Amazon Web Services(AWS)の脆弱性評価サービスは、次の AWS リソースの脆弱性を検出します。
- Amazon EC2 インスタンスにインストールされているソフトウェア パッケージ
- Elastic Container Registry(ECR)イメージのソフトウェア パッケージとオペレーティング システムの構成ミス
AWS の脆弱性評価サービスは、実行中の EC2 インスタンスのスナップショットをスキャンするため、本番環境ワークロードは影響を受けません。このスキャン方法は、ターゲット EC2 マシンにエージェントがインストールされていないため、エージェントレス ディスク スキャンと呼ばれます。
AWS の脆弱性評価サービスは、AWS Lambda サービスで実行され、スキャナをホストする EC2 インスタンスのデプロイ、ターゲット EC2 インスタンスのスナップショットの作成、スナップショットのスキャンを行います。
スキャン間隔は 6~24 時間の間で設定できます。
AWS の脆弱性評価は、検出された脆弱性ごとに、Security Command Center に検出結果を生成します。検出結果は、影響を受ける AWS リソースと脆弱性に関する詳細(関連する Common Vulnerability and Exposures(CVE)レコードの情報など)を含む脆弱性のレコードです。
AWS の脆弱性評価によって生成された検出結果の詳細については、AWS の脆弱性評価の検出結果をご覧ください。
AWS の脆弱性評価によって生成された検出結果
AWS の脆弱性評価サービスが AWS EC2 マシンまたは Elastic Container Registry イメージでソフトウェアの脆弱性を検出すると、サービスは Google Cloudの Security Command Center で検出結果を生成します。
個々の検出結果とそれに対応する検出モジュールは、Security Command Center のドキュメントに記載されません。
各検出結果には、検出されたソフトウェアの脆弱性に固有の次の情報が含まれます。
- 影響を受けるインスタンスまたはイメージの完全なリソース名
- 次の情報を含む脆弱性の説明。
- 脆弱性を含むソフトウェア パッケージ
- 関連する CVE レコードの情報
- Mandiant による脆弱性の影響度と悪用可能性の評価
- Security Command Center による脆弱性の重大度の評価
- 修復の優先順位付けに役立つ攻撃の発生可能性スコア
- 脆弱性によって露出する高価値リソースに攻撃者が到達する可能性のあるパスの視覚表現
- 問題の解決に役立つ手順(脆弱性に対処するために使用できるパッチやバージョン アップグレードなど)
AWS の脆弱性評価のすべての検出結果は、次のプロパティ値を共有します。
- カテゴリ
Software vulnerability- クラス
Vulnerability- クラウド サービス プロバイダ
Amazon Web Services- ソース
EC2 Vulnerability Assessment
Google Cloud コンソールで検出結果を表示する方法については、 Google Cloud コンソールで検出結果を確認するをご覧ください。
スキャン中に使用されるリソース
AWS の脆弱性評価は、スキャン中に Google Cloudと AWS の両方のリソースを使用します。
Google Cloud リソースの使用状況
AWS の脆弱性評価が Google Cloud で使用するリソースは、Security Command Center の費用に含まれます。
これらのリソースには、テナント プロジェクト、Cloud Storage バケット、Workload Identity 連携が含まれます。これらのリソースは Google Cloud によって管理され、アクティブ スキャン中にのみ使用されます。
AWS の脆弱性評価では、Cloud Asset API を使用して AWS アカウントとリソースに関する情報を取得します。
AWS リソースの使用状況
AWS では、AWS の脆弱性評価は AWS Lambda サービスと Amazon Virtual Private Cloud(Amazon VPC)サービスを使用します。スキャンが完了すると、AWS サービスの脆弱性評価はこれらの AWS サービスの使用を停止します。
AWS では、これらのサービスの使用に対して AWS アカウントに課金されますが、その使用量が Security Command Center または AWS の脆弱性評価サービスに関連付けられていることは識別されません。
サービス ID と権限
Google Cloudで実行するアクションの場合、AWS の脆弱性評価サービスでは、Google Cloud リソースにアクセスするための ID と権限に対して、組織レベルで次の Security Command Center サービス エージェントを使用します。
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
このサービス エージェントには cloudasset.assets.listResource 権限が含まれています。これは、AWS サービスの脆弱性評価が Cloud Asset Inventory からターゲット AWS アカウントに関する情報を取得するために使用する権限です。
AWS の脆弱性評価が AWS で実行するアクションに対して、AWS IAM ロールを作成し、必要な AWS CloudFormation テンプレートを構成するときに、AWS の脆弱性評価サービスにこのロールを割り当てます。手順については、ロールと権限をご覧ください。