「リスク検知とWebセキュリティ技術について」/iret tech labo #13

iret tech labo
忙しいあなたに代わってリスクを検知
あったら便利！CSPMのススメ
2021年10月28日
トレンドマイクロ株式会社

© 2021 Trend Micro Inc.
2
トレンドマイクロについて
ServerProtect
使ってます！
ウイルスバスター
の会社！

3
クラウドセキュリティ分野にも進出しています！
クラウドワークロードセキュリティ
市場シェア 3年連続No.1（※）
※ 出典: IDC, Worldwide Cloud Workload Security Market Shares,
2020 (June 2021, IDC #US47837121)
Worldwide Cloud Workload Security
2020 Share Snapshot

4
クラウドセキュリティサービス
Trend Micro Cloud One™
コンテナ対策
サーバレス環境
アプリケーション保護
ストレージ対策
仮想マシン対策
ネットワーク型IPS
OSSリスク検知
本日のテーマ

5
CSPMとは
クラウド上の
設定情報の取得
設定不備の
可視化
設定不備の
修復
・Cloud Security Posture Management
（クラウドセキュリティ態勢管理）
・クラウド上の設定不備やコンプライアンス違反
を特定し、
継続的にクラウド環境を管理していくことが目的

6
AdministratorAccess Policy
クラウド管理者が監視したい具体例
２、コンプライアンス準拠に違反する設定不備を監視
１、クラウドサービスの閲覧権限におけるPublic設定
を監視（例：Amazon S3）
４、許可していないリージョンでのアクティビティを監視
３、意図しない権限昇格がされていないか
AdministratorAccess Policyの付与の監視
５、CloudFormation Templateをスキャンすること
によるセキュリティ課題の早期発見
要件定
義
設計構築テスト運用
６、複数部署で利用されているマルチクラウド環境の可視化
※Google Cloudは2021年対応予定

7
Cloud One – Conformityとは
スキャン結果イメージ提供機能
特徴
AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる
設定不備･設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。
• Security and Compliance
－ AWS Well-Architected Frameworkをベースとして、
700個以上のルールで設定不備やコンプライアンス状況を可視化。
• Template Scanner
－ AWS CloudFormationやTerraformのTemplatesをアップロード
する事でテンプレート上のリスクを可視化・修復を支援。
• Real-Time Threat Monitoring
－ AWSアカウント上のリソースにルール違反がないかを
リアルタイムに検出。
• Auto-Remediation
－修正方法を提示、AWS Lambda(OSS)と連携することで、
簡易的なセキュリティやガバナンスの自動化を実現。
• AWS, Azureが提供する60以上のサービスに対応
（Google CloudはPublic Preview公開）
• 700を超えるルール
• AWS Well Architected Framework, PCIDSS,
HIPAA, NIST, GDPR, CIS、FISC安全対策基準などに対応

8
ユーザーインターフェイス
デモご覧ください！

9
デモ：ダッシュボード
複数アカウントの
全体サマリーを表示
(達成率、チェック数、
存在するリスク数等)
５つの柱で
コンプライアンス
達成率を表示
各コンプライアンスに
対しての達成率を
推移表示
各Region毎に
どのようなリスクレベル
が存在するかMapで確認
スキャン結果の詳細
ルール名、サービス、カテゴリなど、クラウド環境に
どういったリスクレベルが存在しているのか確認する
複数アカウント
の達成率を５つの
柱をベースとして
比較表示

10
デモ：検出結果(ルールベース)
ルール毎に各リソースの
準拠状況を一覧表示
修正方法の提示ページへ
のリンク
ルール毎にRisk Level の定義
バケット名
バケット名
バケット名
バケット名
検出ルール

11
デモ：検出結果(フレームワーク：FISC安全対策基準)
コンプライアンスフレームワークの
要件ID毎にチェック結果を表示
修正方法の提示ページへ
のリンク
その要件に関連する設定のルールを提示

12
Case1： Public READアクセスが付与されているS3バケット
忙しいあなたに代わって実際に計測してみた
手動チェック自動チェック(Conformity)
STEP数
時間
S3バケットが30個あった場合、
27秒×30個＝810秒(13.5分)
Conformityを使うと
約45秒
18分の1に工数削減！
４STEP
①Cloud One Conformityのコンソールを開く
②Browse all checksをクリック
③S3-001でフィルターをかける
④Failureのリソースを確認する
５STEP
①AWSマネジメントコンソールを開く
②S3を開く
③バケットのどれか１つを選択する
④アクセス許可のタブを開く
⑤アクセスコントロールリストを確認し、パブリックアクセスにな
っていないことを確認する
約27秒約45秒
※上記はいずれも手順を知っている前提で複数回計測した平均値です。
お客様の環境や状況に応じて変動する可能性がありますのであくまで参考情報としてください。

13
Case2：無制限のRDP接続が許可されているEC2インスタンス
忙しいあなたに代わって実際に計測してみた
手動チェック自動チェック(Conformity)
STEP数
時間
EC2インスタンスが30個あった場合、
61秒×30個＝1,830秒(30.5分)
Conformityを使うと
約28秒
約65分の1に工数削減！
４STEP
①Cloud One Conformityのコンソールを開く
②Browse all checksをクリック
③EC2-003でフィルターをかける
④Failureのリソースを確認する
７STEP
①AWSマネジメントコンソールを開く
②EC2を開く
③左のパネルからネットワーク＆セキュリティ配下のセキュリティグループを選択
する
④ポート範囲：RDP、プロトコル：TCPでフィルターをかける
⑤セキュリティグループのどれか１つを選択する
⑥インバウンドルールタブに移動する
⑦RDP設定のルールのソースに0.0.0.0/0があるか確認する
約61秒約28秒
※上記はいずれも手順を知っている前提で複数回計測した平均値です。
お客様の環境や状況に応じて変動する可能性がありますのであくまで参考情報としてください。

14
Conformityのポジショニング
５つの軸での
チェック
• ルール数の多さ
• レポートの頻度の
柔軟さ
• 通知機能の豊富さ
• ルール数の多さ
• レポート機能あり
構成変更の監視
自動修復
コンプライアンス
チェック
• コンプライアンスフレー
ムワーク数の多さ
• レポート機能あり
Conformity
Conformityと
AWSサービスで
似ている
箇所
Conformity
独自の
特徴
「マルチクラウド」「幅広いルール/コンプライアンス要件」「管理系機能の作りこみをしたくない」
是非Conformityをご検討ください！

15
• クラウド管理者にはたくさんの課題があるので
設定不備の監視はCSPMで自動化
• Cloud One Conformityを使うことで
マルチクラウド環境を統一したコンソールで管理可
→学習コストや運用コストの効率化
本日のまとめ

16
ありがとうございました！

17
TREND MICRO
Partner Engineer Award 2020
「クラウド部門」最優秀賞受賞
アイレット稲田です。お願いします。
ここからはアイレット様との対談です。
稲田様、お願いいたします！

「リスク検知とWebセキュリティ技術について」/iret tech labo #13

More Related Content

What's hot

Similar to 「リスク検知とWebセキュリティ技術について」/iret tech labo #13

「リスク検知とWebセキュリティ技術について」/iret tech labo #13