Amazon Inspector により、Amazon EC2 インスタンスがスキャンされない理由を知りたいです。

簡単な説明

次の要因で、Amazon Inspector は EC2 インスタンスをスキャンしない場合があります。

• AWS Systems Manager Agent (SSM Agent) が最新ではない。
• EC2 インスタンスが Running 状態ではない。
• オペレーティングシステム (OS) が対応していない。
• インスタンスが AWS Systems Manager に接続されていない。
• Amazon Inspector が Systems Manager に関連付けられていない。

Amazon Inspector ダッシュボードを使用すると、インスタンスのステータスを監視できます。詳細については、「Amazon Inspectorを使用して Amazon EC2 インスタンスをスキャンする」を参照してください。

解決策

SSM Agent のバージョンを更新する

インスタンスをスキャンするには、SSM エージェントが Amazon Inspector で実行中である必要があります。SSM Agent の過去のバージョンを使用している場合は、更新をおすすめします。Systems Manager が SSM Agent を自動的に更新するように設定することもおすすめします。

SSM Agent を手動で更新するには、SSM Agent の通知にサブスクライブします。次に、Run コマンドで SSM エージェントを更新します。GitHub のウェブサイトでSSM Agent のリリースノートにサブスクライブする方法もあります。

インスタンスを再起動する

インスタンスが停止したため、EC2 インスタンスは停止ステータスとなり、Amazon Inspector はスキャンを一時停止しました。Amazon Inspector は EC2 インスタンスが停止しても、前回のスキャン結果を保持します。スキャンを再開するには、EC2 インスタンスを再起動します。

Amazon Inspector は、Systems Manager の関連付けで設定した間隔に基づいてスキャンします。Linux インスタンスと Windows インスタンスでは、スキャン間隔を変更できます。

Amazon Inspector が使用する OS をサポートしていることを確認する

インスタンスがAmazon Inspector がサポートしていないオペレーティングシステムまたはアーキテクチャを使用している場合、ステータスは Unsupported OS になります。

Linux のバージョンを確認するには、次のコマンドを実行します。

cat /etc/os-releaselsb_release -a
hostnamectl

Windows では、[システム情報] を検索し、開きます。

Amazon Inspector がお使いの OS をサポートしているかどうかを判断するには、インスタンスのスキャンがサポートされているオペレーティングシステムのリストを確認してください。

インスタンスが Systems Manager に接続されていることを確認します。

インスタンスが Systems Manager コンソールに表示されない場合は、AWSSupport-TroubleshootManagedInstance ランブックを実行して Systems Manager の構成に関する問題を特定します。詳細については、「使用している Amazon EC2 インスタンスが、Systems Manager でマネージドインスタンスとして表示されない理由を知りたいです」を参照してください。

インスタンスの Systems Manager への接続を確認するには、次の手順を実行します。

1. Amazon Inspector および、使用するインスタンスと同じ AWS リージョンで Systems Manager コンソールを開きます。
2. [Fleet Manager] を選択します。
3. [マネージドノード] で SSM Agent の ping ステータスを確認します。ステータスが Online の場合、インスタンスは SSM Agent に接続されています。

SSM Agent の ping ステータスが Connection Lost の場合は、インスタンスが Systems Manager の前提条件を満たしていることを確認してください。SSM Agent バージョン 3.1.501.0 以降を使用している場合は、ssm-cli コマンドラインを実行すると、問題を特定し、トラブルシューティングできます。

Amazon Inspector が Systems Manager に関連付けられているかどうかを確認する

ソフトウェアアプリケーションのインベントリを収集するには、Amazon Inspector と AWS アカウント内の State Manager (Systems Manager の機能) との関連付けが必要です。Amazon Inspector がインスタンスをスキャンするソフトウェアアプリケーションのインベントリを見つけられなかった場合は、ステータスは No inventory になります。

Amazon Inspector と State Manager が関連付けられているかどうかを確認するには、次の手順を実行します。

1. Amazon Inspector および、使用するインスタンスと同じリージョンで Systems Manager コンソールを開きます。
2. [State Manager] を選択します。
3. [関連付け] に InspectorInventoryCollection-do-not-delete という関連付けがあり、[ステータス] が Success であることを確認します。
4. InspectorInventoryCollection-do-not-delete の関連付けが存在しない場合は、すべてのインスタンスで SSM ドキュメント AWS-GatherSoftwareInventory を実行します。スキャンが行われていないインスタンスの関連付け ID を選択し、[イベント履歴] を選択すると詳細が表示されます。
5. InspectorInventoryCollection-do-not-delete の関連付けステータスが Failed の場合は、その関連付け ID を選択します。次に、[今すぐ関連付けを適用] を選択します。
6. InspectorInventoryCollection-do-not-delete の関連付けステータスを再度参照し、Failed から Success に変わったことを確認します。

Windows 用の Amazon Inspector SSM プラグインは自動的に Windows にインストールされます。EC2 スキャンを有効にすると、Amazon インスペクターは Windows リソース用の新しい SSM 関連付けを作成します。SSM の関連付けには、InspectorDistributor-do-not-delete、InspectorInventoryCollection-do-not-delete、InvokeInspectorSsmPlugin-do-not-delete などがあります、。関連付けのステータスが Failed の場合は、その関連付けを再度適用します。InspectorSsmPlugin.exe ファイルが存在しない場合は、InspectorDistributor-do-not-delete の SSM 関連付けにより、次の Windows スキャン時にプラグインが自動的に再インストールされます。詳細については、「Amazon Inspectorを使用して Amazon EC2 インスタンスをスキャンする」を参照してください。

ソフトウェアアプリケーション内にノードが存在することを確認する

次の手順を実行します。

1. Amazon Inspector および、使用するインスタンスと同じリージョンで Systems Manager コンソールを開きます。
2. [Fleet Manager] を選択します。
3. [マネージドノード] で該当するノード ID を選択します。次に [インベントリ] タブを選択し、インスタンスのインベントリにソフトウェアアプリケーションがあるかどうかを確認します。

インベントリ収集の頻度を 30 分ごとに設定することをおすすめします。インベントリ収集を最適化するには、関連付け InspectorInventoryCollection-do-not-delete を編集し、cron 式のレートを 30 分に設定します。

関連情報

AWS 環境での Amazon Inspector のカバレッジを評価する

Amazon Inspector Classicを設定して、Amazon EC2 インスタンスでセキュリティ評価を実行するにはどうすればよいですか?