Amazon Inspector を使用した AWS Lambda 関数のスキャン - Amazon Inspector
Lambda 関数スキャンのスキャン動作サポートされているランタイムと関数

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector を使用した AWS Lambda 関数のスキャン

Amazon Inspector の AWS Lambda 関数とレイヤーのサポートにより、継続的な自動化されたセキュリティ脆弱性評価が提供されます。Amazon Inspector では、2 種類の Lambda 関数スキャンを提供しています。

Amazon Inspector Lambda 標準スキャン

これはデフォルトの Lambda スキャンタイプです。Lambda 標準スキャンでは、Lambda 関数とレイヤー内のアプリケーションの依存関係をスキャンして、パッケージの脆弱性について調べます。

Amazon Inspector Lambda コードスキャン

このスキャンタイプでは、Lambda 関数やレイヤー内のカスタムアプリケーションコードをスキャンして、コードの脆弱性について調べます。Lambda 標準スキャンをアクティブ化することも、Lambda コードスキャンと同時に Lambda 標準スキャンをアクティブ化することもできます。

Lambda 関数スキャンをアクティブ化すると、Amazon Inspector はアカウントに以下の AWS CloudTrail サービスにリンクされたチャネルを作成します: cloudtrail:CreateServiceLinkedChannel および cloudtrail:DeleteServiceLinkedChannel。Amazon Inspector はこれらのチャネルを管理し、それらを使用して CloudTrail イベントのスキャンをモニタリングします。これらのチャネルにより、CloudTrail で証跡があったかのように、アカウントの CloudTrail イベントを表示できます。CloudTrail で独自の証跡を作成して、アカウントのイベントを管理することをお勧めします。

Lambda 関数スキャンをアクティブ化する方法については、「スキャンタイプをアクティブ化する」を参照してください。このセクションでは、Lambda 関数のスキャンについて説明します。

Lambda 関数スキャンのスキャン動作

Amazon Inspector はアクティベーション時に、アカウント内で過去 90 日間に呼び出された、または更新されたすべての Lambda 関数をスキャンします。Amazon Inspector は、次のような状況で Lambda 関数の脆弱性スキャンを開始します。

  • Amazon Inspector が既存の Lambda 関数を検出した時。

  • 新しい Lambda 関数が Lambda サービスにデプロイされた場合。

  • 既存の Lambda 関数またはそのレイヤーのアプリケーションコードまたは依存関係に更新がデプロイされた場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE が関数に関連している場合。

Amazon Inspector は、各 Lambda 関数が削除されるかスキャンから除外されるまで、そのライフタイム期間を通じてモニタリングします。

Lambda 関数の脆弱性の最終確認日は、[アカウント管理] ページの [Lambda 関数] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Lambda 関数の [最終スキャン日] フィールドを更新します。

  • Amazon Inspector が Lambda 関数の初回スキャンを完了した時。

  • Lambda 関数の更新時。

  • Amazon Inspector が Lambda 関数を再スキャンしたとき。これは、その関数に影響する新しい CVE 項目が Amazon Inspector データベースに追加されたためです。

サポートされているランタイムと対象となる関数

Amazon Inspector は、Lambda 標準スキャンと Lambda コードスキャンのさまざまなランタイムをサポートしています。各スキャンタイプでサポートされているランタイムのリストについては、「サポートされているランタイム: Amazon Inspector Lambda 標準スキャン」と「サポートされているランタイム: Amazon Inspector Lambda コードスキャン」を参照してください。

Lambda 関数が Amazon Inspector スキャンの対象となるには、ランタイムがサポートされていることに加えて、以下の基準を満たす必要があります。

  • この関数は過去 90 日間に呼び出されたか、または更新されています。

  • この関数は $LATEST にマークされています。

  • この関数はタグによるスキャンから除外されていません。

注記

過去 90 日間に呼び出されたり変更されたりしていない Lambda 関数は、自動的にスキャンから除外されます。Amazon Inspector は、再度呼び出されたり、Lambda 関数コードに変更が加えられたりする場合に、自動的に除外された関数のスキャンを再開します。