目次

サーバレス機能のセキュリティ診断を管理する

アプリケーションをサーバレス機能を使用して設計および実装すると、保護する必要のある機能の数がかなり多くなることがあります。そのため、セキュリティ評価全体を明確に把握できるだけでなく、すべての機能の可視性やセキュリティ管理の状態を把握することも困難です。

Assessmentビュー を使用すると、セキュリティ評価を確認し、サーバレス機能のセキュリティスコアの向上に取り組むことができます。クラウドプロバイダアカウントに設定されているすべてのサーバレス機能が一覧表示されます。全体的なセキュリティスコアや各機能のセキュリティ管理のステータスとともに、これらの機能を確認できます。他の Application Security ビューとは異なり、このビューはグループでフィルタされませんが、アカウントの全体的なビューが表示されます。

スクリーンショット

[Assessment]アイコン 診断アイコン をクリックして、[Assessment]ビューにアクセスします。[Assessment]ビューは、次のビューで構成されます。

  • 除外管理
  • Assessment Report
  • Vulnerable Libraries
  • Cloud Provider Accounts

除外管理

このセクションでは、[Assessment Reports]ビューに影響する除外を管理できます。[Include Exempted Functions]を切り替えると、レポートに含まれる除外対象の機能が更新されます。機能の除外方法を管理するには、除外管理を参照してください。

[Assessment Reports]ビュー

これは、[Assessment]ビューに移動したときに最初に表示されるビューです。ビューには3つのセクションがあります。

  • Functions Protection summary reports。ここでは、 Application Securityによる機能の保護について説明します。左側には、現在保護されている機能の数が表示されます。右側は[Function Protection Evolution]グラフです。これは、関数の数と、設定された期間(過去7日間、過去14日間、または先月)における関数の変化を示す積み上げ棒グラフです。これにより、新しい機能がいつ追加されたか、またはそのステータスが変更されたかどうかを確認できます。次のステータスがあります。

    • 保護されていません。機能が Application Security 保護ランタイムで設定されていないか、すべてのセキュリティコントロールが無効になっている保護ランタイムで設定されています。

    • 部分的に保護されています。機能は、 Application Security 保護レイヤまたはランタイムで設定されます。セキュリティコントロールの一部の保護の種類がレポート対象に設定されています。

    • 保護されています。機能は、 Application Security 保護レイヤまたはランタイムで設定されます。セキュリティコントロールで有効になっている保護の種類はすべて軽減に設定されています。

    Application Security では、技術的な理由で無効にする必要がある場合があるため、すべての種類の保護を有効にすることは強制されません。

    • 除外されました。(オプション)[Exempted]とマークされている機能。これらは、[Include Exempted Functions]が有効な場合にのみ表示されます。
  • Library Vulnerabilities summaryこのセクションには、関数内で使用されるさまざまなライブラリに関する脆弱性の現在の状態が表示されます。左側は機能の脆弱性の概要です。ライブラリの脆弱性の現在の状態が表示されます。右側は、機能の脆弱性の推移グラフです。設定した期間(過去7日間、過去14日間、および過去1か月)に発生したライブラリの脆弱性の状態の変化が表示されます。

  • Functions Inventoryこの表は、リンクされたプロバイダ内にあるすべての関数のリストです。行をクリックすると、機能の詳細が表示されます。行をクリックして除外ルールを作成することもできます。詳細については、除外管理を参照してください。

リストには次のフィールドが含まれます。

  • 関数名
  • プロバイダ
  • クラウドアカウントID
  • リージョン
  • 保護
  • グループ名
  • 脆弱性

表の上部にあるコントロールを使用してグループ化したり、フィルタを適用したりすることもできます。

[Vulnerable Libraries]ビュー

このビューには、脆弱なライブラリのリストが表示されます。リストには次のフィールドが含まれます。

  • 名前
  • バージョン
  • 言語
  • 脆弱性
  • 影響を受ける機能

除外する機能を含めるまたは除外することで、リストをフィルタできます。

[Cloud Provider Accounts]ビュー

このビューには、診断レポートに使用されるクラウドプロバイダアカウントのリストが表示されます。 Application Security にクラウドプロバイダアカウントを追加できます。このリストには次のフィールドがあります。

  • 名前
  • ConnectionID
  • プロバイダ
  • ステータス
  • LastSync

クラウドプロバイダアカウントの行をクリックすると、[Details]画面が開きます。このフィールドには、AWSの2つの追加フィールドとともに上記のフィールドが含まれます。

  • aw_external_id
  • aws_role_arn

[Details]画面では、アカウントを削除または編集できます。