![【Security Hub修復手順】[Inspector.1]Amazon Inspector EC2スキャンを有効にする必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
【Security Hub修復手順】[Inspector.1]Amazon Inspector EC2スキャンを有効にする必要があります
2024.10.17こんにちは!AWS事業本部の吉田です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります
[Inspector.1] Amazon Inspector EC2 scanning should be enabled
前提条件
本記事は、AWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
本コントロールは、Amazon Inspector EC2スキャンを有効化されているかチェックしています。
Inspector EC2スキャンが有効化されていない場合、このコントロールは「失敗」と判定されます。
Inspector EC2スキャンを有効化すると以下の脆弱性を検知できます。
- パッケージ脆弱性
- ネットワーク到達可能性
「パッケージ脆弱性」は、CVEに基づいたパッケージの脆弱性を検知できます。
「ネットワーク到達可能性」は、対象のEC2がどのアクセス元からどのTCP・UDPポートに対してアクセス可能か知ることができます。
追加コストやセキュリティ要件を考慮して、有効化するかどうか検討してください。
修復手順
Inspector EC2スキャンを有効化
-
AWSマネジメントコンソールからInspectorサービスページに移動し、「Inspectorをアクティブ化」をクリックします。
-
左サイドバーの「アカウント管理」をクリックし、「Amazon EC2 スキャン」が有効化されていることを確認します。
-
「Amazon EC2 スキャン」が有効化されていない場合、「アクティブ化」をクリックし「Amazon EC2 スキャン」のチェックを入力した後「Submit」をクリックします。
マネージドインスタンス化
「ネットワーク到達可能性」に関しては、「Amazon EC2 スキャン」を有効化することで検知が開始されます。
しかし、「パッケージ脆弱性」に関しては、対象のEC2をマネージドインスタンス化する必要があります。
マネージドインスタンス化するためにSSMエージェントを利用するため、対象のEC2にSSMエージェントをインストールしSSM用のIAMポリシーをアタッチする必要があります。
対象のEC2がマネージドインスタンスかを確認する方法は以下の通りです。
- Inspectorサービスページにある左サイドバーの「アカウント管理」をクリックした後、「インスタンス」タブをクリックします。
- 対象のEC2インスタンスのステータスを確認します。
マネージドインスタンスの場合は、「アクティブにモニタリング中」と表示されます。
マネージドインスタンスではない場合は「アンマネージドEC2インスタンス」と表示されます。
対象のEC2がマネージドインスタンスではない場合、以下の参考記事の手順を元にマネージドインスタンス化してください。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
