「リスク検知とWebセキュリティ技術について」/iret tech labo #13
- 2. © 2021 Trend Micro Inc. 2 トレンドマイクロについて ServerProtect 使ってます! ウイルスバスター の会社!
- 3. © 2021 Trend Micro Inc. 3 クラウドセキュリティ分野にも進出しています! クラウドワークロードセキュリティ 市場シェア 3年連続No.1(※) ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2020 (June 2021, IDC #US47837121) Worldwide Cloud Workload Security 2020 Share Snapshot
- 4. © 2021 Trend Micro Inc. 4 クラウドセキュリティサービス Trend Micro Cloud One™ コンテナ対策 サーバレス環境 アプリケーション保護 ストレージ対策 仮想マシン対策 ネットワーク型IPS OSSリスク検知 本日のテーマ
- 5. © 2021 Trend Micro Inc. 5 CSPMとは クラウド上の 設定情報の取得 設定不備の 可視化 設定不備の 修復 ・Cloud Security Posture Management (クラウドセキュリティ態勢管理) ・クラウド上の設定不備やコンプライアンス違反 を特定し、 継続的にクラウド環境を管理していくことが目的
- 6. © 2021 Trend Micro Inc. 6 AdministratorAccess Policy クラウド管理者が監視したい具体例 2、コンプライアンス準拠に違反する設定不備を監視 1、クラウドサービスの閲覧権限におけるPublic設定 を監視(例:Amazon S3) 4、許可していないリージョンでのアクティビティを監視 3、意図しない権限昇格がされていないか AdministratorAccess Policyの付与の監視 5、CloudFormation Templateをスキャンすること によるセキュリティ課題の早期発見 要件定 義 設計 構築 テスト 運用 6、複数部署で利用されているマルチクラウド環境の可視化 ※Google Cloudは2021年対応予定
- 7. © 2021 Trend Micro Inc. 7 Cloud One – Conformityとは スキャン結果イメージ 提供機能 特徴 AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる 設定不備・設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。 • Security and Compliance - AWS Well-Architected Frameworkをベースとして、 700個以上のルールで設定不備やコンプライアンス状況を可視化。 • Template Scanner - AWS CloudFormationやTerraformのTemplatesをアップロード する事でテンプレート上のリスクを可視化・修復を支援。 • Real-Time Threat Monitoring - AWSアカウント上のリソースにルール違反がないかを リアルタイムに検出。 • Auto-Remediation - 修正方法を提示、AWS Lambda(OSS)と連携することで、 簡易的なセキュリティやガバナンスの自動化を実現。 • AWS, Azureが提供する60以上のサービスに対応 (Google CloudはPublic Preview公開) • 700を超えるルール • AWS Well Architected Framework, PCIDSS, HIPAA, NIST, GDPR, CIS、FISC安全対策基準などに対応
- 8. © 2021 Trend Micro Inc. 8 ユーザーインターフェイス デモご覧ください!
- 9. © 2021 Trend Micro Inc. 9 デモ:ダッシュボード 複数アカウントの 全体サマリーを表示 (達成率、チェック数、 存在するリスク数等) 5つの柱で コンプライアンス 達成率を表示 各コンプライアンスに 対しての達成率を 推移表示 各Region毎に どのようなリスクレベル が存在するかMapで確認 スキャン結果の詳細 ルール名、サービス、カテゴリなど、クラウド環境に どういったリスクレベルが存在しているのか確認する 複数アカウント の達成率を5つの 柱をベースとして 比較表示
- 10. © 2021 Trend Micro Inc. 10 デモ:検出結果(ルールベース) ルール毎に各リソースの 準拠状況を一覧表示 修正方法の提示ページへ のリンク ルール毎にRisk Level の定義 バケット名 バケット名 バケット名 バケット名 検出ルール
- 11. © 2021 Trend Micro Inc. 11 デモ:検出結果(フレームワーク:FISC安全対策基準) コンプライアンスフレームワークの 要件ID毎にチェック結果を表示 修正方法の提示ページへ のリンク その要件に関連する設定のルールを提示
- 12. © 2021 Trend Micro Inc. 12 Case1: Public READアクセスが付与されているS3バケット 忙しいあなたに代わって実際に計測してみた 手動チェック 自動チェック(Conformity) STEP数 時間 S3バケットが30個あった場合、 27秒×30個=810秒(13.5分) Conformityを使うと 約45秒 18分の1に工数削減! 4STEP ①Cloud One Conformityのコンソールを開く ②Browse all checksをクリック ③S3-001でフィルターをかける ④Failureのリソースを確認する 5STEP ①AWSマネジメントコンソールを開く ②S3を開く ③バケットのどれか1つを選択する ④アクセス許可のタブを開く ⑤アクセスコントロールリストを確認し、パブリックアクセスにな っていないことを確認する 約27秒 約45秒 ※上記はいずれも手順を知っている前提で複数回計測した平均値です。 お客様の環境や状況に応じて変動する可能性がありますのであくまで参考情報としてください。
- 13. © 2021 Trend Micro Inc. 13 Case2: 無制限のRDP接続が許可されているEC2インスタンス 忙しいあなたに代わって実際に計測してみた 手動チェック 自動チェック(Conformity) STEP数 時間 EC2インスタンスが30個あった場合、 61秒×30個=1,830秒(30.5分) Conformityを使うと 約28秒 約65分の1に工数削減! 4STEP ①Cloud One Conformityのコンソールを開く ②Browse all checksをクリック ③EC2-003でフィルターをかける ④Failureのリソースを確認する 7STEP ①AWSマネジメントコンソールを開く ②EC2を開く ③左のパネルからネットワーク&セキュリティ配下のセキュリティグループを選択 する ④ポート範囲:RDP、プロトコル:TCPでフィルターをかける ⑤セキュリティグループのどれか1つを選択する ⑥インバウンドルールタブに移動する ⑦RDP設定のルールのソースに0.0.0.0/0があるか確認する 約61秒 約28秒 ※上記はいずれも手順を知っている前提で複数回計測した平均値です。 お客様の環境や状況に応じて変動する可能性がありますのであくまで参考情報としてください。
- 14. © 2021 Trend Micro Inc. 14 Conformityのポジショニング 5つの軸での チェック • ルール数の多さ • レポートの頻度の 柔軟さ • 通知機能の豊富さ • ルール数の多さ • レポート機能あり • 通知機能の豊富さ 構成変更の監視 自動修復 コンプライアンス チェック • コンプライアンスフレー ムワーク数の多さ • レポート機能あり • 通知機能の豊富さ Conformity Conformityと AWSサービスで 似ている 箇所 Conformity 独自の 特徴 「マルチクラウド」「幅広いルール/コンプライアンス要件」「管理系機能の作りこみをしたくない」 是非Conformityをご検討ください!
- 15. © 2021 Trend Micro Inc. 15 • クラウド管理者にはたくさんの課題があるので 設定不備の監視はCSPMで自動化 • Cloud One Conformityを使うことで マルチクラウド環境を統一したコンソールで管理可 →学習コストや運用コストの効率化 本日のまとめ
- 16. © 2021 Trend Micro Inc. 16 ありがとうございました!
- 17. © 2021 Trend Micro Inc. 17 TREND MICRO Partner Engineer Award 2020 「クラウド部門」最優秀賞 受賞 アイレット稲田です。お願いします。 ここからはアイレット様との対談です。 稲田様、お願いいたします!