AWS の脆弱性評価の概要

Amazon Web Services(AWS)の脆弱性評価サービスは、AWS クラウド プラットフォームの Amazon EC2 インスタンス(VM)にインストールされているソフトウェア パッケージの脆弱性を検出します。

AWS の脆弱性評価サービスは、実行中の EC2 インスタンスのスナップショットをスキャンするため、本番環境ワークロードは影響を受けません。このスキャン方法は、ターゲット EC2 マシンにエージェントがインストールされていないため、エージェントレス ディスク スキャンと呼ばれます。

AWS の脆弱性評価サービスは、AWS Lambda サービスで実行され、スキャナをホストする EC2 インスタンスのデプロイ、ターゲット EC2 インスタンスのスナップショットの作成、スナップショットのスキャンを行います。

スキャンは 1 日に 3 回ほど実行されます。

AWS の脆弱性評価は、検出された脆弱性ごとに Security Command Center に検出結果を生成します。検出結果は、影響を受ける AWS リソースと脆弱性に関する詳細(関連する Common Vulnerability and Exposures(CVE)レコードの情報など)を含む脆弱性のレコードです。

AWS の脆弱性評価によって生成された検出結果の詳細については、AWS の脆弱性評価の検出結果をご覧ください。

AWS の脆弱性評価によって発行された検出結果

AWS の脆弱性評価サービスが AWS EC2 マシンでソフトウェアの脆弱性を検出すると、Google Cloud の Security Command Center で検出結果が生成されます。

個々の検出結果とそれに対応する検出モジュールは、Security Command Center のドキュメントに記載されません。

各検出結果には、検出されたソフトウェアの脆弱性に固有の次の情報が含まれます。

  • 影響を受ける EC2 インスタンスの完全なリソース名
  • 次の情報を含む脆弱性の説明。
    • 脆弱性を含むソフトウェア パッケージ
    • 関連する CVE レコードの情報
    • Mandiant による脆弱性の影響と悪用可能性の評価
    • Security Command Center による脆弱性の重大度の評価
  • 攻撃の発生可能性スコア(修正の優先順位付けに役立つ)
  • 脆弱性によって公開される高価値リソースに攻撃者が到達する可能性のあるパスを視覚的に示したもの
  • 利用可能な場合は、問題を解決するために実行できる手順(脆弱性に対処するために使用できるパッチやバージョン アップグレードなど)

AWS の脆弱性評価のすべての検出結果は、次のプロパティ値を共有します。

カテゴリ
Software vulnerability
クラス
Vulnerability
クラウド サービス プロバイダ
Amazon Web Services
ソース
EC2 Vulnerability Assessment

Google Cloud コンソールで検出結果を表示する方法については、Google Cloud コンソールで検出結果を確認するをご覧ください。

スキャン中に使用されるリソース

AWS の脆弱性評価は、スキャン中に Google Cloud と AWS の両方のリソースを使用します。

Google Cloud リソースの使用量

AWS の脆弱性評価が Google Cloud で使用するリソースは、Security Command Center の費用に含まれています。

これらのリソースには、テナント プロジェクトCloud Storage バケットWorkload Identity 連携が含まれます。これらのリソースは Google Cloud によって管理され、アクティブなスキャン中にのみ使用されます。

AWS の脆弱性評価では、Cloud Asset API を使用して AWS アカウントとリソースに関する情報を取得します。

AWS リソースの使用量

AWS では、AWS の脆弱性評価は AWS Lambda サービスと Amazon Virtual Private Cloud(Amazon VPC)サービスを使用します。スキャンが完了すると、AWS の脆弱性評価サービスはこれらの AWS サービスの使用を停止します。

AWS では、これらのサービスの使用に対して AWS アカウントに課金されますが、その使用量が Security Command Center または AWS の脆弱性評価サービスに関連付けられていることは識別されません。

サービス ID と権限

AWS の脆弱性評価サービスでは、Google Cloud リソースにアクセスするための ID と権限に対して、組織レベルで次の Security Command Center サービス エージェントを使用します。

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

このサービス エージェントには cloudasset.assets.listResource 権限が含まれています。これは、AWS サービスに対する脆弱性評価で、Cloud Asset Inventory からターゲット AWS アカウントに関する情報を取得するために使用されます。

AWS の脆弱性評価が AWS で実行するアクションに対して、AWS IAM ロールを作成し、必要な AWS CloudFormation テンプレートを構成するときに、AWS の脆弱性評価サービスにこのロールを割り当てます。手順については、ロールと権限をご覧ください。