「Conformityを利用する事で簡易に継続的なセキュリティコンプライアンス対応状況の確認ができる!」を登壇しました。

2021.07.14

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部@大阪オフィスのTodaです。

先日「AWS コンサルティングパートナーがお伝えする最先端のクラウドセキュリティ対策–S3のファイルは安全ですか?AWSの設定は安全ですか?」で Cloud One Conformityの内容について登壇をいたしました。
登壇内容についてご紹介したいと思います。

登壇資料

設定管理の重要性

AWSやAzureなどクラウドサービスではインフラストラクチャの展開、設定が簡単におこなえるため設定時には注意を払う必要がございます。
ただ、人による操作は100%ミスをなくすことは難しいと考えておりますのでシステムによる設定の監視と可視化をおこなう、クラウドセキュリティポスチャマネージメント(CSPM)のソリューションがサードパーティのセキュリティベンダーからリリースされています。  

設定ミスの例

  • セキュリティグループでRDP/SSHポートへのアクセス許可を全てのIP許可に設定
  • S3ストレージの意図しないパブリックアクセス設定
  • IAMアクセスキーの意図しない有効設定
  • ルート、IAMユーザーにMFAが設定されていない

上記のような誤った設定が行われた場合に、CSPMはアラートをだして管理者に是正を通知します。
Cloud One Conformityは2,000以上の設定ポリシーが事前に用意されているため一定のポリシー数から始めたいお客様に向いています。

AWSが提供しているサービス

AWSにも設定管理、監視をするサービスがございます。

・AWS Security Hub
https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/ 
チェックの有効化はワンクリックでおこなえて、AWS Foundational セキュリティベストプラクティスによるチェックが行えます。
とりあえず始めたいお客様に向いています。

・AWS Config Rules
https://dev.classmethod.jp/articles/aws-config-start/
AWS提供のマネージドルールと、Lambdaを利用したカスタムルールによる運用が可能です。

・AWS Config Conformance Packs
https://dev.classmethod.jp/articles/aws-config-conformance-packs-understand/
サンプルテンプレートを利用して複数のConfig Rulesを展開できる。
テンプレートはカスタマイズ可能でOrganizationsと連携して複数AWSアカウントにデプロイも可能です。

Cloud One Conformityについて

Cloud One Conformityはクラウドインフラストラクチャを継続監視してセキュリティ、コンプライアンス対応状況の確認、可視化、レポート、自動修復をするソリューションです。
クラウド環境はAWSおよびAzureに対応、SOC2、ISO 27001、NIST、CIS、GDPR、PCI DSS、GDPR、HIPAA、AWSおよびAzure Well-Architected Framework、CIS Microsoft Azure Foundations Security Benchmarkなどのベストプラクティスチェックに対応して継続的なチェックをおこないます。

■ Cloud One Conformity
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html

■ Cloud One Conformity 説明動画
www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html?modal=s3a-icon-demo-0a5fe5

Conformityの注目したい機能

AWS Control Towerと連携した自動導入

AWS Control Towerと連携することで、新しくAWSアカウントを発行した際にConformityの導入と監視できている状態にすることができます。

■ AWS Control TowerとTrend Micro Cloud One™ – Conformityの連携について https://www.trendmicro.com/ja_jp/business/campaigns/aws/resources/controltower-integration2020.html

Cloud Formationの事前スキャン

適用前のCloud Formationテンプレートを事前チェックすることができます。
作成されるリソースで違反が発生しないかあらかじめ確認をおこないリソース作成前に対処を行うことができます。

APIを利用したCI/CDパイプラインへの連携

ConformityのAPIを利用する事でGitHubへのコミット時にJenkins経由でのチェックを行うことができます。

■ AWS Well-Architected フレームワークの使いドコロとオートメーション化へのチャレンジ

■ Conformity - Public API
https://www.cloudconformity.com/help/public-api.html

(番外)オープンソースの修復操作 自動化プログラムの利用

トレンドマイクロが提供しているLambdaプログラムを利用することで違反の設定が確認できた場合に自動、半自動にて修復操作をおこなうことができます。
半自動はConformityの画面上に表示されるボタンをクリックすることでプログラムによる修復操作がおこなわれます。

■ Conformity - Auto-remediation
https://www.cloudconformity.com/help/rules/model-check/failed-check-resolution/auto-remediation.html

その他 Conformityの使ってみたブログ

Conformityの試用について

ConformityはTrend Micro Cloud Oneのクラウドセキュリティソリューションの1つのサービスになります。 Cloud Oneは体験版にて30日のお試し期間がございますので気になる方がいましたらお試し頂けたらと思います。

■Trend Micro Cloud One - Conformity
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html

さいごに

今回はCloud One Conformityの登壇をしたお話をさせていただきました。
私ですがクラスメソッドに入社して初めての登壇ということで色々スキル的に足りない点がございましたが、 お客様により良い情報を提供できるように努力していきたいと考えております。
今回、登壇の機会を頂きありがとうございます。