翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン
<a name="scanning-ecr"></a>

 Amazon Inspector は、Amazon Elastic Container Registry に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、[パッケージ脆弱性の検出結果](https://docs.aws.amazon.com/)を生成します。Amazon ECR のスキャンをアクティブ化するときは、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。

**注記**  
 Amazon ECR はレジストリポリシーを使用して、 AWS プリンシパルにアクセス許可を付与します。このプリンシパルには、スキャンのために Amazon Inspector API を呼び出すために必要な許可が付与されています。レジストリポリシーの範囲を設定するときは、 `ecr:*` アクションまたは `PutRegistryScanningConfiguration` を `deny` に追加しないでください。Amazon ECR のスキャンを有効または無効にしたときに、レジストリレベルでエラーが発生します。

 基本スキャンでは、プッシュ時にスキャンするか、手動スキャンを実行するようにレポジトリを設定できます。拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの脆弱性をレジストリレベルでスキャンします。基本スキャンと拡張スキャンの違いを並べて比較するには、「[Amazon Inspector に関するよくある質問](https://aws.amazon.com/inspector/faqs/)」を参照してください。

**注記**  
 基本スキャンは Amazon ECR を通じて提供され、請求されます。詳細については、「[Amazon Elastic Container Registry の料金](https://aws.amazon.com/ecr/pricing/)」を参照してください。拡張スキャンは Amazon Inspector を通じて提供され、請求されます。詳細については、「[Amazon Inspector の料金](https://aws.amazon.com/inspector/pricing/)」を参照してください。

 Amazon ECR スキャンをアクティブ化する方法については、「[スキャンタイプをアクティブ化する](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)」を参照してください。検出結果を表示する方法については、「[Amazon Inspector の検出結果の表示](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)」を参照してください。Amazon ECR で検出結果をイメージレベルで表示する方法の詳細については、「*Amazon Elastic Container Registry ユーザーガイド*」の「[イメージスキャン](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)」を参照してください。検出結果は、 [AWS Security Hub CSPM や Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html) などの基本スキャンに AWS のサービス 使用できない を使用して管理できます。

 Amazon Inspector の各リポジトリのスキャン設定は、カバレッジページと API で表示できます。ただし、基本スキャンと連続スキャンの設定は、Amazon ECR でのみ変更可能です。Amazon Inspector ではこれらの設定を可視化できますが、直接変更することはできません。詳細については、「*Amazon ECR ユーザーガイド*」の「[Amazon ECR でイメージをスキャンしてソフトウェアの脆弱性がないか調べる](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)」を参照してください。

 このセクションでは、Amazon ECR スキャンに関する情報と、Amazon ECR リポジトリの拡張スキャンを設定する方法について説明します。

## Amazon ECR スキャンのスキャン動作
<a name="ecr-scan-behavior"></a>

 Amazon ECR スキャンを初めてアクティブ化すると、Amazon Inspector は過去 14 日間にプッシュされたイメージをスキャンします。次に、Amazon Inspector はイメージをスキャンし、スキャンステータスを `ACTIVE` に設定します。Amazon Inspector は ECR でアクティブなイメージのみをスキャンします (`imageStatus` フィールドは )`ACTIVE`。ECR のアーカイブ済みステータス (`imageStatus` フィールドは `ARCHIVED`) のイメージは、Amazon Inspector によってスキャンされません。

 連続スキャンが有効になっている場合、Amazon Inspector は 最後にプッシュされたのが 14 日以内 (デフォルト)、最終使用日が 14 日以内 (デフォルト) の場合、または設定された再スキャン期間内にイメージがスキャンされる場合に限り、イメージをモニタリングします。2025 年 5 月 16 日より前に作成された Amazon Inspector アカウントの場合、デフォルト設定では、イメージが過去 90 日以内にプッシュまたはプルされた場合に再スキャンしてイメージをモニタリングします。詳細については、「[Amazon ECR 再スキャン期間の設定](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)」を参照してください。

継続的スキャンの場合、Amazon Inspector は、以下の状況でコンテナイメージの新しい脆弱性スキャンを開始します。
+ 新しいコンテナイメージがプッシュされる場合。
+ Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。
+ コンテナイメージが ECR でアーカイブからアクティブに移行するたびに。

リポジトリをプッシュスキャン用に設定した場合、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性の最終確認日は、**[アカウント管理]** ページの **[コンテナイメージ]** タブから、または [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの **[最終スキャン日]** フィールドを更新します。
+ Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。
+ Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

### アーカイブされた ECR コンテナイメージ
<a name="archived-ecr-images"></a>

 Amazon Inspector は、ECR にアーカイブされたコンテナイメージをスキャンしません (`imageStatus` は です`ARCHIVED`)。ECR のアクティブなイメージがアーカイブに移行すると、Amazon Inspector は検出結果を自動的に閉じ、3 日後に検出結果を削除します。アーカイブされたコンテナイメージが ECR でアクティブに移行すると、Amazon Inspector は新しいスキャンをトリガーします。

## 実行中のコンテナへのコンテナイメージのマッピング
<a name="ecr-mapping-container-images"></a>

 Amazon Inspector は、Amazon Elastic Container Service (Amazon ECS) と Amazon Elastic Kubernetes Service (Amazon EKS) 全体で実行中のコンテナにコンテナイメージをマッピングすることで、包括的なコンテナセキュリティ管理を提供します。これらのマッピングにより、実行中のコンテナ上のイメージの脆弱性に関するインサイトを得ることができます。

**注記**  
 管理ポリシー `AWSReadOnlyAccess` だけでは、Amazon ECR イメージと実行中のコンテナ間のマッピングを表示するための十分なアクセス許可が不足しています。コンテナイメージマッピング情報を表示するには、`AWSReadOnlyAccess` と `AWSInspector2ReadOnlyAccess` の両方の管理ポリシーが必要です。

 運用リスクに基づいて修復作業に優先順位を付け、コンテナエコシステム全体のセキュリティカバレッジを維持できます。現在使用されているコンテナイメージの数と、過去 24 時間に Amazon ECS または Amazon EKS クラスターで最後に使用されたコンテナイメージを表示できます。デプロイされている Amazon ECS タスクと Amazon EKS ポッドの数を表示することもできます。この情報は、コンテナイメージの検出結果の詳細画面にある Amazon Inspector コンソールで確認できます。また、[https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) データタイプに対して `ecrImageInUseCount` および `ecrImageLastInUseAt` フィルターを使用して確認することもできます。新しいコンテナイメージまたはアカウントの場合、データが利用可能になるまでに最大 36 時間かかることがあります。その後、このデータは 24 時間に 1 回更新されます。詳細については、「[Amazon Inspector の検出結果の表示](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)」および「[Amazon Inspector の検出結果の詳細の表示](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html)」を参照してください。

**注記**  
 このデータは、Amazon ECR スキャンをアクティブ化し、リポジトリを継続的スキャン用に設定すると、Amazon ECR の検出結果に自動的に送信されます。継続的スキャンは、Amazon ECR リポジトリレベルで設定する必要があります。詳細については、「*Amazon Elastic Container Registry ユーザーガイド*」の「[拡張スキャン](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html)」を参照してください。

 最終使用日に基づいて、クラスターから[コンテナイメージを再スキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)することもできます。

 この機能は、Amazon ECS および Amazon EKS の Fargate でもサポートされています。

## サポートされているオペレーティングシステムとメディアタイプ
<a name="ecr-supported-media"></a>

 サポートされるオペレーティングシステムの詳細については、「[サポートされているオペレーティングシステム: Amazon Inspector による Amazon ECR スキャン](supported.md#supported-os-ecr)」を参照してください。

 Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

**イメージマニフェスト**
+  `"application/vnd.oci.image.manifest.v1+json"` 
+  `"application/vnd.docker.distribution.manifest.v2+json"` 

**イメージ設定**
+  `"application/vnd.docker.container.image.v1+json"` 
+  `"application/vnd.oci.image.config.v1+json"` 

**イメージレイヤー**
+  `"application/vnd.docker.image.rootfs.diff.tar"` 
+  `"application/vnd.docker.image.rootfs.diff.tar.gzip"` 
+  `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar"` 
+  `"application/vnd.oci.image.layer.v1.tar+gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar+zstd"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"` 

**注記**  
 Amazon Inspector は、Amazon ECR リポジトリのスキャン用の `"application/vnd.docker.distribution.manifest.list.v2+json"` メディアタイプをサポートしていません。

# Amazon ECR 再スキャン期間の設定
<a name="scanning_resources_configure_duration_setting_ecr"></a>

 Amazon ECR 再スキャン期間の設定により、Amazon Inspector がリポジトリのコンテナイメージを継続的にモニタリングする期間が決定します。イメージの最終使用日、最終プル日、およびプッシュ日に対して、再スキャンの期間を設定します。ベストプラクティスとして、環境に最適な再スキャン期間を設定します。

 イメージを頻繁にビルドする場合は、短いスキャン期間を選択します。長期間使用される画像の場合は、長いスキャン期間を選択します。組織に追加された新しいアカウントを含む新しいアカウントのデフォルトのスキャン期間は 14 日間です。

 Amazon Inspector は、14 日以内にイメージが最後にクラスターで使用された、またはプッシュされた場合（デフォルト）、引き続きそのイメージをモニタリングおよび再スキャンします。設定されたプッシュ日と最終使用日内に、実行中のコンテナでイメージがプッシュまたは使用されていない場合、Amazon Inspector はイメージのモニタリングを停止します。必要に応じて、最終使用日ではなく最終プル日でイメージをモニタリングするように設定を変更するオプションがあります。Amazon Inspector がイメージのモニタリングを停止すると、イメージのスキャンステータスコードは非アクティブに、理由コードは期限切れに設定されます。次に、Amazon Inspector は、関連するすべてのイメージ検出結果を終了するようスケジュールします。

 プッシュ日の期間を延ばすと、Amazon Inspector は、継続スキャン用に設定されたリポジトリでアクティブにスキャンされているすべてのイメージにその変更を適用します。ただし、非アクティブなイメージは、新しい期間内にプッシュした場合でも非アクティブのままになります。

 委任管理者アカウントから再スキャン期間を設定すると、その設定は組織内のすべてのメンバーアカウントに適用されます。委任管理者アカウントが Amazon ECR スキャンを有効にしていない場合、API イメージのクラスターを表示することはできません。

 マルチアーキテクチャイメージでは、最終使用日の追跡はサポートされていません。マルチアーキテクチャイメージを使用する場合は、適切な再スキャン動作を確保するために、最終使用日ではなくイメージのプルイベントまたはプッシュイベントに基づいてスキャンを設定することをお勧めします。

**注記**  
 2025 年 5 月 16 日より前に設定されたすべての再スキャン期間設定は変更されません。以前に設定したデフォルト設定を引き続き使用できます。

**イメージの再スキャン期間**  
 イメージの再スキャン期間は、Amazon Inspector がイメージをモニタリングする期間を決定します。イメージの再スキャン期間には、**[最終使用日]** (デフォルト) または **[最終プル日]** の2 つのモードが含まれます。Amazon ECS/Amazon EKS クラスターアクティビティから最終使用日を使用する場合は、**[最終使用日]** (デフォルト) を選択します。Amazon ECR イメージの最後のプル日を使用してイメージを再スキャンする場合は、**[最終プル日]** を選択します。再スキャン期間として、以下のオプションが利用できます。
+  14 日間 (デフォルト) 
+  30 日間 
+  60 日 
+  90 日間 
+  180 日間 

**イメージプッシュ日の期間**  
 イメージプッシュ日の期間により、リポジトリにプッシュされた後、Amazon Inspector がイメージを継続的にモニタリングする期間が決まります。再スキャン期間として、以下のオプションが利用できます。
+  14 日間 (デフォルト) 
+  30 日間 
+  60 日 
+  90 日間 
+  180 日間 
+  有効期間 

**Amazon ECR の再スキャン期間を設定するには**

1.  認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。

1.  Amazon ECR の再スキャン期間 AWS リージョン を設定する を選択します。

1.  ナビゲーションペインから、**[全般設定]**、**[ECR スキャン設定]** の順に選択します。

1.  **[ECR 再スキャン期間]**で、イメージの再スキャンモードを選択し、対応する期間を選択します。

1.  **[画像プッシュ日]** で、イメージのプッシュ日を選択します。

1.  **[保存]** を選択します。

## ECR コンテナイメージの状態について
<a name="ecr-image-states"></a>

 Inspector は ECR コンテナ`ACTIVE`イメージ内のイメージのみをスキャンします。`ARCHIVED` ステータスの ECR コンテナイメージはスキャンされません。スキャン動作の詳細については、「」を参照してください[Amazon ECR スキャンのスキャン動作](scanning-ecr.md#ecr-scan-behavior)。

 ECR コンテナイメージの ECR イメージステータスが に移行すると`ACTIVE`、Inspector は `lastActivatedAt`フィールドを使用して再スキャン期間をモニタリングします。