Trend Cloud One Workload Security から Trend Vision One Endpoint Security への移行手順
こんにちは、シマです。
Trend Cloud OneのEOLが発表され、多くの方にご利用いただいているCloud One Workload Security(以下、C1WS)もEOLの対象となっています。急ぎの対応については以下のブログ記事を公開いたしました。
しかし、C1WSも2027年12月でサポート終了になってしまうため、それまでの間にTrend Vision One Endpoint Security Server & Workload Protection(以下、V1ES)への移行が必要になっています。今回はその移行手順をご紹介します。
V1ESとは
V1ESは、C1WSの後継となるサービスです。基本的な機能は引き継がれつつ、Vision Oneプラットフォームの統合管理機能を活用できます。V1ES自体は従量課金で利用でき、C1WSのときの利用料金もほぼ変わらずに利用できるため、移行先の第一候補になると思います。
(※厳密には年間1Credits必要なため、1 USD/年はコスト増になります。)
Vision Oneの契約について
現時点(2025年10月)でのCloud Oneとの違いは以下の記事にまとめてありますのでご一読ください。
主に気を付けるべき点は2つあります。
- 1年後のライセンス更新を忘れないこと
- 途中でOfferの変更はできません。基本的にはライセンスの切れ目に実施いただく必要があります
準備
移行作業を始める前に、Vision One環境の準備を始めます。
今回はVision One環境の払い出しやMarketplaceでのオファー割り当てについても記載しますが、
基本的には以下の記事の「Private Offer 設定手順」と同じ流れで進めていきます。
既にVision One環境をお持ちの方はスキップしてください。
AWS MarketplaceでVision Oneを表示
まず、AWS MarketplaceでVision Oneのページにアクセスします。
AWS Marketplace: Trend Vision One
製品情報ページの上部に表示される「購入オプションを表示」ボタンをクリックしてください。
AWSアカウントへログイン
ログイン画面が表示されますので、サブスクリプションを設定するAWSアカウントでログインします。
Private Offerを選択
「Trend Vision One をサブスクライブ」画面が表示されたら、「オファータイプ」で「プライベートオファー」を選択します。クラスメソッド提供のPrivate Offerの場合、「オファー元」に「Classmethod, Inc.」と表示されます。
複数のオファーが表示されている場合は、「オファーの延長(Offer extended)」の日付が最新のものを選択してください。
ディメンションとユニットを設定
「ディメンション」から「Vision One credits」を選択し、「ユニット構成」が「1」になっていることを確認します。
従量課金制を利用するには、最低1 Creditsの購入が必要です。従量課金以外にCreditsを購入したい場合は、ここでユニット数を変更してください。
サブスクライブを実行
「購入の詳細」で、合計契約コストが想定通りであることを確認します。1 Credits購入の場合、その金額が表示されます。
問題なければ「サブスクライブ」ボタンをクリックします。
Vision Oneとの関連付け
サブスクライブ完了後、少し待ってから「アカウントを設定」ボタンをクリックします。
Vision Oneの画面で、「続行」ボタンをクリックします。
今回はVision One環境がない想定なので、「私の組織はプライマリユーザアカウントを持っていません」を選択し、「次へ」をクリックします。
登録する氏名、メールアドレス、パスワードを入力し「メールを確認」ボタンをクリックします。
先程のメールアドレス宛に確認コードが送信されるので、その内容を入力し、「送信」ボタンをクリックします。
ビジネス情報(ビジネス名、国/地域)を入力します。ここでのビジネス名の意味は、Vision Oneアカウント名として入力いただければと思います。
表示された内容に間違いがないことを確認して、チェックをつけて「有効化」ボタンをクリックします。
データセンターリージョン選択画面で「Japan」を選択し「Provision Console」ボタンをクリックします。
Vision Oneのページが表示され、準備完了となります。
移行手順
この移行手順は一度開始すると、途中で中止したり、元の Cloud One 環境に戻したりはできません。
また、次の点に注意が必要です。
- 可能な限り業務時間外やメンテナンス時間帯に作業することが推奨されています
- 更新中はC1WSへログインしているCloud Oneユーザーは全員強制的にサインアウトされます
次の2点も注意事項として記載されていますが、おそらく対象となる方は少数と想定されます。
- C1WSの機能であるアクティビティ監視は自動的に無効化される場合があります
- Cloud One環境でEndpoint Sensor のエージェントをご利用されている方はEndpoint Sensor のエージェントの自動移行はされません(別途対応が必要)
それでは実際の移行を進めていきます。
Trend Cloud One インスタンスの接続
Vision One管理コンソールへ先ほど作成したユーザ(プライマリユーザーアカウント)でログインし、「Service Management」→「Product Instance」を開き、「既存の製品を接続」をクリックします。
インスタンスタイプで「Trend Cloud One」を選択し、「トークンを生成」をクリックします。
表示された登録トークンをコピーします。
移行元のTrend Cloud Oneコンソールへログインし、「統合」をクリックします。
「Trend Vision One」から「登録トークンの登録」をクリックし、先ほどコピーしたトークンを貼り付けて、「登録」ボタンをクリックします。
Vision One管理コンソールで「Product Instance」の画面に、Cloud One環境が関連づいていることを確認します。
Cloud OneからVision Oneへ転送
Vision One管理コンソールへプライマリユーザーアカウントでログインし、「Service Management」→「Product Instance」を開き、対象のCloud Oneにある「アップデート」ボタンをクリックします。
該当する使用許諾契約書を確認し、チェックを付け、「アップデートに同意する」ボタンをクリックします。
表示されるシステムアップデートの通知を熟読し、下部のチェックボックスにチェックを付け、「接続して転送」ボタンをクリックします。
「Product Instance」に新しい項目が追加され、ステータスが「アップデート」になるのでしばらく待つと、「接続済み」になります。
Cloud Oneコンソール側は「移行済み」となり、以降はそちらで開くことはできなくなるので、Vision One側で確認する必要があります。
Vision Oneコンソール側で確認する際は、「Cloud Security」→「Server & Workload Protection」を開きます。複数の「Product Instance」がある場合は、画面上部から今回移行した対象を選択することで、従来のC1WSと似た画面を表示できます。
AWS連携更新
続いてAWSアカウント連携を更新します。Cloud OneとVision Oneではアカウント連携の方式が異なるため、ここのアップデートが必要です。
Vision Oneコンソールで「Cloud Security」→「Cloud Accounts」にアクセスし、有効な機能に「Legacy」と表示されているものをクリックします。
表示される画面から「アカウントをアップデート」をクリックします。
デプロイメント方法が「CloudFormation」、アカウントを選択してオンボードが「単一のAWSアカウント」になっていることを確認して、「次へ」をクリックします。
アカウント名にはVision One画面上で表示される任意の名前を入力し、連携するリージョンを選択します。Product Instanceには、先ほど移行したインスタンスが選択されていることを確認してください。設定完了後、「次へ」をクリックします。
利用する機能を有効化します。V1ESのみを利用する場合は「Core Features and Cyber Risk Exposure Management」を選択してください。使わない機能は無効にします。設定したら「次へ」をクリックし、「スタックを起動」ボタンをクリックします。
AWS CloudFormationの画面に遷移します。リージョンが想定したものになっていることを確認してください。パラメータはデフォルトのままで、最下部のチェックボックス(IAMリソース作成の承認)にチェックを入れて、「スタックの作成」ボタンをクリックします。
スタック作成が完了したら、Vision Oneコンソール画面に戻り、「終了」ボタンをクリックします。更新ボタンをクリックして、有効な機能が「Legacy」から「主な機能」に変わっていれば、更新完了です。
従量課金への切り替え
Trend Vision Oneコンソールへログインし、左ペインから「Administration」→「Credits & Billing」を選択し、「従量課金」タブから「請求モデルを管理」ボタンをクリックします。
「Endpoint Security」の欄で「Cloud One従量課金制」を「従量課金」へ変更し、「続行」ボタンをクリックします。
表示される確認画面で「確認」ボタンをクリックします。
再度、「請求モデルを管理」ボタンをクリックし、従量課金へ切り替わっていることを確認します。
ユーザの権限更新
Cloud Oneにいたユーザ情報は、Vision One環境でも移行前のリソースを操作できる権限で移行されています。しかし、なぜかタスクへのアクセスができない権限になっているため、ここで権限を付与していきます。
Vision One管理コンソールから「Service Management」→「Asset Visibility Management」をクリックし、表示される一覧から移行されてきたもの全てに対して実施します。
「アプリアセット」から「Server & Workload Protection (Selected)」→「Tasks (Selected)」→「Server & Workload Protection Tasks」→「Server & Workload Protection Manager - xxxx」にチェックを付けて、保存ボタンを押下します。
上記では、Cloud Oneからの移行元を対象に絞った権限のままですが、Vision One全体への権限を付与したい場合は役割を変更する必要があります。その場合は「Administration」→「User Accounts」で、移行してきたユーザ名をクリックし、任意のロールへ変更します。
ユーザの追加(オプション)
Vision Oneでユーザを追加する場合の手順です。不要な方はスキップしてください。
「Administration」→「User Accounts」から、「ユーザアカウントを追加」→「ローカルアカウントを追加」をクリックします。
アカウント欄にメールアドレスを入力し、役割を設定して、「追加」ボタンをクリックします。
Vision Oneの通知先変更
Vision Oneとしての通知の設定も確認します。「Administration」→「Notifications」を開き、宛先が想定通りになっていることを確認します。デフォルトでは最初のプライマリユーザアカウントのメールアドレスになっているので、必要に応じて変更します。
隣のタブに「サブスクリプション」があるので、こちらも同様に変更するのを忘れずに確認してください。
エージェント更新(オプション)
Vision Oneの機能を十分に利用するためにはエージェントの更新が必要です。一方で、Cloud Oneと比較してVision Oneでは機能が増えているため、システム要件で求められるスペックもあがっています。以下の要件を満たしているかご確認の上、必要に応じて更新をお願いします。
また、本アクションはエージェントの更新作業であるため、リアルタイムスキャン等の中断が想定されます。メンテナンス時間等に実施いただくことをおすすめいたします。Vision Oneの機能(CREM等)を利用される予定がない場合は、このタイミングで無理して更新する必要はないかもしれません。
Vision One管理コンソールから「Cloud Security」→「Server & Workload Protection」を開き、「コンピュータ」タブより対象EC2を右クリックし、「処理」→「Trend Vision One Endpoint Security Agentをインストールします」をクリックします。
記載されている注意事項を確認し、「送信」をクリックします。
なお、コンピュータの「列」から「Trend Vision One Endpoint Security Agentのシステムステータス」を有効にすることで、各EC2のV1ES エージェントの状態が確認できるため便利です。
プライマリユーザアカウントの移譲
必要に応じてプライマリユーザアカウントを移譲します。(作業者から運用管理者へアカウントをお渡しすることを想定)
Vision Oneコンソールへプライマリユーザアカウントでログインし、左ペインから「Administration」→「User Accounts」を選択し、プライマリユーザアカウント移譲先のユーザをクリックします。
プライマリユーザアカウント移譲先のユーザの権限を「Master Administrator」に変更して「保存」ボタンをクリックします。
プライマリユーザアカウントのメールアドレスをクリックします。
表示される「プライマリユーザーアカウントの所有権を移転する」をクリックします。
「次へ」をクリックします。
プライマリユーザーアカウントのメールアドレスへ確認コードが送信されるので、確認コードを入力し、「送信」ボタンを押下します。
新しいプライマリユーザアカウントを選択し、「転送の完了」ボタンを押下します。
アラート有効化
C1WS側で設定していた各ユーザのアラートメール設定が引き継がれていないと思うので、改めて設定をします。アラートメールを受信するユーザでVision Oneへログインを行います。「Cloud Security」→「Server & Workload Protection」を開き、「プロパティの編集」をクリックし、「連絡先情報」タブから「アラートメールを受信」を有効にし、「保存」ボタンをクリックします。
上記手順は各ユーザ毎に実施する必要があります。同様の手順は過去に個別で紹介済みなのでその内容を展開して実施してもらうと良いかもしれません。
Cloud One のAWS連携ロール削除
AWSマネジメントコンソールにログインします。Cloud OneのAWS連携で作成されていたIAMロール(DeepSecurity-XXXX)が残っていますので、そのロールが存在する場合は削除をお願いいたします。
※XXXXの箇所は任意の文字列
Cloud One ライセンスの解約
C1WSの従量課金が停止し、V1ESの従量課金が開始されていることを確認します。また、Trend Cloud Oneで他に利用しているサービスがないことを確認します。もし、他にCloud Oneで利用しているサービスがある場合は契約のキャンセルはしないでください。
クラスメソッドメンバーズをご利用の皆様はクラスメソッドメンバーズポータル(CMP)で料金を確認することになります。
検証環境での料金確認画面は次のようになりました。
注意点として、Trend Vision Oneの料金が発生しているだけでは不十分で、従量課金が開始されていることを確認する必要があります。Trend Vision Oneは開始時に1Credits購入しているため、従量課金の有無に関わらずその料金は発生します。確認すべきは、その初期料金ではなく、従量課金の設定が正常に完了しているかどうかです。
すべての Trend Cloud One サービスが正常に Vision One へ移行し、動作確認が完了したら、古い Cloud One の契約をキャンセルします。
AWSマネジメントコンソールにログインします。サービスメニューから「AWS Marketplace」を選択します。
サブスクリプションの一覧が表示されますので「Trend Cloud One」の「契約ID」のリンクをクリックします。
CPPOライセンスをキャンセルして良いかを再確認し、問題なければ画面内の「アクション」ボタンをクリックして表示されるメニュー内の「サブスクリプションをキャンセル」をクリックします。
確認画面が表示されますので入力フォームに「確認」と入力いただき、「はい、サブスクリプションをキャンセルする」をクリックします。
画面上部に「Trend Cloud Oneのサブスクリプションが正常にキャンセルされました。」と表示されたら解約手続きは完了になります。
まとめ
Trend Cloud One Workload Security から Vision One Endpoint Security への移行手順を解説しました。EOL に備えて、計画的に移行を進めましょう。
参考資料
