
Trend Vision OneのTemplate ScannerがAzureのリソースもスキャンできるようになりました
こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?Trend Vision Oneには様々な機能がありますが、今回はCloud Risk ManagementのTemplate Scannerについてご紹介します。
以前、Template ScannerについてTerraform HCL(.tf)テンプレートを直接スキャンできるようになった記事を書きました。
2025年7月18日のアップデートで、AWSに加えてAzureのリソースもスキャンできるようになったので、早速試してみます。
Azure対応で何が変わったか
以前のバージョンではAWSのリソースのみがサポートされていましたが、今回のアップデートでAzureのリソースもスキャン対象となりました。スキャン対象となるAzureリソースは次のとおりです。
サポートされるAzureリソース
サービス | リソース | サポート状況 |
---|---|---|
StorageAccounts | Accounts | ✅ |
StorageAccounts | Accounts Blob Containers | ✅ |
PostgreSQL | Flexible Servers | ✅ |
AppService | Webapps | ✅ |
Network | Network Security Groups | ✅ |
Network | Virtual Networks | ✅ |
Network | Network Interfaces | ✅ |
VirtualMachines | Machines | ✅ |
VirtualMachines | Machines Scale Sets | ✅ |
VirtualMachines | Machines Disks | ✅ |
KeyVault | Vaults | ✅ |
AIServices | Services Accounts | ✅ |
最新のサポート状況については、テンプレートスキャナーの対象範囲で確認できます。
やってみた
今回はAzureのTerraformテンプレートをスキャンしてみましょう。
基本的な手順は以前のAWS記事と同じで、スキャンするファイルの内容をAzureのTerraformテンプレートに変更することで、Azureリソースのセキュリティチェックが実行されます。
前回の記事と同様にVision Oneコンソールでは未実装のようでしたので、APIでのスキャンを実施しました。
実際の手順については、以前の記事内の「APIでスキャンしてみた場合」をご参照ください。
スキャン結果の例
スキャン結果の例です。Azureリソースとして正しく認識されており、ポート22(SSH)への無制限アクセスが許可されていることが指摘されています。
{
"id": "ccc:OrganisationId:Network-002:Network:global:azurerm_network_security_group.vulnerable_nsg",
"ruleId": "Network-002",
"provider": "azure",
"ruleTitle": "Check for Unrestricted SSH Access",
"riskLevel": "VERY_HIGH",
"status": "FAILURE",
"service": "Network",
"description": "Security group nsg-vulnerable allows unrestricted access to port 22",
"resource": "azurerm_network_security_group.vulnerable_nsg",
"resourceType": "network-network-security-groups",
"resourceId": "azurerm_network_security_group.vulnerable_nsg",
"ignored": false,
"categories": [
"security"
],
"compliances": [
"CISAZUREF-2_0",
"CISAZUREF-2_1",
"CISAZUREF-3_0",
"CIS-V8",
"NIST4",
"NIST5",
"SOC2",
"NIST-CSF",
"NIST-CSF-2_0",
"ISO27001",
"ISO27001-2022",
"AGISM",
"AGISM-2024",
"HIPAA",
"HITRUST",
"PCI",
"PCI-V4",
"APRA",
"FEDRAMP",
"MAS",
"ENISA",
"NIS-2",
"FISC-V9",
"FISC-V12"
],
"region": "global",
"tags": [
"environment::test",
"purpose::vulnerable-nsg"
],
"notScored": false,
"resolutionPageUrl": "https://www.cloudconformity.com/knowledge-base/azure/Network/unrestricted-ssh-access.html"
}
Azureテンプレートスキャンの利点
AWS、Azure両方を利用している組織では、同一のツールで両方のクラウド環境のセキュリティチェックができるため、運用の効率化が期待できます。
また、Azure環境においても、ISO27001、SOC2、NISTなど様々なコンプライアンス要件に対する準拠状況を事前に同一ツール内で確認できるのもうれしいですね。
最後に
今回はTrend Vision OneのTemplate ScannerのAzure対応について試してみました。AWSに加えてAzureもサポートされたことで、マルチクラウド環境でのセキュリティ管理がより包括的に行えるようになりました。
IaCを導入する前の段階でセキュリティリスクを検出できるため、開発初期段階でのセキュリティ対策強化に非常に有効なツールだと感じます。Azure環境をご利用の方は、ぜひ一度お試しください。
本記事がどなたかのお役に立てれば幸いです。