こんにちは、AWS事業本部の平木です!
みなさんは Trend Vision One (以下、Vision One)を使って AWS 環境のセキュリティ運用を行っていますか?
Vision One は、トレンドマイクロが提供する SaaS 型のセキュリティ運用支援のプラットフォームであり様々な機能が提供されています。
今回は初めて Vision One に触ってみたため、Vision One の中の Cloud Posture について調べてみました。
Trend Vision One – Cloud Posture とは
Trend Vision One – Cloud Posture とは、
組織がさまざまなコンプライアンス標準およびフレームワークに照らして、
インフラストラクチャのコンプライアンス体制を迅速に評価できるようにするためのツールを多数提供する機能です。
現在時点(2023/10/31)ではプレビュー版として提供されています。
AWS との連携方法
Vision One と AWS の連携は下記記事を参照ください。
実際の画面を見てみる
Risk Insights > Cloud Posture > Cloud Posture Overview の順にたどることでダッシュボードを参照できます。
各項目毎に見ていきます。
Overview
この項目では、選択したアカウントまたはグループについて、現在のクラウドの状態について下記の情報が見れます。
- コンプライアンススコア
- 成功、失敗、および重大度に分類されたチェック数
コンプライアンススコアは、チェックの総数の中で成功したチェックの割合を示しています。
Compliance Level Comparison
この項目では、アカウントとグループのコンプライアンス スコアを比較することができます。
この環境では、1つアカウントのみ登録しているため1つしかありませんが、マルチアカウントで使用している場合にはアカウント間での比較が可能です。
Threat Monitoring
この項目では、選択した AWS アカウントのユーザーアクティビティとイベントのリアルタイム監視ができます。
ここではリアルタイム脅威監視(RTM)を有効化することで、さらにアカウント毎のアクティビティを確認することもできますが、
検証時には上手く有効化できなかったため確認でき次第更新します。
Compliance Status
この項目では、6つのルールカテゴリに基づいて、アカウントおよびグループの現在のコンプライアンススコアの概要を確認できます。
これらのカテゴリーは AWS Well-Architected Framework に基づいています。
- セキュリティ
- コスト最適化
- 運用上の優秀性
- 信頼性
- パフォーマンス効率
- 持続可能性
Compliance Level Evolution
この項目では、過去30日間のすべてのアカウント、個別アカウント、またはグループ内のコンプライアンス レベルの変化が先述した6つのカテゴリ別に確認できます。
表示する期間を変えたい場合には後述する Summary タブのグラフより詳細を確認できます。
Status per AWS Region
この項目では、AWSリージョンごとに、全アカウント、個別アカウント、グループに対するコンプライアンススコアに基づいて測定されるコンプライアンスの健全性を表示できます。
各リージョンのドットの色は、コンプライアンススコアが低い場合は濃い赤から、コンプライアンススコアが高い場合は緑まで変化します。
また、各リージョンのドットをクリックすると、そのリージョンのコンプライアンススコアと失敗の重大度レベルの内訳が表示されます。
Most Critical Failures
この項目では、すべてのアカウント、個別のアカウント、グループに対するリスクレベル別に分類された上位 15 件の失敗したルールが表示され、ルール別またはリソース別に表示できます。
対応しているルールは数多くあるため下記サイトを参照ください。
- Best practice rules for Amazon Web Services | Trend Micro
- Introduction to Cloud Posture Rules / Online Help Center
↑こちらがルール別の表示
↑ルールを展開すると具体的に検知しているリソースに関する情報を確認できます。
↑リソース別はこちらの通りです。
Summary
上部にあるタブを Summary に切り替えると下記2つの情報が確認できます。
REPORT SUMMARIES
この項目は、すべてのアカウントおよびグループから最大100件のレポートのサマリーを表示できるため、1 つのビューで異なるレポートフィルタのすべてのチェックを比較できます。
レポートについては後述します。
COMPLIANCE EVOLUTION
この項目は、先述した Compliance Level Evolution をさらに柔軟に見れます。
日付範囲のドロップダウンをクリックするだけで、コンプライアンス進化スコアの希望の期間を選択して表示できたり、表示したいグラフを選択し、PNG形式でエクスポートできます。
Overall Compliance のコンプライアンススコアの計算方法はこちらを参照ください。
Compliance Evolution / Online Help Center
Configured reports
続いて上部のタブを確認すると、Configured reports があります。
こちらはコンプライアンスレポートの出力の設定が可能です。
様々なセキュリティ標準やフレームワークに対応しており、 AWS Well-Architected Framework や CIS AWS Foundations Benchmark 、 PCI DSS 、FISC などをサポートしています。
サポートしている、セキュリティ標準やフレームワーク一覧は下記を参照ください。
Compliance And Cloud Posture / Online Help Center
スポットで出力できるだけでなく、レポートをスケジュールすることもできるため自動的に月次のレポート生成なども可能です。
Template Scanner
Risk Insights > Cloud Posture > Template Scanner の順にたどることでテンプレートスキャナーのページを参照できます。
テンプレートスキャナーを使用することで、CloudFormation や Terraform (プレビュー)の IaC テンプレートのコンプライアンスチェックを実施できます。
試しに AWS のサンプルテンプレートにある「Amazon VPC における単一の Amazon EC2」をスキャンしてみました。
サービス - Amazon Virtual Private Cloud
CloudFormation Template に対象のテンプレートを選択し、
Upload and scan を押下すると Template Scan results に結果が表示されます。
こちらはコンソールからだけでなく API 経由でも実行可能なため、 CI/CD パイプラインに組み込みスキャンの自動化を行うことも可能です。
API reference - List Template Scanner rules | Trend Micro Cloud One™ Documentation
ただし下記条件の場合には、エラーが出る場合があるため注意してください。
- サポートされていないリソースタイプを使用している場合
- 下記リンク先にあるサポートされているリソース以外の場合は表示されません。
- API reference - Scan a template | Trend Micro Cloud One™ Documentation
- 初期設定値のないパラメータ
- CloudFormation の場合、 Parameters のセクションに初期値がない場合はエラーが起きる場合があります。
- サポートされていない組み込み関数
- 下記関数をテンプレート内に使用している場合はエラーが返ることがあります。
- Fn::ImportValue
- Fn::Cidr
- Fn::Transform
- Fn::ToJsonString
- 下記関数をテンプレート内に使用している場合はエラーが返ることがあります。
テンプレートスキャナーの詳細はこちらを参照ください。
Template Scanner / Online Help Center
参考
おわりに
今回は、初めて Vision One に触ってみたのでその中から Trend Vision One – Cloud Posture の内容について調べてみました。
Security Hub では対応していない、FISC Security v9 や CIS Benchmarks for Amazon Web Services Foundations v1.5.0 などのコンプライアンスチェックができたり、
IaC テンプレートのチェックの自動化ができたり、
視覚的に俯瞰して現在のクラウド環境のどこに問題があるかが分かりやすくトリアージをしやすいのが魅力的に感じました。
Cloud Posture は Vision One で出来ることの一端でありまだまだ機能は豊富なためいろいろ調べてみたいと思います。
この記事がどなたかの役に立てば嬉しいです。
2
