

 サポート終了通知: 2026 年 5 月 20 日、 AWS は Amazon Inspector Classic のサポートを終了します。2026 年 5 月 20 日以降、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。Amazon Inspector Classic は、過去 6 か月間に評価を完了していない新しいアカウントやアカウントで利用できなくなりました。他のすべてのアカウントでは、アクセスは 2026 年 5 月 20 日まで有効です。その後、Amazon Inspector Classic コンソールまたは Amazon Inspector Classic リソースにアクセスできなくなります。詳細については、[Amazon Inspector Classic のサポート終了](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ネットワーク到達可能性
<a name="inspector_network-reachability"></a>

ネットワーク到達可能性パッケージのルールは、ネットワーク設定を分析して EC2 インスタンスのセキュリティ上の脆弱性を見つけます。Amazon Inspector が生成した結果から、安全ではないアクセスの許可に関するガイダンスも得られます。

Network Reachability ルールパッケージは、 AWS [Provable Security](https://aws.amazon.com/security/provable-security/) イニシアチブの最新テクノロジーを使用します。

これらのルールによって生成された結果は、ポートがインターネットからインターネットゲートウェイ (アプリケーション ロード バランサー または クラシックロードバランサー の背後のインスタンスを含む)、VPC ピアリング接続、または仮想ゲートウェイを介した VPN を通じて到達可能かどうかを示します。これらの結果では、管理が誤っているセキュリティグループ、ACL、IGW など、潜在的に悪意のあるアクセスを許可するネットワーク設定もハイライトされています。

これらのルールは、AWS ネットワークのモニタリングを自動化し、EC2 インスタンスへのネットワークアクセスが誤って設定されている可能性がある場所を特定するのに役立ちます。このパッケージを評価の実行に含めることで、スキャナーをインストールしてパケットを送信しなくても、特に VPC ピアリング接続と VPN では、維持するのに複雑でコストがかかる、詳細なネットワークセキュリティチェックを実装できます。

**重要**  
Amazon Inspector Classic エージェントは、このルールパッケージを使用して EC2 インスタンスを評価する必要はありません。ただし、インストールされているエージェントは、ポートで待機しているプロセスの存在に関する情報を提供できます。Amazon Inspector Classic でサポートされていないオペレーティングシステムにエージェントをインストールしないでください。サポートされていないオペレーティングシステムを実行するインスタンスにエージェントが存在する場合、ネットワーク到達可能性ルールパッケージはそのインスタンスでは機能しません。

詳細については、「[サポートされているオペレーティングシステムの Amazon Inspector Classic ルールパッケージ](inspector_rule-packages_across_os.md)」を参照してください。

## 分析された設定
<a name="inspector_network-reachability-configurations"></a>

ネットワーク到達可能性ルールは以下のエンティティの設定の脆弱性を分析します。
+ [Amazon EC2 インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [アプリケーション ロード バランサー](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html#alb)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [弾性ロードバランサ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html)
+ [弾性ネットワークインターフェース](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [インターネットゲートウェイ (IGW)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [ネットワークアクセスコントロールリスト (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [ルートテーブル](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [セキュリティグループ (SG)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [サブネット](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [仮想プライベートクラウド (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [仮想プライベートゲートウェイ (VGW)](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [VPC ピアリング接続](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)

## 到達可能性ルート
<a name="inspector_network-reachability-Types"></a>

ネットワーク到達可能性ルールは、次の到達可能性ルートを確認します。これは、VPC の外部からポートにアクセスできる方法に対応しています。
+ **`Internet`** - インターネットゲートウェイ (アプリケーション ロード バランサー および クラシックロードバランサー を含む)
+ **`PeeredVPC`** - VPC ピアリング接続
+ **`VGW`** - 仮想プライベートゲートウェイ

## 結果のタイプ
<a name="inspector_network-reachability-types"></a>

ネットワーク到達可能性ルールパッケージを含む評価では、各到達可能性ルートについて次のタイプの結果が返される可能性があります。
+ [`RecognizedPort`](#inspector_network-reachability-types-1)
+ [`UnrecognizedPortWithListener`](#inspector_network-reachability-types-2)
+ [`NetworkExposure`](#inspector_network-reachability-types-3)

### `RecognizedPort`
<a name="inspector_network-reachability-types-1"></a>

一般的によく知られているサービスに使用されるポートは到達可能です。エージェントがターゲット EC2 インスタンスに存在する場合、生成された結果はポートにアクティブなリスニングプロセスがあるかどうかも示します。このタイプの結果には、よく知られているサービスのセキュリティへの影響に基づいて重大度が指定されます。
+ **`RecognizedPortWithListener`** – 認識されたポートは、特定のネットワークコンポーネントを介してパブリックインターネットにより外部から到達可能であり、プロセスはそのポートでリッスンしています。
+ **`RecognizedPortNoListener`** – ポートは、特定のネットワークコンポーネントを介してパブリックインターネットにより外部から到達可能であり、そのポートでリッスンしているプロセスはありません。
+ **`RecognizedPortNoAgent`** – ポートは、特定のネットワークコンポーネントを介してパブリックインターネットにより外部から到達可能です。ターゲットインスタンスにエージェントをインストールしないと、ポートをリッスンしているプロセスが存在するかどうかを判断できません。

次のテーブルは、認識されているポートの一覧を示しています。


|  サービス  |  TCP ポート  |  UDP ポート  | 
| --- | --- | --- | 
| SMB | 445 | 445 | 
| NetBIOS | 137、139 | 137、138 | 
| LDAP | 389 | 389 | 
| TLS 経由の LDAP | 636 |  | 
| グローバルカタログ LDAP | 3268 |  | 
| TLS経由のグローバルカタログLDAP | 3269 |  | 
| NFS | 111、2049、4045、1110 | 111、2049、4045、1110 | 
| Kerberos | 88、464、543、544、749、751 | 88、464、749、750、751、752 | 
| RPC | 111、135、530 | 111、135、530 | 
| WINS | 1512、42 | 1512、42 | 
| DHCP | 67、68、546、547 | 67、68、546、547 | 
| Syslog | 601 | 514 | 
| 印刷サービス | 515 |  | 
| Telnet | 23 | 23 | 
| FTP | 21 | 21 | 
| SSH | 22 | 22 | 
| RDP | 3389 | 3389 | 
| MongoDB | 27017、27018、27019、28017 |  | 
| SQL Server | 1433 | 1434 | 
| MySQL | 3306 |  | 
| PostgreSQL | 5432 |  | 
| Oracle | 1521、1630 |  | 
| Elasticsearch | 9300、9200 |  | 
| HTTP | 80 | 80 | 
| HTTPS | 443 | 443 | 

### `UnrecogizedPortWithListener`
<a name="inspector_network-reachability-types-2"></a>

前記のテーブルに記載されていないポートは到達可能で、アクティブなリスニングプロセスがあります。このタイプの結果はリスニングプロセスに関する情報を示すため、Amazon Inspector エージェントがターゲット EC2 インスタンスにインストールされている場合にのみ生成できます。このタイプの結果は **低)**の重要度が与えられます。

### `NetworkExposure`
<a name="inspector_network-reachability-types-3"></a>

このタイプの結果は、EC2 インスタンスで到達可能なポートに関する集計情報を示しています。EC2 インスタンスの 弾性ネットワークインターフェース とセキュリティグループの組み合わせごとに、到達可能な TCP および UDP ポート範囲のセットが示されます。このタイプの結果の重要度は、**情報)**です。