翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Inspector の検出結果について
Amazon Inspector は、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、または Lambda 関数の修正済みまたは修正保留の脆弱性を検出すると、検出結果を生成します。また、ファーストパーティアプリケーションのソースコード、サードパーティーアプリケーションの依存関係、Infrastructure as Code で検出されたコードの脆弱性に関する検出結果も生成します。検出結果は、 AWS リソースの 1 つに影響を与える脆弱性に関する詳細なレポートです。
検出結果は脆弱性にちなんで命名され、重要度評価、影響を受ける AWS リソースと非 AWS リソースに関する情報、検出された脆弱性の修復方法の詳細を提供します。Amazon Inspector は、すべてのアクティブな検出結果を、ユーザーがそれらを修復するまで保存します。
リソースが削除、終了されるか、スキャンの対象ではなくなると、Amazon Inspector はリソースに関連付けられた検出結果を自動的に閉じ、3 日後に検出結果を削除します。他の理由で検出結果が閉じられた場合は、30 日後に削除されます。
**注記**
Amazon Inspector は、脆弱性の原因となった問題が再発した場合、検出結果が終了されてから 7 日以内に、修正された検出結果を再オープンします。
Amazon Inspector を無効にすると、検出結果は 24 時間後に削除されます。リソースが終了すると、そのリソースに関連する検出結果は 3 日後に削除されます。スキャンの対象ではなくなったリソースにアタッチされた検出結果の場合も同様です。がアカウント AWS を停止すると、検出結果は 90 日後に削除されます。停止したインスタンスの検出結果はアクティブのままです。検出結果の状態
Amazon Inspector では、検出結果は以下の状態に分類されます。
**アクティブ**
Amazon Inspector は、修正されていない検出結果を **[アクティブ]** として分類します。
**抑制**
Amazon Inspector は、1 つ以上の[抑制ルール](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html)の対象となる検出結果を **[抑制]** として分類します。
**[Closed]** (クローズ)
検出結果が修正されると、Amazon Inspector は検出結果を **[終了]** として分類します。
**Topics**
+ [Amazon Inspector の検出結果タイプ](findings-types.md)
+ [Amazon Inspector 結果の確認](findings-understanding-locating-analyzing.md)
+ [Amazon Inspector 検出結果の詳細の表示](findings-understanding-details.md)
+ [Amazon Inspector スコアの表示と脆弱性インテリジェンスの詳細の理解](findings-understanding-score.md)
+ [Amazon Inspector の検出結果の重要度レベルについて](findings-understanding-severity.md)
# Amazon Inspector の検出結果タイプ
このセクションでは、Amazon Inspector のさまざまな検出結果タイプについて説明します。
**Topics**
+ [パッケージ脆弱性](#findings-types-package)
+ [コードの脆弱性](#findings-types-code)
+ [ネットワーク到達可能性](#findings-types-network)
## パッケージ脆弱性
パッケージ脆弱性の検出結果は、共通脆弱性識別子 (CVEs) にさらされる AWS 環境内のソフトウェアパッケージを識別します。攻撃者は、こうしたパッチが適用されていない脆弱性を利用し、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があります。CVE システムは、セキュリティの脆弱性や露出についての既知の情報を参照する方法です。詳細については、[https://www.cve.org/](https://www.cve.org/) を参照してください。
Amazon Inspector では、EC2 インスタンス、ECR コンテナイメージ、および Lambda 関数についてパッケージ脆弱性検出結果を生成できます。パッケージ脆弱性の検出結果には、このタイプの検出結果に固有の詳細が含まれます。これらの詳細は、[Inspector スコアと脆弱性インテリジェンス](findings-understanding-score.md)です。
Windows EC2 インスタンスの場合、パッケージの脆弱性の検出結果は、個々の CVEs ではなく Microsoft ナレッジベース (KB) IDs で識別できます。KB 更新が 1 つ以上の CVEs、Amazon Inspector は、CVE ごとに個別の検出結果ではなく`KB5023697`、 などの 1 つの KB の検出結果をレポートします。KB の検出結果は、すべての構成要素 CVEs で最も高い CVSS スコア、EPSS スコア、エクスプロイト可用性を指定します。
## コードの脆弱性
コード脆弱性の検出結果は、悪用される可能性のあるコード行を特定するのに役立ちます。コードの脆弱性には、暗号化の欠落、データ漏洩、インジェクションの欠陥、脆弱な暗号化などがあります。Amazon Inspector は、[Lambda 関数のスキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)とその[コードセキュリティ](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html)機能を通じて、コード脆弱性の検出結果を生成します。
Amazon Inspector は、自動推論と機械学習を使用して Lambda 関数のアプリケーションコードを評価し、アプリケーションコードを分析して全体的なセキュリティコンプライアンスを確認します。Amazon Q と共同で開発された内部検出機能に基づいてポリシー違反と脆弱性を特定します。可能性のある検出のリストについては、「[Amazon Q Detector Library](https://docs.aws.amazon.com/amazonq/detector-library/)」を参照してください。
コードスキャンでは、コードスニペットをキャプチャして検出された脆弱性をハイライトします。例えば、スニペットには、ハードコードされた認証情報やその他の機密情報がプレーンテキストで表示される場合があります。Amazon Q は、コードの脆弱性に関連するコードスニペットを保存します。デフォルトでは、コードは [AWS 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)で暗号化されます。ただし、この情報をより詳細に管理する必要がある場合は、カスタマーマネージドキーを作成してコードを暗号化できます。詳細については、「[検出結果のコードの保管時の暗号化](encryption-rest.md#encryption-code-snippets)」を参照してください。
**注記**
組織の委任管理者は、メンバーアカウントに属するコードスニペットを表示できません。
## ネットワーク到達可能性
ネットワーク到達可能性の検出結果は、環境内の Amazon EC2 インスタンスへのネットワークパスが開いていることを示しています。インターネットゲートウェイ (Application Load Balancer または Classic Load Balancer の背後にあるインスタンスを含む)、VPC ピアリング接続、または仮想ゲートウェイを介した VPN など、VPC エッジから TCP および UDP ポートに到達可能な場合、これらの結果が表示されます。これらの結果では、セキュリティグループ、アクセス制御リスト、インターネットゲートウェイなどの管理が不適切であったり、潜在的に悪意のあるアクセスを許している可能性があるなど、過度に寛容なネットワーク設定をハイライトします。
Amazon Inspector は、Amazon EC2 インスタンスのネットワーク到達可能性の検出結果のみを生成します。Amazon Inspector は、Amazon Inspector が有効になると、12 時間ごとにネットワーク到達可能性の検出結果のスキャンを実行します。
Amazon Inspector は、ネットワークパスをスキャンする際に以下の設定を評価します。
+ [Amazon EC2 インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [アプリケーション ロード バランサー](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [弾性ロードバランサ](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [弾性ネットワークインターフェース](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [ネットワークアクセスコントロールリスト](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [ルートテーブル](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [セキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [サブネット](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [仮想プライベートクラウド](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)
+ [仮想プライベートゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [VPC エンドポイント](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [ゲートウェイ VPC エンドポイント](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [VPC ピアリング接続](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
# Amazon Inspector 結果の確認
検出結果は、Amazon Inspector コンソールで表示できるほか、Amazon Inspector [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html) API を使用して表示できます。Amazon Inspector コンソールでは、**ダッシュボード**と **[検出結果]** 画面で検出結果を表示できます。デフォルトでは、これらの画面にはアクティブな検出結果と重要な検出結果のみが表示されます。ただし、検出結果をフィルタリングするか、検出結果をカテゴリ別に表示することを選択できます。これらの統合をアクティブ化すると、[Security Hub CSPM と Amazon ECR](https://docs.aws.amazon.com/inspector/latest/user/integrations.html) でいくつかの検出結果を表示することもできます。このセクションの手順では、Amazon Inspector コンソールおよび Amazon Inspector `ListFindings` API で検出結果を表示する方法について説明します。
------
#### [ Console ]
**Amazon Inspector の検出結果を表示するには**
1. 自分の認証情報を使用してサインインします。[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) で Amazon Inspector コンソールを開きます。
1. (オプション) ナビゲーションペインから、**[ダッシュボード]** を選択します。ダッシュボードには、環境のカバレッジ概要と、アクティブおよび重要な検出結果のみが表示されます。
1. (オプション) ナビゲーションペインから、**[検出結果]** を選択します。この画面には、アクティブな検出結果がすべて一覧表示されます。フィルター条件を使用して、[特定の検出結果を表示できます](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html)。リストから検出結果を除外するには、[抑制ルールを作成します](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-supression-rules.html)。検出結果の詳細を表示するには、検出結果の名前を選択します。
1. (オプション) ナビゲーションペインから、次のいずれかのオプションを選択して、カテゴリ別に検出結果を表示します。
+ 脆弱性別 – 最も重要な検出結果を持つ脆弱性を示します。
+ アカウント別 – 最も重要な検出結果を持つアカウントを表示します。このカテゴリは委任管理者のみが利用できます。
+ インスタンス別 – 最も重要な検出結果を持つ Amazon EC2 インスタンスを表示します。このカテゴリには、ネットワークの可用性に関する情報は含まれません。
+ コンテナイメージ別 – 最も重要な検出結果を持つ Amazon ECR コンテナイメージを表示します。このカテゴリは、コンテナイメージに関する基本情報も提供します。また、デプロイされている Amazon ECS タスクや Amazon EKS ポッドの数などの詳細も含まれます。この画面から、過去 24 時間以内に実行されたタスクとポッドの数と、停止された数を確認できます。
+ コンテナリポジトリ別 – 最も重要な検出結果を持つコンテナリポジトリを表示します。
+ Lambda 関数別 – 最も重要な検出結果を持つ Lambda 関数を表示します。
------
#### [ API ]
**Amazon Inspector の検出結果を表示するには**
+ [ListFindings](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListFindings.html) API オペレーションを実行します。リクエストでは、特定の検出結果を返すように [filterCriteria](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) を指定できます。
------
# Amazon Inspector 検出結果の詳細の表示
このセクションの手順は、Amazon Inspector 検出結果の詳細を表示する方法を示しています。
**検出結果の詳細を表示するには**
1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。
1. 検出結果を表示するリージョンを選択します。
1. ナビゲーションペインで、**[検出結果]** を選択して検出結果リストを表示する
1. (オプション) フィルターバーを使用して特定の検出結果を選択します。詳細については、「[Amazon Inspector の検出結果のフィルタリング](findings-managing-filtering.md)」を参照してください。
1. 検出結果を選択して、その詳細パネルを表示します。
**[検出結果の詳細]** パネルには、検索結果の基本的な識別機能が含まれています。これには、検出結果のタイトル、特定された脆弱性の基本的な説明、修復の提案、および重要度スコアが含まれます。スコアリングについては、「[Amazon Inspector の検出結果の重要度レベルについて](findings-understanding-severity.md)」を参照してください。
検出結果の詳細は、検出結果の種類と**影響を受けるリソース**によって異なります。
すべての検出結果には、検出結果が特定された AWS アカウント ID 番号、重要度、検出結果**タイプ**、検出結果が作成された日付、そのリソースに関する詳細を含む**影響を受けるリソース**セクションが含まれます。
検出結果の**タイプ**は、その検出結果に対して利用可能な修復と脆弱性インテリジェンス情報を決定します。検出結果タイプによって、利用可能な検出結果の詳細が異なります。
**パッケージの脆弱性**
EC2 インスタンス、ECR コンテナイメージ、Lambda 関数に関しては、パッケージの脆弱性の検出結果を利用できます。詳細については、「[パッケージ脆弱性](findings-types.md#findings-types-package)」を参照してください。
パッケージの脆弱性の検出結果には [Amazon Inspector スコアの表示と脆弱性インテリジェンスの詳細の理解](findings-understanding-score.md) も含まれます。
この検出結果タイプには以下の詳細があります。
+ **修正可能** — 影響を受けるパッケージの新しいバージョンで脆弱性が修正されているかどうかを示します。次のいずれかの値があります。
+ `YES`、これは影響を受けるパッケージのすべてに修正されたバージョンがあることを意味します。
+ `NO`、これは影響を受けるパッケージに修正されたバージョンがないことを意味します。
+ `PARTIAL`、これは影響を受けるパッケージの 1 つ以上 (すべてではない) に修正されたバージョンがあることを意味します。
+ **考えられる攻撃** — 脆弱性に既知の悪用があることを示します。
+ `YES`、これは環境内で発見された脆弱性には既知の悪用があるということです。Amazon Inspector では、環境における悪用の使用状況を可視化することはできません。
+ `NO`、これはこの脆弱性には既知の悪用がないことを意味します。
+ **影響を受けるパッケージ** — 検出結果で脆弱であると特定された各パッケージと、各パッケージの詳細を一覧表示します。
+ **ファイルパス** — 検出結果に関連付けられた EBS ボリューム ID とパーティション番号です。このフィールドは、[エージェントレススキャン](scanning-ec2.md#agentless) を使用してスキャンされた EC2 インスタンスの検出結果に存在します。
+ **インストール済みバージョン/修正バージョン** — 脆弱性が検出された、現在インストールされているパッケージのバージョン番号。インストールされているバージョン番号とスラッシュ (**/**) の後の値を比較します。2 番目の値は、検出された脆弱性を修正するパッケージのバージョン番号です。このバージョン番号は、共通脆弱性識別子 (CVE) または検出結果に関連するアドバイザリによって提供されています。脆弱性が複数のバージョンで修正されている場合、このフィールドには修正を含む最新バージョンが表示されます。修正がない場合、この値は `None available` です。
**注記**
Amazon Inspector がこのフィールドを検出結果に含み始める前に検出結果が検出された場合には、このフィールドの値は空となります。ただし、修正できる場合もあります。
+ **パッケージマネージャー** — このパッケージの設定に使用されるパッケージマネージャー。
+ **修復** — 更新されたパッケージまたはプログラミングライブラリから修正が入手できる場合、このセクションには更新を行うために実行できるコマンドが含まれています。提供されたコマンドをコピーして、ご使用の環境で実行できます。
**注記**
修復コマンドはベンダーのデータフィードから提供され、システム設定によって異なる場合があります。より具体的なガイダンスについては、検出結果の参考資料またはオペレーティングシステムのマニュアルを参照してください。
+ **脆弱性の詳細** — National Vulnerability Database (NVD)、REDHAT、または別の OS ベンダーなど、検出結果で特定された CVE の Amazon Inspector 優先ソースへのリンクを提供します。さらに、検出結果の重要度スコアも表示されます。重要度スコアリングの詳細については、「[Amazon Inspector の検出結果の重要度レベルについて](findings-understanding-severity.md)」を参照してください。それぞれのスコアリングベクトルを含め、以下のスコアが含まれています。
+ [Exploit Prediction Scoring System (EPSS) スコア](https://www.first.org/epss/)
+ Inspector スコア
+ Amazon CVE の CVSS 3.1
+ NVD の CVSS 3.1
+ NVD の CVSS 2.0 (該当する場合、過去の CVE について)
+ **関連する脆弱性** — 検出結果に関連する他の脆弱性を指定します。通常、これらは同じパッケージバージョンに影響する他の CVE、または検出結果の CVE と同じグループ内のベンダーが判断した他の CVE です。
+ **影響を受けるリソース** – レジストリ、リポジトリ、リソースタイプ、イメージ ID、イメージオペレーティングシステムに関する情報が含まれます。また、イメージが最後にプッシュされた日時、デプロイされた Amazon ECS タスクと Amazon EKS ポッドの数、過去 24 時間にイメージが最後に使用された時間などの情報も含まれます。デプロイされた Amazon ECS タスクと Amazon EKS ポッドがある場合は、 フィールドの値を選択して詳細を表示できます。これにより、クラスター ARN、リソースが過去 24 時間に最後に使用された時間、リソースの実行数と停止数、ワークロード名とタイプなどの情報を表示できる画面が表示されます。
**コードの脆弱性**
コード脆弱性の検出結果は Lambda 関数でのみ確認できます。詳細については、「[コードの脆弱性](findings-types.md#findings-types-code)」を参照してください。この検出結果タイプには以下の詳細があります。
+ **修正可能** — コード脆弱性の場合、この値は常に `YES` です。
+ **ディテクター名** — コードの脆弱性を検出するために使用される Amazon Q ディテクターの名前。可能な検出のリストについては、「[Q Detector Library](https://docs.aws.amazon.com/amazonq/detector-library/)」を参照してください。
+ **ディテクタータグ** — ディテクターに関連付けられた Amazon Q タグ。Amazon Q はタグを使用して検出を分類します。
+ **関連する CWE** — コードの脆弱性に関連する共通脆弱性タイプ (CWE) の ID。
+ **ファイルパス** — コード脆弱性のファイルの場所。
+ **脆弱性の場所** — Lambda コードスキャンコードの脆弱性の場合、このフィールドには Amazon Inspector が脆弱性を検出した正確なコード行が表示されます。
+ **推奨される是正** — 検出結果を修正するためにコードを編集する方法を提示します。
**ネットワーク到達可能性**
ネットワーク到達可能性の検出結果は EC2 インスタンスでのみ確認できます。詳細については、「[ネットワーク到達可能性](findings-types.md#findings-types-network)」を参照してください。この検出結果タイプには以下の詳細があります。
+ **ポート範囲を開く** — EC2 インスタンスにアクセスできるポート範囲。
+ **ネットワークパスを開く** — EC2 インスタンスへのオープンアクセスパスを表示します。パス上の項目を選択すると、詳細が表示されます。
+ **修復** — 開いているネットワークパスを閉鎖する方法を推奨します。
# Amazon Inspector スコアの表示と脆弱性インテリジェンスの詳細の理解
Amazon Inspector は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの検出結果のスコアを作成します。Amazon Inspector コンソールで Amazon Inspector スコアと脆弱性インテリジェンスの詳細を表示できます。Amazon Inspector スコアには、[共通脆弱性評価システム](https://www.first.org/cvss/v3.1/specification-document)のメトリクスと比較できる詳細情報が表示されます。これらの詳細は、[パッケージの脆弱性](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-package)の検出結果にのみ表示されます。このセクションでは、Amazon Inspector スコアを解釈し、脆弱性インテリジェンスの詳細を理解する方法について説明します。
## Amazon Inspector スコア
Amazon Inspector は、Amazon EC2 の検出結果ごとにスコアを作成します。Amazon Inspector は、CVSS の基本スコア情報を、ネットワーク到達可能性のデータや悪用可能性データなど、コンピューティング環境から収集された情報と関連付けることによってスコアを決定します。Amazon Inspector は、Amazon、Debian、RHEL のベンダーをサポートしています。各ベンダーは CVSS v3.1 ベーススコアを提供します。他のベンダーの場合、Amazon Inspector は [全国脆弱性データベース (NVD)](https://nvd.nist.gov/vuln) が提供する CVSS ベーススコアを使用します。
FedRAMP の要件により、Amazon Inspector は CVSS v3.1 ベーススコアをデフォルトスコアとして使用します。ただし、[CVSS 4.0](https://www.first.org/cvss/v4-0/specification-document) ベーススコアが利用可能になると、脆弱性メタデータに含まれます。CVSS 4.0 ベーススコアは、脆弱性評価を改善するための追加のメトリクスを提供します。CVSS ベーススコアのソースとバージョンは、検出結果の脆弱性の詳細と、エクスポートされた検出結果で確認できます。
**注記**
Amazon Inspector スコアは、Ubuntu を実行している Linux インスタンスでは使用できません。Ubuntu は、CVSS スコアとは異なるカスタムの重要度評価システムを使用します。
### Amazon Inspector スコアの詳細
検出結果の詳細ページを開くと、**[Inspector スコアと脆弱性インテリジェンス]** タブを選択できます。このパネルには、ベーススコアと **[Inspector スコア]** の差が表示されます。このセクションでは、Amazon Inspector がソフトウェアパッケージの Amazon Inspector スコアとベンダースコアの組み合わせに基づいて重要度評価を割り当てる方法について説明します。スコアが異なる場合は、このパネルに理由の説明が表示されます。
**[CVSS スコアメトリクス]** セクションには、CVSS ベーススコアメトリクスと **[Inspector スコア]** の比較表があります。比較されるメトリクスは、first.org が管理する [CVSS 仕様書](https://www.first.org/cvss/specification-document)で定義されている基本メトリクスです。基本メトリクスの概要を以下に示します。
**攻撃ベクトル**
脆弱性が悪用される可能性がある状況。Amazon Inspector の検出結果では、[ネットワーク]、**[隣接****ネットワーク]**、または **[ローカル]** を選択できます。
**攻撃の複雑さ**
これは、攻撃者が脆弱性を悪用したときに直面する難易度を示しています。スコアが**低い**ということは、攻撃者が脆弱性を悪用するために必要な追加条件がほとんどないか全くないことを意味します。**高スコアは**、攻撃者がこの脆弱性を利用した攻撃を成功させるために多大な労力を費やす必要があることを意味します。
**必要な権限**
これは、攻撃者が脆弱性を悪用するのに必要な権限レベルを表します。
**ユーザーインタラクション**
このメトリクスは、この脆弱性を利用した攻撃を成功させるには、攻撃者以外の人間のユーザーが必要かどうかを示します。
**スコープ**
これは、ある脆弱なコンポーネントの脆弱性が、その脆弱なコンポーネントのセキュリティ範囲外のコンポーネントのリソースに影響を与えるかどうかを示します。この値が **[未変更]** の場合、影響を受けるリソースと影響を受けるリソースは同じです。この値が「**変更済**」の場合、脆弱なコンポーネントを悪用して、異なるセキュリティ機関が管理するリソースに影響を与える可能性があります。
**機密性**
脆弱性が悪用された場合に、リソース内のデータの機密性がどの程度影響を受けるかを測定します。その範囲は、機密性が失われない「**なし**」から、リソース内のすべての情報が漏洩したり、パスワードや暗号化キーなどの機密情報が漏洩したりする可能性のある「**高**」までさまざまです。
**整合性**
これは、脆弱性が悪用された場合に、影響を受けるリソース内のデータの完全性がどの程度影響を受けるかを測定します。攻撃者が影響を受けるリソース内のファイルを変更すると、完全性が危険にさらされます。スコアの範囲は、攻撃者がどの情報も変更することを許可しない「**なし**」から、脆弱性が悪用された場合、攻撃者がいずれかまたはすべてのファイルを変更することができる「**高**」まであります。
**現在利用できるリージョン**
これは、脆弱性が悪用された場合に、影響を受けるリソースの可用性に与える影響の度合いを測定します。スコアの範囲は、脆弱性が可用性にまったく影響を与えない場合の「**なし**」から、悪用された場合、攻撃者のリソースの利用を完全に拒否したり、サービスを利用できなくしたりすることができる「**高**」まであります。
## 脆弱性インテリジェンス
このセクションでは、Amazon の CVE に関する利用可能なインテリジェンスと、Cybersecurity and Infrastructure Security Agency (CISA) などの業界標準のセキュリティインテリジェンスソースを要約します。
**注記**
CISA または Amazon のインテルは、すべての CVEs で使用できるわけではありません。
脆弱性インテリジェンスの詳細は、コンソールまたは [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchGetFindingDetails.html) API を使用して表示できます。以下の詳細が、コンソールで使用可能です。
**ATT&CK**
このセクションでは、CVE に関連する MITRE の戦術、技法、手順 (TTP) について説明します。関連する TTP が表示されます。該当する TTP が 3 つ以上ある場合は、リンクを選択すると詳細なリストが表示されます。戦術や技法を選択すると、MITRE のウェブサイトにその情報が表示されます。
**CISA**
このセクションでは、脆弱性に関連する日付について説明します。Cybersecurity and Infrastructure Security Agency (CISA) が、活発な悪用の証拠に基づいてその脆弱性を「Known Exploited Vulnerabilities Catalog」(悪用された既知の脆弱性カタログ) に追加した日付と、CISA がシステムにパッチを適用する期限。この情報は CISA から提供されています。
**既知のマルウェア**
このセクションでは、この脆弱性を悪用する既知のエクスプロイトキットとツールを一覧表示します。
**最終レポート時刻**
このセクションには、この脆弱性が一般に悪用されたことが判明した最終日が表示されます。
# Amazon Inspector の検出結果の重要度レベルについて
Amazon Inspector が検出結果を生成すると、その検出結果に重要度の評価が割り当てられます。重要度の評価は、検出結果の評価と優先順位付けに役立ちます。検出結果の重要度評価は、数値スコアと、**[参考]**、**[低]**、**[中]**、**[高]**、**[緊急]** というレベルに対応しています。Amazon Inspector は、[検出結果タイプ](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html)に基づいて検出結果の重要度の評価を決定します。このセクションでは、Amazon Inspector が各検出結果タイプの重要度の評価を決定する方法について説明します。
## ソフトウェアパッケージの脆弱性の重要度
Amazon Inspector は、ソフトウェアパッケージの脆弱性の重要度スコアの基礎として NVD/CVSS スコアを使用します。NVD/CVSS スコアは、NVD によって公開され、CVSS によって定義される脆弱性重要度スコアです。NVD/CVSS スコアは、攻撃の複雑さ、悪用コードの成熟度、必要な権限などのセキュリティメトリクスで構成されています。Amazon Inspector は、脆弱性の重要度を反映した 1 から 10 までの数値スコアを生成します。Amazon Inspector では、これを基本スコアとして分類しています。これは、脆弱性の重要度がその固有の特性に従って反映され、時間が経過しても変化しないためです。このスコアは、デプロイされたさまざまな環境における最悪の場合の妥当な影響も想定しています。[CVSS v3 標準](https://www.first.org/cvss/specification-document)では、CVSS スコアを以下の重要度評価にマッピングしています。
| | |
| --- |--- |
| **スコア** | **Rating** |
| 0 | Informational |
| 0.1–3.9 | Low |
| 4.0–6.9 | Medium |
| 7.0–8.9 | High |
| 9.0–10.0 | Critical |
パッケージ脆弱性の検出結果は、重要度が「**未選別**」である場合もあります。つまり、ベンダーは検出された脆弱性の脆弱性スコアをまだ設定していないということです。この場合、検出結果の参照 URL を使用して脆弱性を調査し、それに応じて対応することをおすすめします。
パッケージ脆弱性の検出結果には、検出結果の詳細の一部として、以下のスコアと関連するスコアリングベクトルが含まれます。
+ EPSS スコア
+ Inspector スコア
+ Amazon CVE の CVSS 3.1
+ NVD の CVSS 3.1
+ NVD の CVSS 2.0 (該当する場合)
## コード脆弱性の重要度
コードの脆弱性検出結果では、Amazon Inspector は検出結果を生成した Amazon Q ディテクターによって定義された重要度レベルを使用します。各ディテクターには CVSS v3 スコアリングシステムを使用して重要度が割り当てられます。
## ネットワーク到達可能性の重要度
Amazon Inspector は、公開されているサービス、ポート、プロトコル、およびオープンパスのタイプに基づいて、ネットワーク到達可能性の脆弱性の重要度を判断します。次の表では、これらの重要度評価を定義しています。Open **path rating **列の値は、仮想ゲートウェイ、ピア接続された VPCs、 AWS Direct Connect ネットワークからのオープンパスを表します。公開されている他のすべてのサービス、ポート、プロトコルには「情報重要度」という評価があります。
| | | | | |
| --- |--- |--- |--- |--- |
| **サービス** | **TCP ポート** | **UDP ポート** | **インターネットパス評価** | **オープンパス評価** |
| DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | Medium | Informational |
| Elasticsearch | 9300, 9200 | NA | Medium | Informational |
| FTP | 21 | 21 | High | Medium |
| Global catalog LDAP | 3268 | NA | Medium | Informational |
| Global catalog LDAP over TLS | 3269 | NA | Medium | Informational |
| HTTP | 80 | 80 | Low | Informational |
| HTTPS | 443 | 443 | Low | Informational |
| Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | Medium | Informational |
| LDAP | 389 | 389 | Medium | Informational |
| LDAP over TLS | 636 | NA | Medium | Informational |
| MongoDB | 27017, 27018, 27019, 28017 | NA | Medium | Informational |
| MySQL | 3306 | NA | Medium | Informational |
| NetBIOS | 137, 139 | 137, 138 | Medium | Informational |
| NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | Medium | Informational |
| Oracle | 1521, 1630 | NA | Medium | Informational |
| PostgreSQL | 5432 | NA | Medium | Informational |
| Print services | 515 | NA | High | Medium |
| RDP | 3389 | 3389 | Medium | Low |
| RPC | 111, 135, 530 | 111, 135, 530 | Medium | Informational |
| SMB | 445 | 445 | Medium | Informational |
| SSH | 22 | 22 | Medium | Low |
| SQL Server | 1433 | 1434 | Medium | Informational |
| Syslog | 601 | 514 | Medium | Informational |
| Telnet | 23 | 23 | High | Medium |
| WINS | 1512, 42 | 1512, 42 | Medium | Informational |