翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Inspector との統合
Amazon Inspector は他の AWS サービスと統合されます。これらのサービスは Amazon Inspector からデータを取り込むことができるため、さまざまな方法で検出結果を表示できます。詳細については、次の統合オプションを参照してください。
## での Amazon Inspector の使用 AWS Organizations
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、 AWS 環境を一元管理および管理するのに役立ちます。 AWS Organizations ポリシーを使用して、組織内の複数のアカウントで Amazon Inspector を自動的に有効化および管理できます。
Amazon Inspector の組織ポリシーでは、次のことができます。
+ 組織全体で Amazon Inspector スキャンタイプ (EC2、ECR、Lambda、コードリポジトリ) を一元的に有効にする
+ 組織に参加する新しいアカウントに Amazon Inspector の有効化を自動的に適用する
+ 組織単位全体で一貫したスキャンカバレッジを適用する
+ メンバーアカウントが必要なスキャンを無効にできないようにする
組織ポリシーはリソースタイプの有効化を制御し、委任管理者はスキャン設定の制御を保持します。組織ポリシーが委任管理者およびメンバーアカウントのアクセス許可とやり取りする方法については、「」を参照してください[を使用した Amazon Inspector での複数のアカウントの管理 AWS Organizations](managing-multiple-accounts.md)。Amazon Inspector ポリシーを作成する詳細な手順については、Amazon Inspector ポリシーの AWS Organizations ドキュメントを参照してください。
## Amazon Inspector と Amazon ECR の統合
[Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) は、プライベートレジストリをサポートする AWSマネージドコンテナイメージレジストリです。Amazon ECR プライベートレジストリは、可用性の高いスケーラブルなアーキテクチャでコンテナイメージをホストします。Amazon Inspector を使用して、Amazon ECR リポジトリにあるコンテナイメージをスキャンし、脆弱なオペレーティングシステムパッケージやプログラミング言語パッケージを確認することができます。詳細については、「[Amazon Elastic Container Registry (Amazon ECR) と、Amazon Inspector の統合](ecr-integration.md)」を参照してください。
## Amazon Inspector と の統合 AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、 のセキュリティ状態を包括的に把握 AWS し、Security Hub CSPM が AWS アカウント、サービス、およびサポートされている製品からセキュリティデータを収集するセキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub CSPM を使用すると、Amazon Inspector の検出結果データを取り込み、統合されたすべての AWS サービスと AWS Partner Network 製品で検出結果の一元化された場所を作成できます。詳細については、「[Amazon Inspector と の統合 AWS Security Hub CSPM](securityhub-integration.md)」を参照してください。
# Amazon Elastic Container Registry (Amazon ECR) と、Amazon Inspector の統合
Amazon Elastic Container Registry は、Docker および OCI イメージと AWS アーティファクトをサポートするフルマネージドコンテナレジストリです。Amazon ECR を使用する場合は、コンテナレジストリの[拡張スキャン](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html)をアクティブ化できます。拡張スキャンをアクティブ化すると、Amazon Inspector はコンテナイメージを自動的に検出し、脆弱なオペレーティングシステムパッケージやプログラミング言語パッケージをスキャンします。この統合により、コンテナイメージに関する Amazon Inspector の検出結果を表示し、Amazon ECR コンソールでのスキャンの頻度と範囲を管理できるようになります。詳細については、「[Amazon Inspector による Amazon ECR コンテナイメージのスキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html)」を参照してください。
## 統合をアクティブ化する
統合をアクティブ化するには、Amazon Inspector コンソールまたは API を使用して Amazon Inspector のスキャンをアクティブ化するか、Amazon ECR コンソールまたは API を使用して Amazon Inspector による**拡張スキャン**を使用するようにリポジトリを設定します。
Amazon Inspector を使用して統合をアクティブ化する方法の詳細については、「[Amazon Inspector の自動スキャンタイプ](scanning-resources.md)」を参照してください。
Amazon ECR での**拡張スキャン**のアクティブ化と設定については、「Amazon ECR ユーザーガイド」の「[拡張スキャン](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html)」を参照してください。
## マルチアカウント環境との統合を使用する
マルチアカウント環境のメンバーであれば、Amazon ECR から拡張スキャンをアクティブ化にできます。ただし、一度アクティブ化すると、Amazon Inspector の委任された管理者だけが非アクティブ化できます。非アクティブ化すると、「基本的なスキャン」に戻ります。詳細については、「[Amazon Inspector の非アクティブ化](deactivating-best-practices.md)」を参照してください。
# Amazon Inspector と の統合 AWS Security Hub CSPM
Security Hub CSPM は、 のセキュリティ状態の包括的なビューを提供します AWS。これは、セキュリティ業界の標準とベストプラクティスに対してお使いの環境をチェックする上で役立ちます。Security Hub CSPM は、 AWS アカウント、サービス、およびサポートされている製品からセキュリティデータを収集します。この情報を使用して、セキュリティの傾向を分析し、セキュリティの問題を特定できます。Amazon Inspector と Security Hub CSPM の統合を有効にすると、Amazon Inspector は Security Hub CSPM に結果を送信し、Security Hub CSPM はセキュリティ体制の一部としてこれらの結果を分析できます。
Security Hub CSPM は、セキュリティ問題を検出結果として追跡します。一部の検出結果は、他の AWS サービスまたはサードパーティー製品で検出されたセキュリティ上の問題が原因である可能性があります。Security Hub CSPM は、一連のルールを使用してセキュリティ問題を検出し、検出結果を生成してツールを提供するため、検出結果を管理できます。Security Hub CSPM は、Amazon Inspector で検出結果がクローズされると、Amazon Inspector の検出結果をアーカイブします。[検出結果の履歴と検出結果の詳細を表示](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html)したり、[検出結果の調査ステータスを追跡](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html)したりすることもできます。
Security Hub CSPM は、[AWS Security Finding 形式 (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) で検出結果を処理します。この形式には、一意の識別子、重要度レベル、影響を受けるリソース、修正のためのガイド、ワークフローステータス、コンテキスト情報などの詳細が含まれます。
**注記**
[Amazon Inspector コードセキュリティ](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html)によって生成されたセキュリティ検出結果は、この統合では使用できません。ただし、これらの特定の検出結果には、Amazon Inspector コンソールおよび [Amazon Inspector API](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html) からアクセスできます。
**Topics**
+ [での Amazon Inspector の検出結果の表示 AWS Security Hub CSPM](#integrations-security-hub-viewing-findings)
+ [Amazon Inspector と Security Hub CSPM の統合のアクティブ化と設定](#integrations-security-hub-activating-configuring)
+ [組織ポリシーを使用した Security Hub CSPM からの Amazon Inspector のアクティブ化](#integrations-security-hub-org-policy)
+ [統合先からの検出結果フローの無効化](#integrations-security-hub-stopping-publication)
+ [Security Hub CSPM での Amazon Inspector のセキュリティコントロールの表示](#integrations-security-hub-inspector-controls)
## での Amazon Inspector の検出結果の表示 AWS Security Hub CSPM
Amazon Inspector Classic と Amazon Inspector の検出結果は、Security Hub CSPM で表示できます。
**注記**
Amazon Inspector の検出結果のみをフィルタリングするには、`"aws/inspector/ProductVersion": "2"` をフィルターバーに追加します。このフィルターは、Security Hub CSPM ダッシュボードから Amazon Inspector Classic の検出結果を除外します。
**Amazon Inspector の検出結果例**
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"ProductName": "Inspector",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "AWSInspector",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
],
"FirstObservedAt": "2023-01-31T20:25:38Z",
"LastObservedAt": "2023-05-04T18:18:43Z",
"CreatedAt": "2023-01-31T20:25:38Z",
"UpdatedAt": "2023-05-04T18:18:43Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "CVE-2022-34918 - kernel",
"Description": "An issue was discovered in the Linux kernel through 5.18.9. A type confusion bug in nft_set_elem_init (leading to a buffer overflow) could be used by a local attacker to escalate privileges, a different vulnerability than CVE-2022-32250. (The attacker can obtain root access, but must start with an unprivileged user namespace to obtain CAP_NET_ADMIN access.) This can be fixed in nft_setelem_parse_data in net/netfilter/nf_tables_api.c.",
"Remediation": {
"Recommendation": {
"Text": "Remediation is available. Please refer to the Fixed version in the vulnerability details section above. For detailed remediation guidance for each of the affected packages, refer to the vulnerabilities section of the detailed finding JSON."
}
},
"ProductFields": {
"aws/inspector/FindingStatus": "ACTIVE",
"aws/inspector/inspectorScore": "7.8",
"aws/inspector/resources/1/resourceDetails/awsEc2InstanceDetails/platform": "AMAZON_LINUX_2",
"aws/inspector/ProductVersion": "2",
"aws/inspector/instanceId": "i-0f1ed287081bdf0fb",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID",
"aws/securityhub/ProductName": "Inspector",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "AwsEc2Instance",
"Id": "arn:aws:ec2:us-east-1:123456789012:i-0f1ed287081bdf0fb",
"Partition": "aws",
"Region": "us-east-1",
"Tags": {
"Patch Group": "SSM",
"Name": "High-SEv-Test"
},
"Details": {
"AwsEc2Instance": {
"Type": "t2.micro",
"ImageId": "ami-0cff7528ff583bf9a",
"IpV4Addresses": [
"52.87.229.97",
"172.31.57.162"
],
"KeyName": "ACloudGuru",
"IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
"VpcId": "vpc-a0c2d7c7",
"SubnetId": "subnet-9c934cb1",
"LaunchedAt": "2022-07-26T21:49:46Z"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"Vulnerabilities": [
{
"Id": "CVE-2022-34918",
"VulnerablePackages": [
{
"Name": "kernel",
"Version": "5.10.118",
"Epoch": "0",
"Release": "111.515.amzn2",
"Architecture": "X86_64",
"PackageManager": "OS",
"FixedInVersion": "0:5.10.130-118.517.amzn2",
"Remediation": "yum update kernel"
}
],
"Cvss": [
{
"Version": "2.0",
"BaseScore": 7.2,
"BaseVector": "AV:L/AC:L/Au:N/C:C/I:C/A:C",
"Source": "NVD"
},
{
"Version": "3.1",
"BaseScore": 7.8,
"BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
"Source": "NVD"
},
{
"Version": "3.1",
"BaseScore": 7.8,
"BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
"Source": "NVD",
"Adjustments": []
}
],
"Vendor": {
"Name": "NVD",
"Url": "https://nvd.nist.gov/vuln/detail/CVE-2022-34918",
"VendorSeverity": "HIGH",
"VendorCreatedAt": "2022-07-04T21:15:00Z",
"VendorUpdatedAt": "2022-10-26T17:05:00Z"
},
"ReferenceUrls": [
"https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=7e6bc1f6cabcd30aba0b11219d8e01b952eacbb6",
"https://lore.kernel.org/netfilter-devel/cd9428b6-7ffb-dd22-d949-d86f4869f452@randorisec.fr/T/",
"https://www.debian.org/security/2022/dsa-5191"
],
"FixAvailable": "YES"
}
],
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
},
"ProcessedAt": "2023-05-05T20:28:38.822Z"
}
```
## Amazon Inspector と Security Hub CSPM の統合のアクティブ化と設定
[Security Hub CSPM を有効にする](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) AWS Security Hub CSPM ことで、 との Amazon Inspector 統合をアクティブ化できます。Security Hub CSPM を有効にすると、Amazon Inspector と の統合が自動的にアクティブ化され、Amazon Inspector AWS Security Hub CSPM は Security [AWS Finding Format (ASFF) を使用してすべての検出結果を Security](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) Hub CSPM に送信し始めます。
## 組織ポリシーを使用した Security Hub CSPM からの Amazon Inspector のアクティブ化
Security Hub CSPM コンソールから直接 AWS Organizations ポリシーを使用して、組織全体の Amazon Inspector アクティベーションを管理できます。この一元化されたアプローチにより、組織レベルのポリシー管理を通じて、複数のアカウントの Amazon Inspector スキャンを同時に有効にできます。
組織ポリシーを使用して Security Hub CSPM を介して Amazon Inspector のアクティベーションを管理する詳細な手順については、*AWS Security Hub CSPM 「 ユーザーガイド*」の[「Security Hub CSPM の委任管理者アカウントの管理](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html)」を参照してください。
## 統合先からの検出結果フローの無効化
Amazon Inspector が Security Hub CSPM に結果を送信しないようにするには、Security Hub CSPM [コンソール](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console)または [API および AWS CLI](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api) を使用できます。
## Security Hub CSPM での Amazon Inspector のセキュリティコントロールの表示
Security Hub CSPM は、サポートされている AWS およびサードパーティー製品の検出結果を分析し、ルールに対して自動的かつ継続的なセキュリティチェックを実行して、独自の検出結果を生成します。ルールは、標準の要件が満たされているかどうかの判断に役立つセキュリティコントロールによって表されます。
Amazon Inspector はセキュリティコントロールを使用して、Amazon Inspector 機能が有効になっているかどうか、または有効にする必要があるかどうかを確認します。主な機能は以下のとおりです。
+ Amazon EC2 スキャン
+ Amazon ECR スキャン
+ Lambda 標準スキャン
+ Lambda コードスキャン
詳細については、「*AWS Security Hub CSPM ユーザーガイド*」の「[Amazon Inspector のコントロール](https://docs.aws.amazon.com/securityhub/latest/userguide/inspector-controls.html)」を参照してください。