View a markdown version of this page

Amazon Inspector Classic エージェント - Amazon Inspector Classic
Amazon Inspector Classic エージェントの権限ネットワークと Amazon Inspector Classic エージェントのセキュリティAmazon Inspector Classic エージェントの更新テレメトリデータのライフサイクルAmazon Inspector Classic から AWS アカウントへのアクセスコントロールAmazon Inspector Classic エージェントの制限

サポート終了通知: 2026 年 5 月 20 日、 AWS は Amazon Inspector Classic のサポートを終了します。2026 年 5 月 20 日以降、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。Amazon Inspector Classic は、過去 6 か月間に評価を完了していない新しいアカウントやアカウントで利用できなくなりました。他のすべてのアカウントでは、アクセスは 2026 年 5 月 20 日まで有効です。その後、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。詳細については、Amazon Inspector Classic のサポート終了」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector Classic エージェント

Amazon Inspector Classic エージェントは、Amazon EC2 インスタンスのインストール済みパッケージ情報とソフトウェア設定を収集するエンティティです。すべてのケースで必要というわけではありませんが、セキュリティを完全に評価するためには、ターゲットの Amazon EC2 インスタンスに Amazon Inspector Classic エージェントをインストールする必要があります。

エージェントのインストール、アンインストール、再インストール、インストールされたエージェントが実行されているかどうかを確認する方法、エージェントのプロキシサポートの設定方法の詳細については、「Linux ベースのオペレーティングシステムでの Amazon Inspector Classic エージェントの操作」および「Windows ベースのオペレーティングシステムでの Amazon Inspector Classic エージェントの操作」を参照してください。

注記

Amazon Inspector エージェントは、ネットワーク到達可能性ルールパッケージを実行する必要はありません。

重要

Amazon Inspector Classic エージェントは、正常に機能するために Amazon EC2 インスタンスメタデータに依存します。インスタンスメタデータにアクセスするために、Instance Metadata Service のバージョン 1 または 2 (IMDSv1 または IMDSv2) を使用します。EC2 インスタンスメタデータおよびアクセス方法の詳細については、「インスタンスメタデータとユーザーデータ」を参照してください。

トピック

Amazon Inspector Classic エージェントの権限

Amazon Inspector Classic エージェントをインストールするには、管理者権限または root 権限が必要です。サポートされている Linux ベースのオペレーティングシステムでは、エージェントは root アクセスで実行されるユーザーモード実行可能ファイルで構成されます。サポートされている Windows ベースのオペレーティングシステムでは、エージェントはアップデータサービスとエージェントサービスで構成され、それぞれ LocalSystem の特権を持つユーザーモードで実行されます。

ネットワークと Amazon Inspector Classic エージェントのセキュリティ

Amazon Inspector Classic エージェントは、Amazon Inspector Classic サービスとのすべての通信を開始します。つまりエージェントには、テレメトリデータをエンドポイントに送信できるように、パブリックの のエンドポイントへのアウトバウンドネットワークパスが必要です。たとえば、エージェントが arsenal.<region>.amazonaws.com に接続するか、エンドポイントが の s3.dualstack.<region>.amazonaws.com Amazon S3 バケットである場合です。を Amazon Inspector Classic を実行している実際の AWS リージョン<region>に置き換えてください。詳細については、「AWS IP アドレスの範囲」を参照してください。さらに、エージェントからのすべての接続はアウトバウンドで確立されるため、セキュリティグループでポートを開き、Amazon Inspector Classic からエージェントへのインバウンド通信を許可する必要はありません。

エージェントは、TLS で保護されたチャネルを介して Amazon Inspector Classic と定期的に通信します。このチャネルは、EC2 インスタンスのロールに関連付けられた AWS ID、またはロールが割り当てられていない場合はインスタンスのメタデータドキュメントを使用して認証されます。認証されると、エージェントはサービスにハートビートメッセージを送信し、レスポンスとしてサービスから手順を受信します。評価がスケジュールされている場合、エージェントはその評価の手順を受信します。これらの手順は構造化された JSON ファイルであり、エージェントで事前設定された特定のセンサーを有効または無効にするようにエージェントに指示します。それぞれの手順のアクションはエージェント内で事前に定義されています。任意の手順を実行することはできません。

評価中に、エージェントはシステムからテレメトリデータを収集し、TLS 保護チャネル経由で Amazon Inspector Classic に送り返します。エージェントは、データの収集元のシステムに変更を行いません。データを収集したら、エージェントはテレメトリデータを処理のために Amazon Inspector Classic に送信します。エージェントには、生成するテレメトリデータ以外には、評価するシステムまたは評価ターゲットに関するその他のデータを収集または送信する機能はありません。現在、エージェントでテレメトリデータを傍受して検査するために公開されているメソッドはありません。

Amazon Inspector Classic エージェントの更新

Amazon Inspector Classic エージェントの更新が利用可能になると、Amazon S3 から自動的にダウンロードされ、適用されます。これにより、必要な依存関係も更新されます。 自動更新機能により、EC2 インスタンスにインストールしたエージェントのバージョニングを追跡して手動で維持する必要がなくなります。すべての更新は、該当するセキュリティ基準に準拠するため、監査された Amazon 変更管理プロセスに従っています。

さらにエージェントのセキュリティを確保するため、エージェントと自動更新リリースサイト (S3) 間のすべての通信は TLS 接続で実行され、サーバーが認証されます。自動更新プロセスに関連するすべてのバイナリはデジタル署名され、署名はインストール前にアップデータによって確認されます。自動更新プロセスは、評価以外の期間中にのみ実行されます。何らかのエラーが検出された場合、更新プロセスは更新をロールバックして再試行することができます。最後に、エージェント更新プロセスは、エージェント機能のみをアップグレードするのに役立ちます。アップデートワークフローの一部として、特定の情報がエージェントから Amazon Inspector Classic に送信されることはありません。更新プロセスの一部として通信される唯一の情報は基本的なインストールの成功/失敗のテレメトリであり、該当する場合は更新失敗の診断情報が含まれます。

テレメトリデータのライフサイクル

評価を実行中に Amazon Inspector Classic エージェントによって生成されるテレメトリデータは JSON ファイルにフォーマットされています。ファイルは TLS を介してほぼリアルタイムで Amazon Inspector Classic に配信され、そこで評価実行ごとにエフェメラル KMS 派生キーで暗号化されます。ファイルは、 Amazon Inspector Classic 専用の Amazon S3 バケットに安全に保存されます。Amazon Inspector Classic のルールエンジンは S3 バケットの暗号化テレメトリデータにアクセスし、これをメモリに復号します。設定された評価ルールに対してデータを処理し、結果を生成します。S3 に保存されているテレメトリデータは、サポートリクエストによる支援を可能にするためにのみ保持されます。これを他の目的のために Amazon が使用または集計することはありません。30 日後、テレメトリデータは Amazon Inspector Classic データの標準 S3 バケットライフサイクルポリシーに従って完全に削除されます。現在、Amazon Inspector Classic は収集したテレメトリに対して API または S3 バケットアクセスメカニズムを提供していません。

Amazon Inspector Classic から AWS アカウントへのアクセスコントロール

セキュリティサービスとして、Amazon Inspector Classic は、タグをクエリして評価する EC2 インスタンスを見つける必要がある場合にのみ、 AWS アカウントとリソースにアクセスします。これは、Amazon Inspector Classic サービスの初期セットアップ中に作成されたロールにより、標準 IAM アクセスを使って行われます。評価の間、環境とのすべての通信は、EC2 インスタンスにローカルでインストールされた Amazon Inspector Classic エージェントによって開始されます。評価ターゲット、評価テンプレート、サービスによって生成される結果など、ユーザーが作成する Amazon Inspector Classic サービスオブジェクトは、Amazon Inspector Classic によって管理され、Amazon Inspector Classic のみにアクセス可能なデータベースに保存されます。

Amazon Inspector Classic エージェントの制限

Amazon Inspector Classic エージェントの制限については「Amazon Inspector Classic サービスの制限」を参照してください。