Trend Vision OneのTemplate ScannerがAzureのリソースもスキャンできるようになりました

Trend Vision OneのTemplate ScannerがAzureのリソースもスキャンできるようになりました

2025.08.05

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?Trend Vision Oneには様々な機能がありますが、今回はCloud Risk ManagementのTemplate Scannerについてご紹介します。

以前、Template ScannerについてTerraform HCL(.tf)テンプレートを直接スキャンできるようになった記事を書きました。
https://dev.classmethod.jp/articles/202505-v1-template-scanner-terraform-api-01/

2025年7月18日のアップデートで、AWSに加えてAzureのリソースもスキャンできるようになったので、早速試してみます。
https://docs.trendmicro.com/en-us/documentation/article/trend-vision-one-__template-scanner-Azure-2

Azure対応で何が変わったか

以前のバージョンではAWSのリソースのみがサポートされていましたが、今回のアップデートでAzureのリソースもスキャン対象となりました。スキャン対象となるAzureリソースは次のとおりです。

サポートされるAzureリソース

サービス リソース サポート状況
StorageAccounts Accounts
StorageAccounts Accounts Blob Containers
PostgreSQL Flexible Servers
AppService Webapps
Network Network Security Groups
Network Virtual Networks
Network Network Interfaces
VirtualMachines Machines
VirtualMachines Machines Scale Sets
VirtualMachines Machines Disks
KeyVault Vaults
AIServices Services Accounts

最新のサポート状況については、テンプレートスキャナーの対象範囲で確認できます。

やってみた

今回はAzureのTerraformテンプレートをスキャンしてみましょう。
基本的な手順は以前のAWS記事と同じで、スキャンするファイルの内容をAzureのTerraformテンプレートに変更することで、Azureリソースのセキュリティチェックが実行されます。

前回の記事と同様にVision Oneコンソールでは未実装のようでしたので、APIでのスキャンを実施しました。
実際の手順については、以前の記事内の「APIでスキャンしてみた場合」をご参照ください。
https://dev.classmethod.jp/articles/202505-v1-template-scanner-terraform-api-01/#api%25E3%2581%25A7%25E3%2582%25B9%25E3%2582%25AD%25E3%2583%25A3%25E3%2583%25B3%25E3%2581%2597%25E3%2581%25A6%25E3%2581%25BF%25E3%2581%259F%25E5%25A0%25B4%25E5%2590%2588

スキャン結果の例

スキャン結果の例です。Azureリソースとして正しく認識されており、ポート22(SSH)への無制限アクセスが許可されていることが指摘されています。

{
    "id": "ccc:OrganisationId:Network-002:Network:global:azurerm_network_security_group.vulnerable_nsg",
    "ruleId": "Network-002",
    "provider": "azure",
    "ruleTitle": "Check for Unrestricted SSH Access",
    "riskLevel": "VERY_HIGH",
    "status": "FAILURE",
    "service": "Network",
    "description": "Security group nsg-vulnerable allows unrestricted access to port 22",
    "resource": "azurerm_network_security_group.vulnerable_nsg",
    "resourceType": "network-network-security-groups",
    "resourceId": "azurerm_network_security_group.vulnerable_nsg",
    "ignored": false,
    "categories": [
        "security"
    ],
    "compliances": [
        "CISAZUREF-2_0",
        "CISAZUREF-2_1",
        "CISAZUREF-3_0",
        "CIS-V8",
        "NIST4",
        "NIST5",
        "SOC2",
        "NIST-CSF",
        "NIST-CSF-2_0",
        "ISO27001",
        "ISO27001-2022",
        "AGISM",
        "AGISM-2024",
        "HIPAA",
        "HITRUST",
        "PCI",
        "PCI-V4",
        "APRA",
        "FEDRAMP",
        "MAS",
        "ENISA",
        "NIS-2",
        "FISC-V9",
        "FISC-V12"
    ],
    "region": "global",
    "tags": [
        "environment::test",
        "purpose::vulnerable-nsg"
    ],
    "notScored": false,
    "resolutionPageUrl": "https://www.cloudconformity.com/knowledge-base/azure/Network/unrestricted-ssh-access.html"
}

Azureテンプレートスキャンの利点

AWS、Azure両方を利用している組織では、同一のツールで両方のクラウド環境のセキュリティチェックができるため、運用の効率化が期待できます。
また、Azure環境においても、ISO27001、SOC2、NISTなど様々なコンプライアンス要件に対する準拠状況を事前に同一ツール内で確認できるのもうれしいですね。

最後に

今回はTrend Vision OneのTemplate ScannerのAzure対応について試してみました。AWSに加えてAzureもサポートされたことで、マルチクラウド環境でのセキュリティ管理がより包括的に行えるようになりました。

IaCを導入する前の段階でセキュリティリスクを検出できるため、開発初期段階でのセキュリティ対策強化に非常に有効なツールだと感じます。Azure環境をご利用の方は、ぜひ一度お試しください。

本記事がどなたかのお役に立てれば幸いです。

この記事をシェアする

facebookのロゴhatenaのロゴtwitterのロゴ

© Classmethod, Inc. All rights reserved.