

 サポート終了通知: 2026 年 5 月 20 日、 AWS は Amazon Inspector Classic のサポートを終了します。2026 年 5 月 20 日以降、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。Amazon Inspector Classic は、過去 6 か月間に評価を完了していない新しいアカウントやアカウントで利用できなくなりました。他のすべてのアカウントでは、アクセスは 2026 年 5 月 20 日まで有効です。その後、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。詳細については、[Amazon Inspector Classic のサポート終了](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector Classic の評価テンプレートと評価の実行
<a name="inspector_assessments"></a>

Amazon Inspector Classic は、セキュリティルールを使用して AWS リソースを分析することで、潜在的なセキュリティ問題を発見するのに役立ちます。Amazon Inspector Classic は、リソースに関する行動データ (テレメトリ) をモニタリングおよび収集します。データには、安全なチャネルの使用、実行中のプロセス間のネットワークトラフィック、 AWS サービスとの通信の詳細に関する情報が含まれます。次に Amazon Inspector Classic は、データを分析し、セキュリティルールパッケージのセットと比較します。最後に Amazon Inspector Classic は、様々なレベルの重要度の潜在的なセキュリティ上の問題を特定する、*結果*のリストを作成します。

開始するには、*評価ターゲット* (Amazon Inspector Classic に分析させる AWS リソースのコレクション) を作成します。次に、*評価テンプレート* (評価を構成するために使用する設計図) を作成します。テンプレートを使用して、*評価の実行*、モニタリング、分析プロセスを開始し、結果のセットを作成します。

**Topics**
+ [Amazon Inspector Classic 評価テンプレート](#inspector-assessment-templates)
+ [Amazon Inspector Classic 評価テンプレートの制限](#inspector-assessment-limits)
+ [評価テンプレートを作成する](#create_assessment_via_console)
+ [評価テンプレートを削除する](#delete_assessment_via_console)
+ [評価の実行](#assessment_runs)
+ [Amazon Inspector Classic 評価実行の制限](#assessment_runs-limits)
+ [Lambda 関数を使用した評価の自動実行のセットアップ](#assessment_runs-schedule)
+ [Amazon Inspector Classic 通知用の SNS トピックの設定](#sns-topic)

## Amazon Inspector Classic 評価テンプレート
<a name="inspector-assessment-templates"></a>

評価テンプレートでは、次のものを含む評価の実行の設定を指定できます。
+ 評価ターゲットの評価で Amazon Inspector Classic が使用するルールパッケージ
+ 評価の実行時間 – 評価の実行時間は、3 分から 24 時間の範囲で設定できます。評価の実行期間を 1 時間に設定することをお勧めします。
+ Amazon Inspector Classic が評価の実行状態と結果について通知を送信する Amazon SNS トピック
+ この評価テンプレートを使用する評価の実行で生成された結果を割り当てることができる Amazon Inspector Classic 属性 (キーと値のペア)。

Amazon Inspector Classic が評価テンプレートを作成すると、他の AWS リソースと同様にタグ付けすることができます。詳細については、「[タグ エディタ](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。評価テンプレートにタグ付けすることで、テンプレートを整理してセキュリティ戦略をより適切に管理することができます。例えば、Amazon Inspector Classic は評価ターゲットについて評価できる多数のルールを提供します。評価テンプレートに利用可能なルールのさまざまなサブセットを含めて、問題がありそうな特定の領域をターゲットにしたり、特定のセキュリティ問題を発見したりすることができます。評価テンプレートにタグ付けすれば、セキュリティ戦略とその目的に応じて、任意のタイミングで素早くテンプレートを発見して実行できます。

**重要**  
評価テンプレートを作成したら、それを変更することはできません。

## Amazon Inspector Classic 評価テンプレートの制限
<a name="inspector-assessment-limits"></a>

 AWS アカウントごとに最大 500 の評価テンプレートを作成できます。

詳細については、「[Amazon Inspector Classic サービスの制限](inspector_limits.md)」を参照してください。

## 評価テンプレートを作成する
<a name="create_assessment_via_console"></a>

**評価ターゲットテンプレートを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/) で Amazon Inspector Classic コンソールを開きます。

1. ナビゲーションペインの [**Assessment templates (評価テンプレート)**] を選択し、[**Create (作成)**] を選択します。

1. [**Name (名前)**] に、評価テンプレートの名前を入力します。

1. [**Target name**] では、分析する評価ターゲットを選択します。
**注記**  
評価テンプレートを作成すると、[**Assessment Templates**] ページの [**Preview Target**] ボタンを使用して、評価ターゲットに含まれているすべての EC2 インスタンスを確認することもできます。EC2 インスタンスごとに、ホスト名、インスタンス ID、IP アドレス、および該当する場合はエージェントのステータスを確認できます。エージェントのステータス実行コマンド には、次の値を指定できます。**HEALTHY**、**UNHEALTHY**、**UNKNOWN** Amazon Inspector Classic は、EC2 インスタンスで実行中のエージェントがあるかどうかを判断できない場合、**UNKNOWN** ステータスを表示します。  
また、[**Assessment Templates**] ページの [**Preview Target**] ボタンを使用して、以前作成したテンプレートに含まれている評価ターゲットを構成する EC2 インスタンスを表示することもできます。

1. [**Rules packages**] では、評価テンプレートに含む 1 つ以上のルールパッケージを選択します。

1. **Duration** では、評価テンプレートの時間を指定します。

1. (オプション) **SNS トピック**については、Amazon Inspector Classic が評価の実行状態と結果について通知を送信する SNS トピックを指定します。Amazon Inspector Classic は、次のイベントに関する SNS 通知を送信できます。
   + 評価の実行が開始された
   + 評価の実行が終了した
   + 評価の実行のステータスが変更された
   + 結果が作成された

   SNS トピックの設定の詳細については、「[Amazon Inspector Classic 通知用の SNS トピックの設定](#sns-topic)」を参照してください。

1. (オプション) [**Tag (タグ)**] で [**Key (キー)**] と [**Value (値)**] の値を入力します。評価テンプレートには複数のタグを追加できます。

1. (オプション) [**Attributes added to findings**] については、[**Key**] と [**Value**] の値を入力します。Amazon Inspector Classic は、評価テンプレートによって生成された、すべての結果に属性を適用します。評価テンプレートには複数の属性を追加できます。結果と結果のタグ付けの詳細については、「[Amazon Inspector Classic 結果](inspector_findings.md)」を参照してください。

1. (オプション) このテンプレートを使用して評価の実行スケジュールをセットアップするには、[**Set up recurring assessment runs once every <number\_of\_days>, starting now (定期的な評価の実行をセットアップする、<number\_of\_days> に 1 回、今すぐ開始)**] チェックボックスにチェックを選択し、上下の矢印を使用して繰り返しパターン (日数) を指定します。
**注記**  
このチェックボックスを使用すると、Amazon Inspector Classic によってセットアップされた評価実行スケジュール用の Amazon CloudWatch Events ルールが自動的に作成されます。その後、Amazon Inspector Classic は、`AWS_InspectorEvents_Invoke_Assessment_Template` という名前の IAM ロールも自動的に作成します。このロールを使用して、CloudWatch Events が Amazon Inspector Classic のリソースに対して API コールを行うことができます。詳細については、「[Amazon CloudWatch Events とは](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)」および「[CloudWatch Events のリソースベースのポリシーを使用する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/resource-based-policies-cwe.html)」を参照してください。
**注記**  
また、 AWS Lambda 関数を使用して評価の自動実行をセットアップすることもできます。詳細については、「[Lambda 関数を使用した評価の自動実行のセットアップ](#assessment_runs-schedule)」を参照してください。

1. [**Create and run**] または [**Create**] を選択します。

## 評価テンプレートを削除する
<a name="delete_assessment_via_console"></a>

評価テンプレートを削除するには、次の手順を実行します。

**評価テンプレートを削除するには**
+ [**Assessment Templates (評価テンプレート)**] ページで、削除するテンプレートを選択し、[**Delete (削除)**] を選択します。確認を求めるメッセージが表示されたら、実行コマンド**Yes**実行コマンド を選択します。
**重要**  
評価テンプレートを削除すると、すべての評価の実行、結果、このテンプレートに関連付けられたバージョンのレポートも削除されます。

[https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentTemplate.html](https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentTemplate.html) API を使用して評価テンプレートを削除することもできます。

## 評価の実行
<a name="assessment_runs"></a>

作成した評価テンプレートは、評価の実行を開始するのに使用できます。各 AWS アカウントの実行制限内であれば、同じテンプレートを使用して複数の実行を開始できます。詳細については、「[Amazon Inspector Classic 評価実行の制限](#assessment_runs-limits)」を参照してください。

Amazon Inspector Classic コンソールを使用する場合は、[**Assessment templates (評価テンプレート)**] ページから、新しい評価テンプレートの最初の実行を開始する必要があります。実行を開始した後、[**Assessment runs**] ページを使用して実行の進行状況をモニタリングできます。[**Run**]、[**Cancel**]、および [**Delete**] ボタンを使用して、実行を開始、キャンセル、または削除します。実行の ARN、実行するために選択されたルールパッケージ、実行に適用したタグと属性などの実行の詳細を表示できます。

評価テンプレートのそれ以降の実行では、[**Assessment templates**] ページまたは [**Assessment runs**] ページで [**Run**]、[**Cancel**]、[**Delete**] ボタンを使用することができます。

### 評価の実行を削除する
<a name="delete_assessment_run_via_console"></a>

評価の実行を削除するには、次の手順を実行します。

**実行を削除するには**
+ [**評価の実行**] ページで、削除する実行を選択し、[**削除**] を選択します。確認を求めるメッセージが表示されたら、実行コマンド**Yes**実行コマンド を選択します。
**重要**  
実行を削除すると、その実行のすべての結果とすべてのバージョンのレポートも削除されます。

以下の [https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentRun.html](https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentRun.html) API を使用してディストリビューションを削除することもできます。

## Amazon Inspector Classic 評価実行の制限
<a name="assessment_runs-limits"></a>

 AWS アカウントごとに最大 50,000 の評価実行を作成できます。

評価の実行は、使用されるターゲットに EC2 インスタンスの重複が含まれない限り、同時進行させることができます。

詳細については、「[Amazon Inspector Classic サービスの制限](inspector_limits.md)」を参照してください。

## Lambda 関数を使用した評価の自動実行のセットアップ
<a name="assessment_runs-schedule"></a>

評価の定期的なスケジュールをセットアップする場合は、 AWS Lambda コンソールを使用して Lambda 関数を作成し、評価テンプレートを自動的に実行するように設定できます。詳細については、[Lambda 関数](https://docs.aws.amazon.com/lambda/latest/dg/lambda-introduction-function.html)を参照してください。

 AWS Lambda コンソールを使用して自動評価実行を設定するには、次の手順を実行します。

**Lambda 関数を使用した評価の自動実行をセットアップするには**

1. にサインインし AWS マネジメントコンソール、 [AWS Lambda コンソール](https://us-west-2.console.aws.amazon.com/lambda/home?region=us-west-2#/home)を開きます。

1. ナビゲーションペインで [**Dashboard (ダッシュボード)**] または [**Functions (関数)**] を選択し、[**Create a Lambda Function(Lambda 関数の作成)**] を選びます。

1. [**Create function (関数の作成)**] ページで、[**Browse serverless app repository (サーバーレスアプリリポジトリの参照)**] を選択し、検索フィールドに「**inspector**」と入力します。

1. 設計図として **inspector-scheduled-run** を選択します。

1. [**Review, configure, and deploy (確認、設定、デプロイ)**] ページで、関数をトリガーする CloudWatch イベントを指定して、自動実行用の定期的なスケジュールをセットアップします。これを行うには、ルールの名前と説明を入力し、スケジュール式を選択します。スケジュール式は、実行の頻度を決定します。たとえば、15 分ごと、または 1 日 1 回などです。CloudWatch イベントと概念の詳細については、「[Amazon CloudWatch Events とは](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)」を参照してください。

   [**Enable trigger (トリガーの有効化)**] のチェックボックスをオンにした場合、実行は関数の作成が完了した直後に開始されます。それ以降の自動的な実行は [**Schedule expression (スケジュール式)**] で指定した定期的なパターンに従います。関数の作成時に [**Enable trigger**] のチェックボックスをオンにしない場合は、後で関数を編集して、このトリガーを有効にすることができます。

1. [**Configure function**] ページで、次の項目を指定します。
   + [**名前**] に、関数の名前を入力します。
   + (オプション) [**Description (説明)**] に、関数を識別するための説明を入力します。
   + **ランタイム**の場合、デフォルト値の のままにします**Node.js 8.10**。 は、**Node.js 8.10**ランタイムに対してのみ **inspector-scheduled-run** ブループリント AWS Lambda をサポートします。
   + この関数を使用して自動的に実行される評価テンプレート。それには [**assessmentTemplateArn**] と呼ばれる環境変数の値を指定します。
   + ハンドラはデフォルト値の「**index.handler**」に設定します。
   + [**Role**] フィールドを使用する関数の権限。詳細については、「[AWS Lambda のアクセス許可モデル](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html#lambda-intro-execution-role)」を参照してください。

     この関数を実行するには、 が実行 AWS Lambda を開始し、エラーを含む実行に関するログメッセージを Amazon CloudWatch Logs に書き込むことを許可する IAM ロールが必要です。 は、定期的な自動実行ごとにこのロール AWS Lambda を引き受けます。たとえば、次のサンプルポリシーをこの IAM ロールにアタッチできます。

------
#### [ JSON ]

****  

     ```
     {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
         {
           "Effect": "Allow",
           "Action": [
             "inspector:StartAssessmentRun",
             "logs:CreateLogGroup",
             "logs:CreateLogStream",
             "logs:PutLogEvents"
           ],
           "Resource": "*"
         }
       ]
     }
     ```

------

1. 場所を確認して [**Create function**] を選択します。

## Amazon Inspector Classic 通知用の SNS トピックの設定
<a name="sns-topic"></a>

Amazon Simple Notification Service(Amazon SNS) は、サブスクライブしているエンドポイントやクライアントへのメッセージを送信する、ウェブサービスです。Amazon SNS を使用して Amazon Inspector Classic の通知をセットアップできます。

**通知用の SNS トピックを設定するには**

1. SNS トピックを作成します。[チュートリアル :Amazon SNS トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)を参照してください。トピックを作成したら、[**Access policy - optional (アクセスポリシー - オプション)**] セクションを展開します。次に、以下の操作を実行し、評価からトピックへのメッセージを送信を許可します。

   1. [**Choose method (メソッドの選択)**] で、[**Basic**] を選択します。

   1. **トピックにメッセージを発行できるユーザーを定義する で**、**指定した AWS アカウントのみ**を選択し、トピックを作成するリージョンのアカウントの ARN を入力します。
      + `US East (Ohio)` - *arn:aws:iam::646659390643:root*
      + `US East (N. Virginia)` - *arn:aws:iam::316112463485:root*
      + `US West (N. California)` - *arn:aws:iam::166987590008:root*
      + `US West (Oregon)` - *arn:aws:iam::758058086616:root*
      + `Asia Pacific (Mumbai)` - *arn:aws:iam::162588757376:root*
      + `Asia Pacific (Seoul)` - *arn:aws:iam::526946625049:root*
      + `Asia Pacific (Sydney)` - *arn:aws:iam::454640832652:root*
      + `Asia Pacific (Tokyo)` - *arn:aws:iam::406045910587:root*
      + `Europe (Frankfurt)` - *arn:aws:iam::537503971621:root*
      + `Europe (Ireland)` - *arn:aws:iam::357557129151:root*
      + `Europe (London)` - *arn:aws:iam::146838936955:root*
      + `Europe (Stockholm)` - *arn:aws:iam::453420244670:root*
      + `AWS GovCloud (US-East)` - *arn:aws-us-gov:iam::206278770380:root*
      + `AWS GovCloud (US-West)` - *arn:aws-us-gov:iam::850862329162:root*

   1. **このトピックをサブスクライブできるユーザーを定義する** **で、指定された AWS アカウントのみ**を選択し、トピックを作成するリージョンのアカウントの ARN を入力します。

   1. 「*IAM ユーザーガイド*」の「[ Confused deputy problem (混乱した代理の問題)](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)」で説明されているように、Inspector が混乱した代理として使われることを防ぐため、次の作業を行います。

      1. **[Advanced]** (アドバンスト) を選択します。これにより JSON エディタに移動します。

      1. 次の条件を追加します。

         ```
              "Condition": {
                 "StringEquals": {
                   "aws:SourceAccount": <your account Id here>,
                   "aws:SourceArn": "arn:aws:inspector:*:*:*"
                 }
               }
         ```

   1. (オプション) aws:SourceAccount および aws:SourceArn の詳細については、*IAM ユーザーガイド*の「[グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)」を参照してください。

   1. 必要に応じてトピックの他の設定を更新し、[**Create topic (トピックの作成)**] を選択します。

1. （オプション）暗号化された SNS トピックを作成するには、*SNS デベロッパーガイド*の「[保管時の暗号化](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html)」を参照してください。

1. Inspector が KMS キーの混乱した代理として使用されるのを防ぐには、以下の追加手順に従います。

   1. KMS コンソールで CMK に移動します。

   1. **[編集]** を選択します。

   1. 次の条件を追加します。

      ```
           "Condition": {
              "StringEquals": {
                "aws:SourceAccount": <your account Id here>,
                "aws:SourceArn": "arn:aws:sns:*:*:*"
              }
            }
      ```

1. 作成したトピックへのサブスクリプションを作成します。詳細については、[チュートリアル :Amazon SNS トピックにエンドポイントをサブスクライブする](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)を参照してください。

1. サブスクリプションが正しく設定されていることを確認するには、そのトピックに対してメッセージを発行します。詳細については、[チュートリアル: Amazon SNS トピックにメッセージを発行する](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-publish-message-to-topic.html)を参照してください。