Amazon ECRは、コンテナイメージの脆弱性スキャン機能を提供し、CVE（共通脆弱性識別子）データベースに基づいてセキュリティ問題を検出します。

ECRには基本スキャンと拡張スキャン（Inspector）の2つのオプションがあり、それぞれ異なるスキャンタイミングと機能を提供します。資格試験では、これらの違いと適切な選択基準の理解が重要です。

ECRコンテナイメージスキャンに関連した資格試験で重要なトピックを解説します。

基本スキャンと拡張スキャンの最も重要な違いは、スキャンタイミングと管理スコープにあります。この比較表は、両方式の特性と使用シナリオの違いを示しています。

上記の比較表に示すように、基本スキャンはプッシュ時のスキャンに特化しています。このモードでは、イメージがECRリポジトリにプッシュされた時点で自動的にスキャンが実行されます。CI/CDパイプライン内での早期脆弱性検出に最適で、設定がシンプルで運用負荷が軽いという特徴があります。

一方、拡張スキャン（Inspector）は継続的なスキャンを提供します。新しいCVEが発見された際に既存イメージを再スキャンし、AWS Organizations全体での一元管理が可能です。Security Hubとの統合により一元的なダッシュボードでスキャン結果を表示でき、規制要件やコンプライアンス監査に対応できます。

比較表で確認できるように、両方式ともCVEデータベースに基づく脆弱性検出を提供しますが、拡張スキャンではより高度な検出機能と組織レベルの管理機能が利用できます。選択の基準は、スキャンタイミングの要件と管理スコープの必要性によって決まります。

異なる用途や要件に対して、適切なスキャン方式を実装する必要があります。この図は主要な実装パターンを示しています。

図の上部に示すCI/CDパイプライン統合では、基本スキャンが最適です。プッシュ時の即座のスキャンにより、ビルドプロセス内で脆弱性を早期検出し、デプロイ前にゲート機能として機能します。設定が簡潔で、開発チームの負担を最小化できます。

図の中段の規制要件対応・コンプライアンス監査では、拡張スキャン（Inspector）が必須です。継続的なスキャンにより新しいCVEに対する継続的な監視が可能で、Security Hubでの結果統合により包括的な脆弱性管理を実現します。

図の下段のマルチアカウント環境でも拡張スキャンが推奨されます。委任管理者の設定により、組織全体でのスキャンポリシーを統一でき、統一ダッシュボードで複数アカウントにわたる一元的な監視を構築できます。

図の右側に示すように、すべてのパターンでIAMによるアクセス制御とCloudTrailによる監査証跡が共通基盤となります。これにより、スキャン結果へのアクセスと操作履歴を適切に管理できます。

ここまで学んだ2つの核心パターンを、実践的な問題で確認しましょう。各問題は実際の企業シナリオに基づいており、適切なスキャン方式の選択能力を評価します。

ECRコンテナイメージスキャンは、CI/CDパイプライン統合と継続的監視要件に応じて適切な方式を選択することが重要です。基本スキャンと拡張スキャンの適切な選択により、様々な運用要件とコンプライアンス要件に対応できます。

これらの機能を適切に組み合わせることで、開発効率を維持しつつ、規制要件を満たす包括的なコンテナセキュリティ戦略を実装できます。