Amazon Inspector の検出結果タイプ

このセクションでは、Amazon Inspector のさまざまな検出結果タイプについて説明します。

パッケージ脆弱性

パッケージ脆弱性の検出結果は、共通脆弱性識別子 (CVEs) にさらされる AWS 環境内のソフトウェアパッケージを識別します。攻撃者は、こうしたパッチが適用されていない脆弱性を利用し、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があります。CVE システムは、セキュリティの脆弱性や露出についての既知の情報を参照する方法です。詳細については、https://www.cve.org/ を参照してください。

Amazon Inspector では、EC2 インスタンス、ECR コンテナイメージ、および Lambda 関数についてパッケージ脆弱性検出結果を生成できます。パッケージ脆弱性検出結果には、この検出結果タイプに固有の詳細が追加されており、インスペクタスコアと脆弱性インテリジェンスがこれに該当します。

コードの脆弱性

コード脆弱性の検出結果は、悪用される可能性のあるコード行を特定するのに役立ちます。コードの脆弱性には、暗号化の欠落、データリーク、インジェクションの欠陥、暗号化の弱さなどがあります。Amazon Inspector は、Lambda 関数のスキャンとそのコードセキュリティ機能を通じてコード脆弱性の検出結果を生成します。

Amazon Inspector は、自動推論と機械学習を使用して Lambda 関数アプリケーションコードを評価し、アプリケーションコードを分析して全体的なセキュリティコンプライアンスを確認します。Amazon CodeGuru と共同で開発された内部ディテクターに基づいて、ポリシー違反と脆弱性を識別します。可能な検出のリストについては、「CodeGuru Detector Library」を参照してください。

コードスキャンは、検出された脆弱性を強調するためにコードのスニペットをキャプチャします。たとえば、コードスニペットでは、ハードコードされた認証情報やその他の機密マテリアルがプレーンテキストで表示される場合があります。CodeGuru は、コードの脆弱性に関連するコードスニペットを保存します。デフォルトでは、コードは AWS 所有キーで暗号化されます。ただし、この情報をより詳細に制御したい場合は、カスタマーマネージドキーを作成してコードを暗号化できます。詳細については、「検出結果のコードの保管時の暗号化」を参照してください。

ネットワーク到達可能性

ネットワーク到達可能性の検出結果は、環境内の Amazon EC2 インスタンスへのネットワークパスが開いていることを示しています。インターネットゲートウェイ (Application Load Balancer または Classic Load Balancer の背後にあるインスタンスを含む)、VPC ピアリング接続、または仮想ゲートウェイを介した VPN など、VPC エッジから TCP および UDP ポートに到達可能な場合、これらの結果が表示されます。これらの結果では、セキュリティグループ、アクセス制御リスト、インターネットゲートウェイなどの管理が不適切であったり、潜在的に悪意のあるアクセスを許している可能性があるなど、過度に寛容なネットワーク設定をハイライトします。

Amazon Inspector は、Amazon EC2 インスタンスのネットワーク到達可能性の検出結果のみを生成します。Amazon Inspector は、Amazon Inspector を有効にすると、12 時間ごとにネットワーク到達可能性の検出結果のスキャンを実行します。

Amazon Inspector は、ネットワークパスをスキャンする際に以下の設定を評価します。