AWS の脆弱性評価を変更または無効にする

既存の AWS の脆弱性評価スキャンを変更する

次のセクションでは、AWS の脆弱性評価スキャンの構成を変更する方法について説明します。

  1. AWS の脆弱性評価を有効にして使用するで定義されている権限とロールがあることを確認します。

  2. Security Command Center の [設定] ページに移動します。

    [設定] に移動

  3. AWS の脆弱性評価を変更にする組織を選択します。[設定] ページの [サービス] タブが開きます。

  4. [設定] を選択します。

  5. [脆弱性評価] サービスカードで、[設定を管理] をクリックします。 [脆弱性評価] ページが開きます。

  6. [Amazon Web Services] タブを選択します。

  7. [Scan settings for AWS compute and storage] セクションで、[Edit scan settings] をクリックして、スキャンするリソースの範囲を変更します。

    最大 50 個の AWS タグと Amazon EC2 インスタンス ID を定義できます。スキャン設定の変更は、AWS CloudFormation テンプレートに影響しません。テンプレートを再デプロイする必要はありません。 タグまたはインスタンス ID の値が正しくなく(値のスペルが間違っているなど)、指定されたリソースが存在しない場合、その値はスキャン中に無視されます。
    オプション 説明
    スキャン間隔 各スキャンの時間間隔を入力します。有効な値の範囲は 6~24 です。デフォルト値は 6 です。スキャンの頻度を上げると、リソースの使用量が増加し、請求額が増加する可能性があります。
    AWS リージョン

    脆弱性評価スキャンに含めるリージョンのサブセットを選択します。

    選択したリージョンのインスタンスのみがスキャンされます。スキャンに含める 1 つ以上の AWS リージョンを選択します。

    Amazon Web Services(AWS)コネクタで特定のリージョンを構成した場合は、ここで選択したリージョンが、AWS への接続を構成したときに定義したリージョンと同じか、そのサブセットであることを確認してください。
    AWS タグ スキャンされるインスタンスのサブセットを識別するタグを指定します。これらのタグを持つインスタンスのみがスキャンされます。各タグの Key-Value ペアを入力します。無効なタグが指定されている場合、無視されます。指定できるタグは最大 50 個です。タグの詳細については、Amazon EC2 リソースにタグ付けするAmazon EC2 リソースのタグを追加または削除するをご覧ください。
    インスタンス ID で除外

    EC2 インスタンス ID を指定して、各スキャンから EC2 インスタンスを除外します。最大 50 個のインスタンス ID を指定できます。無効な値が指定された場合は、無視されます。複数のインスタンス ID を定義すると、それらは AND 演算子を使用して結合されます。

    • [ID でインスタンスを除外する] を選択した場合は、[AWS EC2 インスタンスを追加] をクリックして各インスタンスの ID を手動で入力してから、値を入力します。

    • [除外するインスタンス ID のリストを JSON 形式でコピーして貼り付ける] を選択した場合は、次のいずれかを行います。

      • インスタンス ID の配列を入力します。次に例を示します。

        [ "instance-id-1", "instance-id-2" ]

      • インスタンス ID のリストを含むファイルをアップロードします。ファイルの内容は、インスタンス ID の配列にする必要があります(例: )。

        [ "instance-id-1", "instance-id-2" ]
    SC1 インスタンスをスキャンする [SC1 インスタンスをスキャンする] を選択して、これらのインスタンスを含めます。SC1 インスタンスはデフォルトで除外されます。SC1 インスタンスの詳細
    ST1 インスタンスをスキャンする [ST1 インスタンスをスキャンする] を選択して、これらのインスタンスを含めます。ST1 インスタンスはデフォルトで除外されます。ST1 インスタンスの詳細
    Elastic Container Registry(ECR)のスキャン [Scan Elastic Container Registry instance] を選択して、ECR に保存されているコンテナ イメージとそのインストール済みパッケージをスキャンします。Elastic Container Registry の詳細

  8. [保存] をクリックします。

AWS の脆弱性評価スキャンを無効にする

AWS サービスの脆弱性評価を無効にするには、Security Command Center でサービスを無効にしてから、AWS で CloudFormation テンプレートを含むスタックを削除する必要があります。スタックが削除されなければ、AWS で引き続き費用が発生します。

AWS の脆弱性評価を無効にするには、次の手順を完了します。

  1. Security Command Center の [設定] ページに移動します。

    [設定] に移動

  2. AWS の脆弱性評価を無効にする組織を選択します。[設定] ページの [サービス] タブが開きます。

  3. [脆弱性評価] サービスカードで、[設定を管理] をクリックします。

  4. [Amazon Web Services] タブを選択します。

  5. [サービスの有効化] の [ステータス] フィールドで [無効] を選択します。

  6. AWS Management Console の [AWS CloudFormation テンプレート] ページに移動します。

  7. AWS の脆弱性評価の CloudFormation テンプレートを含むスタックを削除します。

    テンプレートを削除しないと、不要な費用が発生する場合があります。