VSCodeにCloud One Conformityの拡張機能を入れてテンプレートスキャンを実行してみた

Toda Tomohiro

2021.08.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部@大阪オフィスのTodaです。

トレンドマイクロ社が提供しているCloud One Conformityを試す機会があり機能を試しています。 今回はVisual Studio Code (以降:VSCode)にConformityの拡張機能を導入してCloudFormationテンプレートのスキャンをおこなってみます。

Cloud One Conformityとは?

Cloud One Conformityはクラウドインフラストラクチャを継続監視してセキュリティ、コンプライアンス対応状況の確認、可視化、レポート、自動修復をするソリューションです。
クラウド環境はAWSおよびAzureに対応、SOC2、ISO 27001、NIST、CIS、GDPR、PCI DSS、GDPR、HIPAA、AWSおよびAzure Well-Architected Framework、CIS Microsoft Azure Foundations Security Benchmarkなどのベストプラクティスチェックに対応して継続的なチェックをおこないます。

■ Cloud One Conformity
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html

■ Cloud One Conformity 説明動画
www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html?modal=s3a-icon-demo-0a5fe5

やりたいこと

VSCodeで作成中のCloudFormationをConformityのテンプレートスキャナーでチェックする。

前提条件

・VSCodeが利用できる状態
・Cloud One Conformityを利用できる状態 (体験版でも可能)
Conformityをご利用頂く際、最低1点AWSアカウントの関連付けが必要になります。

Cloud One APIキーの取得

VSCodeの拡張機能をご利用頂く場合、Cloud OneのAPIキーの取得が必要になります。
今回API取得の操作が変わっていましたので再度確認します。

Cloud Oneのコンソールにログイン

Cloud Oneダッシュボードにログインをおこない[ユーザ管理]のメニューをクリックします。

Cloud Oneのコンソール

APIキーの新規作成

ユーザ管理の左メニューから[APIキー]をクリックします。
表示される一覧上部の[新規]ボタンをクリックします。

APIキーの新規作成

APIキーの設定

APIキーの発行に必要な情報を入力します。
入力例として下記がございます。

  • APIキーのエイリアス:xxxxxxx-api-key (任意の名前)
  • 説明:VSCode用のキー
  • 役割:Full Access
  • 言語:日本語
  • タイムゾーン:Asia/Tokyo

情報を入力後、[次へ]ボタンをクリックします。

APIキーの発行

発行が問題なければ、APIキーが表示されるためメモに残します。
APIキーは再発行できないためご注意ください。

APIキーの発行

上記でAPIキーの発行操作は終了になります。

VSCodeの設定

ご利用頂いているVSCodeに拡張機能の導入とConformityのテンプレートスキャナーを利用できるようにします。
VSCodeを起動ください。

拡張機能の導入

VSCodeの[拡張機能]の画面を表示頂きMarketplaceの検索枠に「Conformity」または「raphaelbottinocc-template-scanner」と入力してください。
一覧にConformityのアイコンが付いた拡張機能が表示されるため[インストール]をクリックします。

拡張機能の導入

APIキーの設定

インストール完了後、先ほど発行されたAPIキーの設定が必要になります。
[拡張機能の設定]から[Cc: Apikey]を選択してsettings.jsonで編集をクリックして値を設定します。

APIキーの設定1

APIキーの設定2

settings.jsonの値

  • cc.apikey:Cloud Oneで発行したAPIキーを指定
  • cc.defaultAccountId:複数アカウントを管理している場合、指定(1点の場合は未入力でOKです)
  • cc.defaultProfileId:複数プロファイルを管理している場合、指定(1点の場合は未入力でOKです)

■ settings.jsonの内容

{
    "cc.apikey": "APIキーの値",
    "cc.defaultAccountId": "",
    "cc.defaultProfileId": ""
}

上記でVSCodeの設定は終了になります。

実際に試してみる

VSCodeにてCloud Formationの作成をおこない、ファイル一覧のテンプレートファイル上で右クリック > [Cloud One Conformity: Scan Selected Template.]をクリックします。

Scan Selected Templateの実行

しばらくするとレポートが表示されてリスクランク別に内容を確認する事ができます。
レポートから理由と対応策について書かれているKnowledge Baseに移動できる点も良いですね。

Scan Selected Templateのレポート

Knowledge Base

さいごに

今回はVSCodeにCloud One Conformityの拡張機能を入れてテンプレートスキャンを実行してみました。
Cloud Formationを検証、本番環境に適用する前に事前確認できるのが素晴らしいですね。
あと、VSCode画面で簡易に確認できる点も手間を減らせて良かったです。
少しでもお客様の作りたい物の参考になればと考えております。

AWS