脆弱性管理プログラムでの Amazon Inspector の使用

Amazon Inspector は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Container Registry (Amazon ECR) コンテナイメージ、 AWS Lambda 機能を継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークの露出を検出する脆弱性管理サービスです。Amazon Inspector を使用して、 AWS 環境全体のソフトウェアの脆弱性を可視化し、解決に優先順位を付けることができます。

Amazon Inspector は、リソースのライフサイクルを通じて環境を継続的に評価します。新しい脆弱性を引き起こす可能性のある変更に応じて、リソースを自動的に再スキャンします。例えば、EC2 インスタンスに新しいパッケージをインストールしたとき、パッチを適用したとき、またはリソースに影響を与える新しい共通脆弱性識別子 (CVE) が公開されたときに再スキャンします。Amazon Inspector により、脆弱性またはオープンネットワークパスが特定されると、調査可能な検出結果が生成されます。この検出結果は、以下を含む脆弱性に関する包括的な情報を提供します。

Amazon Inspector のセットアップ手順については、「Getting started with Amazon Inspector」を参照してください。このチュートリアルの「Activate Amazon Inspector」ステップでは、スタンドアロンアカウント環境とマルチアカウント環境の 2 つの設定オプションが用意されています。組織のメンバー AWS アカウント である複数の をモニタリングする場合は、マルチアカウント環境オプションを使用することをお勧めします AWS Organizations。

マルチアカウント環境に Amazon Inspector を設定するときは、組織内のアカウントを Amazon Inspector の委任管理者に指定します。委任管理者は、組織のメンバーの検出結果と一部の設定を管理できます。例えば、委任管理者は、すべてのメンバーアカウントの集計された検出結果の詳細を表示したり、メンバーアカウントのスキャンを有効または無効にしたり、スキャンされたリソースを確認したりできます。SRA では、Security Tooling AWS アカウントを作成し、Amazon Inspector の委任管理者として使用することをお勧めします。 https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html