入力します。
1. Amazon Chime で目的のチャットルームを開きます。
1. 右上の歯車アイコンを選択してから、**[Manage webhooks and bots]** (ウェブフックとボットの管理) を選択します。
1. **[Copy URL]** (URL をコピー)を選択し、Webhook URL をクリップボードにコピーします。
1. チャットアプリケーションの AWS マネジメントコンソール Amazon Q Developer ウィンドウで、コピーした URL を **Webhook URL** フィールドに貼り付けます。
1. **[アクセス許可]** で、まだロールを持っていない場合は、テンプレートを使用して IAM ロールを作成することを選択します。
1. **[ポリシー]** テンプレートで、**[通知の許可]** を選択します。これは、Amazon Q Developer in chat applications の IAM ポリシーテンプレートです。CloudWatch アラーム、イベント、ログ、および Amazon SNS トピックに必要な読み取りおよびリスト許可を提供します。
1. 以前に SNS トピックを作成したリージョンを選択し、Amazon Chime ルームに通知を送信するために作成した Amazon SNS トピックを選択します。
1. **[設定]** を選択します。
------
### ステップ 2. Amazon Inspector の検出結果の EventBridge ルールを作成する
1. 自分の認証情報を使用してサインインします。
1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。
1. ナビゲーションペインから **[ルール]** を選択し、**[ルールの作成]** を選択します。
1. ルールの名前と必要に応じて説明を入力します。
1. **[イベントパターンを持つルール]** を選択してから、**[次へ]** を選択します。
1. **[イベントパターン]** ペインで **[カスタムパターン (JSON エディタ)]** を選択します。
1. 以下の JSON をエディタに貼り付けます。
```
{
"source": ["aws.inspector2"],
"detail-type": ["Inspector2 Finding"],
"detail": {
"severity": ["HIGH", "CRITICAL"],
"status": ["ACTIVE"]
}
}
```
**注記**
このパターンは、Amazon Inspector によって検出されたアクティブな `CRITICAL` または `HIGH` 重要度の検出結果に関する通知を送信します。
イベントパターンの入力が終了したら、**[次へ]** を選択します。
1. **[ターゲットを選択]** ページで、**[AWS のサービス]** を選択します。次に、**[ターゲットタイプの選択]** で **[SNS トピック]** を選択します。
1. **[トピック]** で、ステップ 1 で作成した SNS トピックの名前を選択します。次いで、**[次へ]** を選択します。
1. 必要に応じてオプションのタグを追加し、**[次へ]** を選択します。
1. ルールを確認し、**[ルールの作成]** を選択します。
## Amazon Inspector マルチアカウント環境の EventBridge
Amazon Inspector の委任された管理者である場合、EventBridge ルールはメンバーアカウントの該当する検出結果に基づいてアカウントに表示されます。前のセクションで説明したように、管理者アカウントの EventBridge を通じて検出結果通知を設定すると、複数のアカウントに関する通知が届きます。つまり、ご自身のアカウントで生成された結果とイベントに加え、メンバーアカウントによって生成された結果とイベントが通知されます。
結果の JSON 詳細から `accountId` を使用して、Amazon Inspector の検出結果の元となったメンバーアカウントを特定することができます。