すべてのプロダクト
Search

このプロダクト

    Security Center:検出されたイメージリスクの表示と処理

    ドキュメントセンター

    Security Center:検出されたイメージリスクの表示と処理

    最終更新日:Apr 08, 2025

    セキュリティセンターは、イメージ内のシステムの脆弱性、アプリケーションの脆弱性、ベースラインリスク、および悪意のあるイメージサンプルを検出するためのコンテナイメージスキャン機能を提供し、検出されたリスクをカテゴリ別に表示します。 これにより、イメージの全体的なセキュリティステータスを表示できます。 このトピックでは、イメージのセキュリティリスクを表示および処理する方法について説明します。

    前提条件

    コンテナイメージスキャンが実行されます。 詳細については、「イメージのスキャン」をご参照ください。

    背景情報

    コンテナイメージスキャン機能を使用して、イメージシステムの脆弱性、イメージアプリケーションの脆弱性、ベースラインリスク、悪意のあるイメージサンプル、および機密性の高いイメージファイルを検出できます。 この機能を使用して、特定のイメージシステムの脆弱性のみを修正できます。 セキュリティセンターが提供する情報に基づいて、できるだけ早くコンテナのリスクを処理することをお勧めします。 情報には、コマンドの修正、影響の説明、悪意のあるファイルへのパスが含まれます。

    リスク統計の表示

    セキュリティセンターでは、リスクの高い、中程度の、および低いイメージの統計、およびスキャン済みとスキャンされていないイメージの統計とリストを表示できます。 これにより、リスクのあるイメージをすばやく識別できます。

    1. セキュリティセンターコンソールにログオンします。 上部のナビゲーションバーで、管理するアセットが存在するリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > イメージセキュリティスキャン を選択します。

    3. [イメージセキュリティ] ページで、次の統計情報を表示します。

      • リスクの高い、中程度の、および低いイメージの数

        [イメージ セキュリティ] ページの上部で、[高リスク イメージ][中リスク イメージ]、または [低リスク イメージ] の下の数字をクリックして、[コンテナ] ページの [イメージ] タブに移動します。 [イメージ] タブで、イメージの詳細を表示します。

      • スキャン済みイメージとスキャンされていないイメージの数

        [イメージセキュリティ] ページの上部で、[スキャン済みイメージ] または [スキャンされていないイメージ] の下の数字をクリックします。 [スキャン済みイメージ] パネルまたは [スキャンされていないイメージ] パネルで、スキャン済みイメージまたはスキャンされていないイメージを表示します。

        重要

        [スキャンされていないイメージ] パネルのイメージリストには、スキャンされていないイメージとスキャンに失敗したイメージが表示されます。

      • [コンテナイメージスキャン] のクォータ

        [コンテナイメージスキャン] の残りのクォータが不足している場合は、[クォータの増加] をクリックして、購入ページで追加のクォータを購入します。

    イメージスキャン結果の表示

    1. セキュリティセンターコンソールにログオンします。 上部のナビゲーションバーで、管理するアセットが存在するリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > イメージセキュリティスキャン を選択します。

    3. [イメージセキュリティ] ページで、次のタブをクリックしてイメージスキャン結果を表示します。

      イメージの脆弱性

      [システムの脆弱性] タブと [イメージアプリケーションの脆弱性] タブで、検出されたイメージシステムの脆弱性とイメージアプリケーションの脆弱性を表示します。 次の操作を実行できます。

      • 脆弱性の検索

        脆弱性リストの上部で、脆弱性の優先度、インスタンス ID、リポジトリ名、名前空間、ダイジェスト、または脆弱性名で脆弱性をフィルタリングします。 脆弱性の優先度は、高、中、または低にすることができます。 また、[イメージスキャン] または [コンテナランタイムイメージスキャン] を選択して、脆弱性をフィルタリングすることもできます。

        説明

        リポジトリまたは脆弱性名で脆弱性を検索できます。あいまい検索がサポートされています。

      • 脆弱性の詳細の表示

        詳細を表示する脆弱性を見つけて、[アクション] 列の [表示] をクリックします。 表示されるパネルで、ビジネス要件に基づいて次の操作を実行します。

        • Alibaba Cloud 脆弱性ライブラリの詳細を表示する

          Common Vulnerabilities and Exposures ( CVE ) ID をクリックして、Alibaba Cloud 脆弱性ライブラリに移動します。 このライブラリには、脆弱性の説明、基本情報、脆弱性を修正するためのソリューションなどの脆弱性の詳細が表示されます。

        • 修正コマンドと影響の説明を表示する

          影響を受けるイメージまたはコンテナのリストで、管理するイメージまたはコンテナを見つけて、[アクション] 列の [詳細] をクリックして、イメージの脆弱性の修正コマンドと影響の説明を表示します。

          説明

          Image Address/Version の右側に [PAI] ラベルがある場合、イメージは Platform for AI ( PAI ) を介してデプロイされていることを示します。

      イメージベースラインチェック

      [イメージベースラインチェック] タブで、イメージベースラインチェックの結果を表示します。 次の操作を実行できます。

      • イメージベースラインチェックの結果の検索

        イメージベースラインチェックの結果の上にあるフィルターを使用して、重大度別に結果を検索できます。 重大度には、[高リスク][中リスク][低リスク] が含まれます。 検索ボックスに検索条件を入力して、ベースライン名またはカテゴリ別に結果を検索することもできます。

      • イメージベースラインチェックの結果の表示

        イメージベースラインチェックの結果では、[ベースライン名/カテゴリ][影響を受けるイメージ][最終スキャン時間][最初のスキャン時間][ステータス] の各列の情報を表示できます。

      • イメージベースラインチェックの結果の詳細の表示

        イメージベースラインチェックの結果で、管理するベースラインを見つけて、[アクション] 列の [詳細] をクリックして、チェック結果の詳細を表示します。 ベースラインの影響を受けるイメージとコンテナに関する情報を表示できます。 情報には、イメージのアドレスとバージョン、最初のチェック時間、およびイメージとコンテナで検出された各リスクレベルでのベースラインリスクの数が含まれます。

        • 管理するイメージを見つけて、[アクション] 列の [詳細] をクリックします。 [リスク項目] パネルで、イメージのリスク項目の詳細を表示できます。

        • [影響を受けるイメージ] タブまたは [影響を受けるコンテナ] タブをクリックし、image アイコンをクリックして、影響を受けるイメージまたはコンテナに関する情報をエクスポートします。

      悪意のあるイメージサンプル

      重要

      悪意のあるイメージサンプルは、メモリ属性を読み取り可能および書き込み可能から読み取り可能および実行可能に変更したり、ネットワークプロキシ設定を変更してサーバーに侵入したりする可能性があります。 悪意のあるイメージサンプルはできるだけ早く処理することをお勧めします。

      [悪意のあるイメージサンプル] タブで、検出された悪意のあるイメージサンプルを表示します。 次の操作を実行できます。

      • 悪意のあるイメージサンプルの検索

        悪意のあるイメージサンプルリストの左上隅で、[緊急][疑わしい]、または [通知] を選択して、悪意のあるイメージサンプルをクエリします。 インスタンス ID、リポジトリ名、名前空間、ダイジェスト、または悪意のあるサンプル名で悪意のあるイメージサンプルをフィルタリングすることもできます。

      • 悪意のあるイメージサンプルの表示

        悪意のあるイメージサンプルのリストで、サンプル名、影響を受けるイメージの数、最初のスキャン時間、最後のスキャン時間、および処理ステータスを表示できます。

      • 悪意のあるイメージサンプルの詳細の表示

        詳細を表示する悪意のあるイメージサンプルを見つけて、[アクション] 列の [詳細] をクリックします。

      機密性の高いイメージファイル

      イメージの機密ファイル タブで、検出された機密性の高いイメージファイルを表示します。 次の操作を実行できます。

      • 機密性の高いイメージファイルの検索

        機密性の高いイメージファイルリストの左上隅で、[高リスク]、[中リスク]、または[低リスク] を選択して、機密性の高いイメージファイルをクエリします。 機密ファイルのアラートタイプまたは機密情報のタイプ別に、機密性の高いイメージファイルをフィルタリングすることもできます。

      • 機密性の高いイメージファイルの表示

        機密性の高いイメージファイルのリストで、機密ファイルのアラートタイプ、機密情報のタイプ、影響を受けるイメージと処理されていないイメージの数、最初のスキャン時間、および最後のスキャン時間を表示します。

      • 機密性の高いイメージファイルの詳細の表示

        機密イメージファイルの影響を受けるイメージを表示するには、機密イメージファイルを見つけて、[アクション] 列の [詳細] をクリックします。イメージに影響を与える機密イメージファイルを表示するには、影響を受けるイメージを見つけて、[アクション] 列の [詳細] をクリックします。

      イメージビルドコマンドのリスク

      [イメージビルドコマンドのリスク] タブで、イメージビルドコマンドのリスクを表示します。 次の操作を実行できます。

      • イメージビルドコマンドのリスクの検索

        イメージビルドコマンドのリスクの左上隅で、[高リスク][中リスク]、または [低リスク] を選択して、イメージビルドコマンドのリスクをクエリします。 リスクタイプまたはカテゴリ別に、イメージビルドコマンドのリスクをフィルタリングすることもできます。

      • イメージビルドコマンドのリスクの表示

        イメージビルドコマンドのリスクのリストで、リスクタイプ、リスクカテゴリ、影響を受けるイメージと処理されていないイメージの数、最初のスキャン時間、および最後のスキャン時間を表示します。

      • イメージビルドコマンドのリスクの詳細の表示

        イメージビルドコマンドのリスクの影響を受けるイメージを表示するには、リスクを見つけて、[アクション] 列の [詳細] をクリックします。イメージに影響を与えるイメージビルドコマンドのリスクを表示するには、影響を受けるイメージを見つけて、[アクション] 列の [詳細] をクリックします。

    4. オプション。 [イメージセキュリティ] ページで、[イメージの脆弱性][イメージベースラインチェック]、または [悪意のあるイメージサンプル] タブをクリックします。 タブのリストの右上隅にある 导出 アイコンをクリックして、スキャン結果をエクスポートします。

    検出されたイメージリスクの処理

    リスクの詳細と処理の提案に基づいて、脆弱性とリスクを処理できます。

    • [イメージの脆弱性]:修正コマンドと影響の説明に基づいて、イメージの脆弱性を修正します。

      セキュリティセンターでは、数回クリックするだけで特定のイメージシステムの脆弱性を修正できます。 影響を受けるイメージの脆弱性を修正するために使用できるイメージの更新が利用可能な場合は、次の方法を使用して迅速に修正を実行できます。

      説明

      イメージリポジトリでイメージの更新が利用可能かどうかを確認するには、左側のナビゲーションウィンドウで [アセット] > [コンテナー] を選択します。[コンテナー] ページで、[イメージ] タブをクリックします。詳細については、「コンテナーアセットの管理」トピックの イメージ情報の表示 セクションをご参照ください。

      • 脆弱性を手動で修正する:システムの脆弱性リストで、修正する脆弱性で [修正] ボタンが選択不可でない脆弱性を見つけて、修正修正[アクション] 列の 影響を受けるイメージ修正 をクリックします。 タブをクリックし、脆弱性を修正するイメージを見つけて、 列の をクリックします。

      • 自動修正を有効にする:修正期間と修正範囲を指定します。 詳細については、「イメージリスク修正の設定」の「イメージのスキャン」セクションをご参照ください。

    • [イメージベースラインチェック]:ベースラインチェック結果の詳細に基づいて、イメージのベースラインリスクを手動で処理します。

    • [悪意のあるイメージサンプル]:悪意のあるイメージファイルのパスなど、悪意のあるイメージサンプルの詳細に基づいて、できるだけ早く悪意のあるイメージサンプルを手動で処理することをお勧めします。

      悪意のあるイメージサンプルの影響を受けるイメージにリスクがないことを確認した場合は、悪意のあるイメージサンプルの詳細パネルで影響を受けるイメージを見つけて、[アクション] 列の [処理] をクリックして、イメージに対して生成されるアラートのタイプをホワイトリストに追加します。 アラートタイプをホワイトリストに追加すると、システムはホワイトリスト内のアラートタイプに対応する悪意のあるイメージサンプルのリスクをチェックしなくなります。

    • [機密性の高いイメージファイル][イメージビルドコマンドのリスク]:ビジネス状況に基づいてリスクを評価し、セキュリティリスクを引き起こす可能性のあるファイルとイメージビルドコマンドを削除して修正し、イメージを再作成することをお勧めします。

      機密ファイルまたはビルドコマンドの詳細パネルで、[アクション] 列の [処理] をクリックし、次のいずれかの処理方法を使用します。

      • [ホワイトリストに追加]:機密性の高いイメージファイルまたはイメージビルドコマンドにリスクがないことを確認した場合は、機密性の高いイメージファイルまたはイメージビルドコマンドに対して生成されるアラートのタイプをホワイトリストに追加できます。 アラートタイプをホワイトリストに追加すると、システムはホワイトリスト内のアラートタイプに対応する機密性の高いイメージファイルまたはイメージビルドコマンドのリスクをチェックしなくなります。

      • [無視]:システムは、リスクに対して生成されたアラートを無視します。 システムがイメージを再スキャンし、イメージが検出ポリシーの条件を満たしている場合、システムはアラートを生成します。

      • [誤検知としてマーク]:リスクが誤検知であることを確認した場合は、セキュリティセンターがフィードバックに基づいてスキャン機能を最適化します。

    イメージで検出されたリスクを処理した後、[イメージセキュリティ] ページの [即時スキャン] をクリックして、イメージを再スキャンし、スキャン結果を更新します。