翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Inspector を使用した AWS Lambda 関数のスキャン
AWS Lambda 関数とレイヤーの Amazon Inspector サポートは、継続的な自動化されたセキュリティ脆弱性評価を提供します。Amazon Inspector では、2 種類の Lambda 関数スキャンを提供しています。
**[Amazon Inspector Lambda 標準スキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**
これはスキャンタイプは、デフォルトの Lambda スキャンタイプです。Lambda 関数とレイヤー内のアプリケーションの依存関係をスキャンして、[パッケージの脆弱性](findings-types.md#findings-types-package)について調べます。
**[Amazon Inspector Lambda コードスキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**
このスキャンタイプでは、Lambda 関数やレイヤー内のカスタムアプリケーションコードをスキャンして、[コードの脆弱性](findings-types.md#findings-types-code)について調べます。Lambda 標準スキャンをアクティブ化することも、Lambda コードスキャンと同時に Lambda 標準スキャンをアクティブ化することもできます。
Lambda コードスキャンをアクティブ化する場合は、まず Lambda 標準スキャンをアクティブ化する必要があります。詳細については、「[スキャンタイプをアクティブ化する](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)」を参照してください。
Lambda 関数スキャンをアクティブ化すると、Amazon Inspector はアカウントに以下のサービスにリンクされたチャネル `cloudtrail:CreateServiceLinkedChannel` および `cloudtrail:DeleteServiceLinkedChannel` を作成します。Amazon Inspector はこれらのチャネルを管理し、それらを使用してスキャンのために CloudTrail イベントをモニタリングします。このチャネルにより、CloudTrail で証跡があったかのように、アカウントの CloudTrail イベントを表示できます。CloudTrail で独自の証跡を作成して、アカウントのイベントを管理することをお勧めします。これらのチャネルを表示する方法については、「*AWS CloudTrail ユーザーガイド*」の「[サービスにリンクされたチャネルの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html)」を参照してください。
**注記**
Amazon Inspector は、[カスタマーマネージドキーで暗号化された Lambda 関数](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html)のスキャンをサポートしていません。これは、Lambda 標準スキャンと Lambda コードスキャンに適用されます。
## Lambda 関数スキャンのスキャン動作
Amazon Inspector はアクティベーション時に、アカウント内で過去 90 日間に呼び出された、または更新されたすべての Lambda 関数をスキャンします。Amazon Inspector は、次のような状況で Lambda 関数の脆弱性スキャンを開始します。
+ Amazon Inspector が既存の Lambda 関数を検出した時。
+ 新しい Lambda 関数が Lambda サービスにデプロイされた場合。
+ 既存の Lambda 関数またはそのレイヤーのアプリケーションコードまたは依存関係に更新がデプロイされた場合。
+ Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE が関数に関連している場合。
Amazon Inspector は、各 Lambda 関数が削除されるかスキャンから除外されるまで、そのライフタイム期間を通じてモニタリングします。
Lambda 関数の脆弱性の最終確認日は、**[アカウント管理]** ページの **[Lambda 関数]** タブから、または [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Lambda 関数の **[最終スキャン日]** フィールドを更新します。
+ Amazon Inspector が Lambda 関数の初回スキャンを完了した時。
+ Lambda 関数の更新時。
+ Amazon Inspector が Lambda 関数を再スキャンしたとき。これは、その関数に影響する新しい CVE 項目が Amazon Inspector データベースに追加されたためです。
## サポートされているランタイムと対象となる関数
Amazon Inspector は、Lambda 標準スキャンと Lambda コードスキャンのさまざまなランタイムをサポートしています。各スキャンタイプでサポートされているランタイムのリストについては、「[サポートされているランタイム: Amazon Inspector Lambda 標準スキャン](supported.md#supported-programming-languages-lambda-standard)」と「[サポートされているランタイム: Amazon Inspector Lambda コードスキャン](supported.md#supported-programming-languages-lambda-code)」を参照してください。
Lambda 関数が Amazon Inspector スキャンの対象となるには、ランタイムがサポートされていることに加えて、以下の基準を満たす必要があります。
+ この関数は過去 90 日間に呼び出されたか、または更新されています。
+ この関数は `$LATEST` にマークされています。
+ この関数はタグによるスキャンから除外されていません。
**注記**
過去 90 日間に呼び出されたり変更されたりしていない Lambda 関数は、自動的にスキャンから除外されます。Amazon Inspector は、再度呼び出されたり、Lambda 関数コードに変更が加えられたりする場合に、自動的に除外された関数のスキャンを再開します。