Amazon Web Services(AWS)の脆弱性評価サービスは、AWS クラウド プラットフォームの Amazon EC2 インスタンス(VM)にインストールされているソフトウェア パッケージの脆弱性を検出します。
AWS の脆弱性評価サービスは、実行中の EC2 インスタンスのスナップショットをスキャンするため、本番環境ワークロードは影響を受けません。このスキャン方法は、ターゲット EC2 マシンにエージェントがインストールされていないため、エージェントレス ディスク スキャンと呼ばれます。
AWS の脆弱性評価サービスは、AWS Lambda サービスで実行され、スキャナをホストする EC2 インスタンスのデプロイ、ターゲット EC2 インスタンスのスナップショットの作成、スナップショットのスキャンを行います。
スキャンは 1 日に約 3 回実行されます。
検出された脆弱性ごとに、AWS の脆弱性評価は Security Command Center に検出結果を生成します。検出結果は、影響を受ける AWS リソースと脆弱性に関する詳細(関連する Common Vulnerability and Exposures(CVE)レコードの情報など)を含む脆弱性のレコードです。
AWS の脆弱性評価によって生成された検出結果の詳細については、AWS の脆弱性評価の検出結果をご覧ください。
AWS の脆弱性評価によって発行された検出結果
AWS の脆弱性評価サービスにより AWS EC2 マシンのソフトウェア脆弱性が検出されると、サービスは Google Cloud の Security Command Center で検出結果を発行します。
個々の検出結果とそれに対応する検出モジュールは、Security Command Center のドキュメントに記載されません。
各検出結果には、検出されたソフトウェアの脆弱性に固有の次の情報が含まれます。
- 影響を受ける EC2 インスタンスの完全なリソース名
- 次の情報を含む脆弱性の説明。
- 脆弱性が含まれているソフトウェア パッケージ
- 関連する CVE レコードの情報
- 脆弱性の影響と悪用可能性に関する Mandiant の評価
- Security Command Center による脆弱性の重大度の評価
- 修復の優先順位付けに役立つ攻撃の発生可能性スコア
- 脆弱性によって露出された価値の高いリソースに攻撃者がたどる可能性のあるパスの視覚的な表現
- 利用可能な場合は、問題を解決するために実行できる手順(脆弱性に対処するために使用できるパッチやバージョン アップグレードなど)
AWS の脆弱性評価のすべての検出結果は、次のプロパティ値を共有します。
- カテゴリ
Software vulnerability
- クラス
Vulnerability
- クラウド サービス プロバイダ
Amazon Web Services
- ソース
EC2 Vulnerability Assessment
Google Cloud コンソールで検出結果を表示する方法については、Google Cloud コンソールで検出結果を確認するをご覧ください。
スキャン中に使用されるリソース
AWS の脆弱性評価は、スキャン中に Google Cloud と AWS の両方のリソースを使用します。
Google Cloud リソースの使用量
AWS の脆弱性評価が Google Cloud で使用するリソースは、Security Command Center の費用に含まれています。
これらのリソースには、テナント プロジェクト、Cloud Storage バケット、Workload Identity 連携が含まれます。これらのリソースは Google Cloud によって管理され、アクティブ スキャン中にのみ使用されます。
AWS の脆弱性評価では、Cloud Asset API も使用して AWS アカウントとリソースに関する情報を取得します。
AWS リソースの使用量
AWS では、AWS の脆弱性評価で AWS Lambda サービスと Amazon Virtual Private Cloud(Amazon VPC)サービスが使用されます。スキャンが完了すると、AWS の脆弱性評価サービスは、これらの AWS サービスの使用を停止します。
AWS では、これらのサービスの使用に対して AWS アカウントに課金されますが、その使用量が Security Command Center または AWS の脆弱性評価サービスに関連付けられていることは識別されません。
サービス ID と権限
AWS の脆弱性評価サービスでは、Google Cloud リソースにアクセスするための ID と権限に対して、組織レベルで次の Security Command Center サービス エージェントを使用します。
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
このサービス エージェントには、AWS の脆弱性評価が Cloud Asset Inventory からターゲット AWS アカウントに関する情報を取得する際に使用する cloudasset.assets.listResource
権限が含まれています。
AWS の脆弱性評価が AWS で実行するアクションに対して、AWS IAM ロールを作成し、必要な AWS CloudFormation テンプレートを構成するときに、AWS の脆弱性評価サービスにこのロールを割り当てます。手順については、ロールと権限をご覧ください。