はじめに こんにちは、 ネクストモード株式会社 の sobar です。
はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
今回は CrowdStrike Cloud Security を利用したAWS ECRのイメージスキャン設定についてご紹介いたします。
CrowdStrike Cloud Security について
CrowdStrike Cloud Security はクラウド上での設定ミスの自動検知やワークロードのリアルタイム保護、アイデンティティ(権限)、脆弱性の管理を一元化することができます。マルチリージョン・マルチクラウド対応可能なサービスです。以下のブログも必要に応じてご確認ください。
- 【CrowdStrike】CNAPPとCrowdStrike Cloud SecurityとAWS
- 【CrowdStrike】Cloud SecurityでAWSとの連携設定方法について
- 【CrowdStrike】センサーのインストールについて_Linux編
- 【CrowdStrike】Falcon Container センサーのインストールについて
その他のCloud Securityの特徴やライセンスの詳細につきましては弊社までお問い合わせください。
CrowdStrikeテナントより『レジストリ内のイメージスキャン』設定を実施することでAWS ECRのイメージスキャンが実施可能となります。設定は 「1. CrowdStrike画面での設定&情報取得」→「2. AWS画面でのIAMロール作成」→「3. CrowdStrike画面での接続設定」 という流れで行います。それでは以下より設定を行っていきます。
AWS ECRのイメージスキャン設定
1. CrowdStrike画面での設定&情報取得
クラウドセキュリティ > イメージ評価設定 > 新しいレジストリーを追加をクリックします。
連携するAWS側でIAMを作成する必要があり、以下表示されているCrowdStrikeのAWS情報をコピーし控えます。
- CrowdStrike AWSのアカウントID
- AWSの外部ID
2. AWS画面でのIAMロール作成
連携するAWS管理コンソールへ移動します。※CrowdStrike管理UI上に表示されたAWS外部ID、CrowdStrike AWSのアカウントID をコピーして利用するため、ページはそのままにしておきます。外部IDはページを更新すると都度変更されますので、ご注意ください。
AWS管理コンソール上にて新しくIAMロールを作成をクリックします。
以下を入力・設定します。
- 信頼されたエンティティタイプ:AWSアカウント をチェック
- AWSアカウント
- 別のAWSアカウント をチェック
- アカウントID:控えたCrowdStrikeのAWSアカウントIDを入力
- 外部IDを要求するをチェック
- 外部ID:控えた外部IDを入力
許可ポリシーにて、「AmazonEC2ContainerRegistryReadOnly」を選択する。
ロール名を入力し、IAMロールを作成します。
作成したIAMロールを表示させ、「arn」をコピーして控えます。
3. CrowdStrike画面での接続設定
先ほど開いていたCrowdStrikeの画面に戻り、以下を設定してレジストリの接続を実施します。
- レジストリー名:任意の名前
- レジストリーのURL:https://$AWS_ACCOUNT_ID.dkr.ecr.$AWS_REGION.amazonaws.com というURL形式で入力
- AWS IAMのロール:控えた連携するIAMロールのARN
レジストリが追加され、接続ステータスが「Operational」になったら完了です。
さいごに
今回はCloud SecurityでAWS ECRのイメージスキャン実施方法についてご紹介いたしました。※CrowdStrike画面は2026年1月時点のものとなりますが、12月時点の表示内容からもアップデートされている箇所があるため、設定画面はあくまでも参考までとして見ていただければと思います。
この記事が、皆様のセキュリティ対策や、CrowdStrike Cloud Securityの運用の一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!
