Security Center は、コンテナイメージをスキャンして、システム脆弱性、アプリケーション脆弱性、ベースラインリスク、悪意のあるイメージサンプル、および機密イメージファイルを検出します。本トピックでは、リスクカテゴリ別にスキャン結果を確認する方法と、検出された各タイプのリスクに対応する手順について説明します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
少なくとも 1 回のコンテナイメージスキャンを完了しています。詳細については、「イメージのスキャン」をご参照ください。
リスク統計の確認
コンテナイメージスキャン ページでは、高リスク、中リスク、低リスクのイメージ数およびスキャン済み/未スキャンのイメージ数など、イメージのセキュリティ状況の概要を確認できます。
Security Center コンソールSecurity Center コンソール にログインします。上部のナビゲーションバーから、対象リソースが存在するリージョンを選択します。「中国」または「中国国外」を選択できます。
左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > コンテナイメージスキャン の順に選択します。
コンテナイメージスキャン ページの上部セクションで、以下の統計情報を確認します。
高リスクイメージ、中リスクイメージ、低リスクイメージ:各ラベル下の数値をクリックすると、コンテナページの「イメージ」タブに移動し、影響を受けるイメージの詳細を確認できます。
スキャン済みイメージ、未スキャンイメージ:数値をクリックすると、スキャン済みまたは未スキャンのイメージ一覧を表示するパネルが開きます。重要:未スキャンイメージ パネルには、スキャンが実行されていないイメージおよびスキャンに失敗したイメージの両方が含まれます。
コンテナイメージスキャン クォータ:残りクォータが不足している場合は、クォータの引き上げ をクリックして追加クォータを購入してください。
イメージスキャン結果の確認
Security Center コンソールSecurity Center コンソール にログインします。上部のナビゲーションバーから、対象リソースが存在するリージョンを選択します。「中国」または「中国国外」を選択できます。
左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > コンテナイメージスキャン の順に選択します。
コンテナイメージスキャン ページで、リスクカテゴリ別に結果を表示するためのタブをクリックします。利用可能なタブは以下のとおりです。
タブ 操作内容 イメージ脆弱性 イメージ内で検出されたシステム脆弱性およびアプリケーション脆弱性を確認します。優先度、インスタンス ID、リポジトリ、名前空間、ダイジェスト、または脆弱性名でフィルターできます。CVE ID をクリックすると、Alibaba Cloud 脆弱性ライブラリが開きます。 イメージベースラインチェック 深刻度別にベースラインチェック結果を確認します。詳細 をクリックすると、影響を受けるイメージおよびコンテナ、リスク件数、イメージごとのリスク項目を確認できます。 悪意のあるイメージサンプル 「緊急」「疑わしい」「通知」のカテゴリに分類された検出済みの悪意のあるサンプルを確認します。詳細 をクリックすると、影響を受けるイメージおよび対応オプションを確認できます。 機密イメージファイル イメージ内で検出された機密ファイルを、リスクレベルまたはアラートタイプでフィルターして確認します。詳細 をクリックすると、影響を受けるイメージまたは特定のイメージに影響を与えるファイルを確認できます。 イメージビルドコマンドのリスク イメージビルドコマンド内のリスクを、リスクレベル、リスクタイプ、またはカテゴリでフィルターして確認します。詳細 をクリックすると、影響を受けるイメージまたは特定のイメージに影響を与えるリスクを確認できます。
イメージ脆弱性タブ
システム脆弱性 および イメージアプリケーション脆弱性 のサブタブで、ご利用のイメージ内で検出された脆弱性を確認します。
脆弱性のフィルター
脆弱性の優先度(高、中、低)、インスタンス ID、リポジトリ名、名前空間、ダイジェスト、または脆弱性名でフィルターできます。「イメージスキャン」または「コンテナランタイムイメージスキャン」を選択すると、スキャンタイプで結果を絞り込めます。
リポジトリ名または脆弱性名によるフィルターでは、あいまい検索がサポートされています。
脆弱性の詳細の確認
該当する脆弱性を見つけ、表示 をクリックします(操作 列)。表示されるパネルで以下の操作が可能です。
共通脆弱性および曝露(CVE)ID をクリックすると、脆弱性の説明、基本情報、修正推奨事項を含む Alibaba Cloud 脆弱性ライブラリが開きます。
影響を受けるイメージまたはコンテナの一覧で、詳細 をクリックします(操作 列)。これにより、そのイメージに対する修正コマンドおよび影響の説明を確認できます。
イメージアドレス/バージョン の右側に PAI が表示されている場合、そのイメージは Platform for AI(PAI)を介してデプロイされています。
イメージベースラインチェックタブ
イメージベースラインチェック タブで、ベースラインチェック結果を確認します。
結果のフィルター
深刻度(高リスク、中リスク、低リスク)、ベースライン名、またはカテゴリでフィルターできます。
チェック結果の詳細の確認
結果一覧には、各ベースラインの ベースライン名/カテゴリ、影響を受けるイメージ、最終スキャン時刻、初回スキャン時刻、ステータス が表示されます。
ベースラインの 詳細 をクリックします(操作 列)。表示される詳細パネルで以下の操作が可能です。
影響を受けるイメージのアドレスおよびバージョン、初回チェック時刻、各リスクレベルにおけるベースラインリスク件数を確認できます。
特定のイメージの 詳細 をクリックすると、リスク項目 パネルでそのイメージのリスク項目を確認できます。
影響を受けるイメージ または 影響を受けるコンテナ タブをクリックし、
をクリックして一覧をエクスポートできます。
悪意のあるイメージサンプルタブ
悪意のあるイメージサンプルは、メモリ属性を読み取り可能・書き込み可能から読み取り可能・実行可能に変更したり、ネットワークプロキシ設定を変更してサーバーに侵入したりする可能性があります。悪意のあるイメージサンプルは、できるだけ速やかに対応してください。
結果のフィルター
一覧の左上隅で、緊急、疑わしい、または 通知 を選択して、深刻度でフィルターできます。また、インスタンス ID、リポジトリ名、名前空間、ダイジェスト、または悪意のあるサンプル名でもフィルターできます。
サンプルの詳細の確認
一覧には、サンプル名、影響を受けるイメージ数、初回スキャン時刻、最終スキャン時刻、処理ステータスが表示されます。詳細 をクリックします(操作 列)。これにより、該当サンプルの詳細パネルが開きます。
機密イメージファイルタブ
結果のフィルター
左上隅で、高リスク、中リスク、または 低リスク を選択してフィルターできます。また、機密ファイルのアラートタイプまたは機密情報の種類でもフィルターできます。
ファイルの詳細の確認
一覧には、アラートタイプ、機密情報の種類、影響を受けるイメージ数および未対応イメージ数、初回スキャン時刻、最終スキャン時刻が表示されます。
詳細 をクリックします(操作 列)。
機密イメージファイルのエントリの場合:そのファイルの影響を受けるイメージを確認できます。
影響を受けるイメージのエントリの場合:そのイメージに影響を与える機密ファイルを確認できます。
イメージビルドコマンドのリスクタブ
結果のフィルター
左上隅で、高リスク、中リスク、または 低リスク を選択してフィルターできます。また、リスクタイプまたはカテゴリでもフィルターできます。
リスクの詳細の確認
一覧には、リスクタイプ、リスクカテゴリ、影響を受けるイメージ数および未対応イメージ数、初回スキャン時刻、最終スキャン時刻が表示されます。
詳細 をクリックします(操作 列)。
リスクのエントリの場合:そのリスクの影響を受けるイメージを確認できます。
影響を受けるイメージのエントリの場合:そのイメージに影響を与えるビルドコマンドのリスクを確認できます。
スキャン結果のエクスポート
イメージ脆弱性、イメージベースラインチェック、または 悪意のあるイメージサンプル タブで、一覧の右上隅にある 
をクリックして、スキャン結果をエクスポートします。
検出されたイメージリスクへの対応
スキャン結果を確認した後、各リスクタイプの詳細および利用可能な是正オプションに基づいて、適切に対応してください。
イメージ脆弱性
修正コマンドおよび影響の説明に基づいて脆弱性を修正します。Security Center では、コンソールから直接修正可能な特定のイメージシステム脆弱性のみをサポートしています。
リポジトリに更新済みイメージが提供されているかどうかを確認するには、左側のナビゲーションウィンドウで 資産 > コンテナ を選択し、「イメージ」タブをクリックします。詳細については、「イメージ情報の表示」セクション(「コンテナ資産の管理」トピック内)をご参照ください。
脆弱性を解消する更新済みイメージが存在する場合、以下の 2 つの修正方法が利用可能です。
手動修正:脆弱性一覧で、有効な 修正 ボタンが表示されている脆弱性を見つけ、修正 をクリックします(操作 列)。その後、影響を受けるイメージ タブをクリックし、対象イメージを見つけ、修正 をクリックします。
自動修正:修正期間および範囲を設定します。詳細については、「イメージリスクの修正設定」セクション(「イメージのスキャン」トピック内)をご参照ください。
イメージベースラインリスク
イメージベースラインチェック タブに表示される詳細に基づき、手動でベースラインリスクに対応します。
悪意のあるイメージサンプル
悪意のあるファイルのパスおよびサンプル詳細パネル内のその他の情報を活用して、できるだけ速やかに対応してください。
影響を受けるイメージが安全であることが確認済みの場合は、サンプル詳細パネルで該当イメージを見つけ、対応 をクリックします(操作 列)。これにより、アラートタイプがホワイトリストに登録され、Security Center はそのアラートタイプについて当該イメージのチェックを停止します。
機密イメージファイルおよびイメージビルドコマンドのリスク
ビジネス要件に応じてリスクを評価し、セキュリティリスクをもたらすファイルおよびイメージビルドコマンドを削除または修正したうえで、イメージを再作成します。
機密ファイルまたはビルドコマンドの詳細パネルで、対応 をクリックします(操作 列)し、対応方法を選択します。
| 方法 | 効果 |
|---|---|
| ホワイトリストへの登録 | アラートタイプをホワイトリストに登録します。Security Center は、そのアラートタイプについてのチェックを停止します。 |
| 無視 | 現在のアラートを却下します。今後スキャンで同一条件が検出された場合、新しいアラートが生成されます。 |
| 誤検知としてマーク | 誤検知として報告することで、Security Center のスキャン精度向上に貢献します。 |
対応後の再スキャン
検出されたリスクに対応した後、即時スキャン をクリックします(コンテナイメージスキャン ページ)。これにより、イメージが再スキャンされ、結果が更新されます。