Cloud One Conformityで利用できるセキュリティ基準の確認とレポート出力を試してみた
こんにちは、コンサル部@大阪オフィスのTodaです。
トレンドマイクロ社が提供しているCloud One Conformityを試す機会がありましたので所有するAWS環境に設定してみました。
Cloud One Conformityとは?
Cloud One Conformityはクラウドインフラストラクチャを継続監視してセキュリティ、コンプライアンス対応状況の確認、可視化、レポート、自動修復をするソリューションです。
クラウド環境はAWSおよびAzureに対応、SOC2、ISO 27001、NIST、CIS、GDPR、PCI DSS、GDPR、HIPAA、AWSおよびAzure Well-Architected Framework、CIS Microsoft Azure Foundations Security Benchmarkなどのベストプラクティスチェックに対応して継続的なチェックをおこないます。
■ Cloud One Conformity
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html
■ Cloud One Conformity 説明動画
www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html?modal=s3a-icon-demo-0a5fe5
今回はConformityで利用できるセキュリティ基準について確認とレポート出力を試してみます。
前提条件
Conformityを試すため Cloud One のアカウント登録をおこないます。
登録後、30日間の体験版にて操作をしております。
セキュリティ基準について
Conformityには色々な業界・団体が策定しているセキュリティ基準でチェックとレポート出力ができます。 初期設定ではレポートに「Conformity Report」と「CIS Amazon Web Services Foundations Benchmark」が設定されていますが、他にもいろいろなセキュリティ基準にてチェックとレポートを出力する事ができます。
・セキュリティ基準
- AWS Well-Architected Framework
- CIS Amazon Web Services Foundations Benchmark v1.2.0
- NIST 800-53 Rev4
- NIST 800-53 Rev5
- System and Organization Controls 2 (SOC 2)
- NIST Cybersecurity Framework v1.1
- ISO 27001 Edition 2, 2013
- AusGov ISM
- HIPAA
- HITRUST CSF v9.3
- ASAE 3150 Security of CDR Data
- PCI DSS v3.2.1
- APRA CPS 234
- FEDRAMP Rev 4
- Monetary Authority of Singapore MAS-TRM 2013
では実際にセキュリティ基準でレポート出力をしています。
今回は「AWS Well-Architected Framework」を設定してみます。
レポートの作成
ダッシュボードの表示
Cloud Oneのプラットフォームメニューから[Conformity]を選択します。
ダッシュボードのSummaryにある「Reports...」をクリックします。
レポート設定の新規作成
Configured reportsの画面が表示されたら上部の[New Report]をクリックします。
レポート詳細設定
レポートの生成はルール別、リソース別、フレームワーク別に分けて設定できます。
今回はセキュリティ基準でレポート生成をおこなうためタブから[View by Standard or Framework]を選択します。
タブの選択後、選択肢から「AWS Well-Architected Framework」を選びます。
レポートのタイトルは任意で決めることができます
レポートにはカテゴリとしてSecurity、Reliability、Performance Efficiency、Cost Optimisation、Operational Excellenceのチェック全てが含まれた状態になります。
始めてチェックをする場合、大量の違反がありどれから手を付ければ良いかわからなくなる場合があると思います。
その場合はSecurityのみ絞って出力する方法もございます。
Filter checksの[+]をクリックして詳細設定を表示します。
CategoriesのSecurityのみチェックをすることで絞ることができます。
他にも下記条件にて絞る事が可能です。
- Services (EC2, IAMなど)
- Resource types (EC2 Key Pair, EC2 Imageなど)
- Regions
- Search Tags
- Resource Id (Text / Regex)
- Only show checks
- Risk Level
- Status
- Suppressed checks
設定が完了したら[Save Configuration]をクリックして設定を保存します。
レポートの出力
設定が完了するとレポートの一覧に選択肢が追加されます。
一覧に表示される[Generate]をクリックします。
レポート出力時にメールを通知するか表示されます。
今回はファイル出力だけでOKのため変更せず[Generate report]をクリックします。
CSVとPDFのファイルが生成されます。
数秒待つとボタンが[Download CSV / PDF]に変わります。
ボタンをクリックしてダウンロードをおこないます。
ファイルについて
レポートはCSVまたはPDFファイルにて出力されます。
CSVファイルはチェック項目がカンマ区切りにて詳細にリスト出力されます。
項目は下記内容になります。
- Standard
- Pillar
- Area
- Question
- ID
- Account Name
- Environment
- Cloud Provider
- Cloud Provider Identifier
- Service
- Rule ID
- Rule Title
- Check Status
- Risk Level
- Message
- Region
- Categories
- Resource
- Provider Resource Id
- Tags
- Failure Discovery Date
- Failure Resolved Date
- Last Updated Date
- Rule Release Date
- Rule Update Date
- Resolution Page
PDFファイルはセキュリティのミーティング等で利用可能なフォーマットで出力されます。
項目はCSVより少なく表示されます。
- Rule
- Service
- Categories
- Risk Level
- Count
レポートの定期出力
レポートを定期出力する事ができます。
定期出力をすることで対応を履歴として残すことができます。
レポートを定期出力
定期出力にしたいレポート設定の[View / Edit]をクリックします。
スケジュールを設定
レポート設定の中にある[Scheduled]を有効化してスケジュールを指定します。
[Advanced]をクリックすることで「CRON: 0 0 * * *」の形式で指定する事も可能です。
設定が完了したら[Save Configuration]をクリックして設定を保存します。
定期出力の確認
レポート設定の一覧で[+]ボタンをクリックする事で表示が展開されます。
展開される情報に定期レポートのリストが表示されたら設定は正常にできております。
さいごに
今回はCloud One Conformityに用意されているセキュリティ基準の確認とレポート出力をしてみました。 少しでもお客様の参考になればと考えております。
