20240213 Trend Micro社共催Webinar

Copyright © IDS Corporation. All rights reserved. 2 Confidential 最新のセキュリティ脅威から守る
～EC2、コンテナ環境にも対応する Cloud Oneのセキュリティ運用～株式会社アイディーエス

株式会社アイディーエスが提供するAWSクラウド導入支援サービス「Sunny Cloud」は世界トップレベルのクラウド導入・設計・運用ノウハウと実績が評価され、AWSから認定を取得しています。６つの専門領域認定 APN（AWS Partner Network）のコンピテンシー制度、サービスデリバリープログラムは、 APNパートナーに対し、AWS全般に豊富な実践経験とお客様導入事例を持つこと、その分野における技術的要求に対応できる体制があることをAWSが認定するものです。 Sunny Cloudは、Solution Providerプログラム、パブリックセクターパートナープログラム、Well- Architectedパートナープログラム、Digital Workplace Servicesプログラム、Amazon QuickSight、 Amazon Redshiftのサービスデリバリープログラムの認定を受けています。

自己紹介株式会社アイディーエス小寺加奈子（こでらかなこ）【仕事】 AWSアライアンスリード【ミッション】 AWSのビジネスグロース【好きなAWSサービス】 Cost Explorer

古いOSをお使いではないですか？ Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012/2012 R2 は2023年10月に延長サポートが終了済みです！ ※他Windows以外でもCentOS7が2024年6月にサポート終了が予定されています。 EC2の脆弱性について

 サイバー攻撃の標的となる可能性が高まる →パッチの提供がなくなる  トラブルに対して自社で解決する必要がある →問い合わせ先がなくなる EOL（サポート切れ）のOSをお使いいただくリスク

Copyright © IDS Corporation. All rights reserved. 8 Confidential EOLの対応を守っていれば大丈夫？
 AWSを使うには責任共有モデルという考え方に基づく  クラウド内のセキュリティを守るのはお客様自身の責任範囲

 Amazon Inspectorとは AWSのEC2 インスタンスにおいて、ソフトウェアの脆弱性や意図しないネットワークの外部流出がないか継続的に診断を行う EC2で活用いただけるセキュリティサービスInspector Amazon Inspector  Inspectorの特長・自動検出と継続的なリアルタイムスキャンができる・SSMエージェントの利用・リスクスコアが可視化

スキャン結果から「パッケージ」「緊急度」が分かる EC2で活用いただけるセキュリティサービスInspector

SecurityHubと組み合わせてCVE情報を送付できる EC2で活用いただけるセキュリティサービスInspector  Security HubはAWSのサービスで検知された優先度の高いセキュリティアラートやコンプライアンスにおける状態を、1つの集約された管理画面でわかりやすく提示 AWS Security Hub

脆弱性情報が確認できたら、パッチ適用しよう Systems Manager Patch ManagerでEC2にパッチを自動適用 EC2で活用いただけるセキュリティサービスInspector

Copyright © IDS Corporation. All rights reserved. 13 Confidential コンテナECS・Fargate
の脆弱性対応

コンテナ移行を検討または既に移行されている方向けです。  コンテナFargateなどへ移行されたがセキュリティが組織内で十分に議論されていますか？  サーバレスアーキテクチャに対する明確なセキュリティガイドラインはありますか？  専用の責任共有モデルについて理解されていますか？

責任共有モデル Amazon ECS on EC2 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/bestpracticesguide/security-shared.html より引用

責任共有モデル Amazon ECS on Fargate https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/bestpracticesguide/security-shared.html より引用 ECS on EC2と比較してもより、Fargateの方がより多くのセキュリティの責任を負い利用者側の対策が必要

コンテナ環境の用語を復習サービス名特長 AWS App2Container Java および .NET アプリケーションをコンテナへ変換できる Amazon Elastic Container Registry (Amazon ECR) ・可用性が高く安全なプライベートコンテナリポジトリ・Docker コンテナイメージの保存と管理ができる Amazon Elastic Container Service (Amazon ECS) Docker コンテナを実行するための高度にスケーラブルで高性能なコンテナオーケストレーションサービス AWS Fargate Fargate は各ワークロードを独立した仮想環境で実行

では何を元に対策を行えばよいのか？ NIST SP800-190 （Application Container Security Guide）に従い、対策を進めてみるガイドに書かれている概要は以下の通り 1.コンテナ技術の概要/アーキテクチャ 2.コンテナ技術のコアコンポーネントにおける主なリスク 3.主なリスクへの対策 4.コンテナ脅威の例【引用元】日本語版 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000085279.pdf 【引用元】英語版 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf

NIST SP800-190とは民間企業が対象となっている【引用元】TrendMicro社提供資料

リスクと対応策リスク対応策コンテナイメージ  イメージの脆弱性  イメージの設定不備  マルウェアの埋め込みイメージスキャンを行うコンテナレジストリ（ECR）  レジストリのセキュアではないアクセス  レジストリ内の古いイメージ  認証・認可の不十分 Amazon ECRを利用することでレジストリへは暗号化通信となり、IAMロールベースでの制御ができるコンテナオーケストレータ  制限されていない管理者アクセス  不正アクセス  オーケストレータノードの設定不備 AWS EKSやAWS ECSの利用で対応可能コンテナ  ランタイムソフトウェア内の脆弱性  アプリケーションの脆弱性  承認されていないコンテナの稼働 AWS Fargate（AWS EKS、 AWS ECS）で対応可能。アプリの脆弱性はサードパーティー製品を検討ホストOS  ホストOSの脆弱性  不適切なユーザアクセス  ホストOSファイルシステムの改ざん EC2に対する脆弱性対策と同様 ※Fargateを利用すれば対応不要

コンテナ向けの対策はじめの一歩 Amazon GuardDutyで包括的にガードを行う。  コンテナイメージに含まれる脆弱性監視  オーケストレータに対する不正な操作に対する監視  コンテナに関わる不正通信の監視 Amazon GuardDuty

Amazon ECR に格納されたコンテナイメージに対応 Amazon Inspector コンテナイメージに対しての直接スキャンと何が異なるの？ Inspectorスキャン ECR のスキャン機能スキャンエンジン AWS が開発した脆弱性管理サービス OSSでの提供パッケージ OSとプログラミング言語 (Python、 Java、および Ruby など) パッケージの両方対応 OSのみスキャン頻度継続的なスキャンありプッシュ時のみ脆弱性スコア NVDとベンダーの両方から、 Inspector スコアと共通脆弱性評価システム (CVSS) v2 および v3 スコア CVSSのv2のみ AWS サービスの統合 AWS Security Hub、AWS Organizations、AWS EventBridge 統合はなしコンテナイメージの脆弱性対策としてはInspectorを用いる！

Inspectorでのスキャン実施をするなら re:Invent 2023 で Amazon Inspector が CI/CD 内で実行可能に【引用元】 https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-inspector-image-security-developer-tools/ CI/CDツール内でコンテナイメージのソフトウェア脆弱性を評価できるため、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化

AWSの機能のみでは対応できない場合は？「Trend Vision One – Container Security」がご利用いただけます。トレンドマイクロ社の提供している「Trend Micro Cloud One – Container Security」の後継です。 Amazon Elastic Container Service (Amazon ECS)と AWS Fargateの組み合わせにも対応可

Copyright © IDS Corporation. All rights reserved. 25 Confidential セキュリティ強化サービス
ご紹介 Cloud One Workload Security Trend Vision One – Container Security

Trend Micro Cloud One Workload Securityの必要性についてクラウドセキュリティは責任共有モデルに基づくデータ暗号化通信の保護アプリケーションオペレーティングシステム・ネットワークデータ・コンテンツ類 Foundation Services Compute Storage Database Networking Global Infrastructure Regions Domains, Availability Zones サービスのインフラ部分コンピューティングストレージデータベースネットワークグローバルインフラリージョンドメインなど Cloud Provider 利用者の責任

Amazon EC2 インスタンスの脆弱性診断を実施しリスクを可視化してくれるサービス。ウェブアプリケーションファイヤーウォール。 SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できる、もしくはManaged Serviceでルールを契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、悪意のあるアクティビティを脅威検出するサービス。脆弱性対策に活用できるAWSサービスとその特徴

診断サービスのため通信の遮断は行わない。 WAFのため、 OS/ミドルウェアを狙う攻撃や、すり抜けてホストに到達したものは監視できない検出ソースに通信のデータ部分は含まないので、脆弱性を狙う攻撃コードなどは検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決・パッチが適用できない期間のセキュリティリスク・OS/ミドルウェアの脆弱性すり抜け時のセキュリティリスク・脆弱性を狙う攻撃からの防御

クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロードセキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One は、ソースコードリポジトリ、コンテナイメージ、サーバレス、ファイルストレージ、ワークロードなど多岐にまたがる、Software-Defined Compute環境上に構築されたワークロードとアプリケーションを保護するプラットフォームです。」（本レポートより）

SaaSのため導入が容易管理サーバ/DB等用意不要サーバに必要とされる7つの機能を 1つの製品で実現 Trend Micro Cloud One Workload Securityの特徴

Trend Vision One – Container Securityのイメージ

構成イメージ例（ Kubernetes・Amazon EKS on EC2 環境））

構成イメージ例（Amazon EKS on Fargate 環境）ユーザ Pus h 任意のエンドポイント、またはCI/CD上のサーバ等 CLIツールイメージの取得＆スキャン EKS Cluster （Production Cluster ） Fargate ランタイム脆弱性検索 Pod EKS Cluster （Dev Cluster） Fargate ランタイム脆弱性検索 Pod イメージ取得＆デプロイ Container Security Service スキャン実行＆結果取得スキャン結果送付デプロイ制御 Pod デプロイ制御 Pod Artifact Scanning as a Service コンテナイメージスキャン検索結果検索に必要な SBOM送付ランタイム監視 Sidecar Sidecar

Trend Vision One – Container Securityでできること・コンテナイメージスキャンコンテナイメージ内に存在する脆弱性の検出・デプロイ制御イメージに紐づく情報を基にデプロイを制御スキャン結果の情報に基づきデプロイを制御・コンテナランタイム監視(ランタイムセキュリティ) 稼働中のコンテナ内部の挙動から典型的な攻撃パターンをルールベースで検出し、削除/隔離を実施・ランタイム環境の脆弱性検索コンテナ稼働環境に存在する脆弱性を検索

Cloud One Workload Security/Vision One – Container Security 運用代行のプランについて・初期構築お客様のクラウド環境における Cloud One – Workload Security の構築を行ないます。また、侵入検知/変更監視/セキュリティログ監視のためのルール設定（IDS標準）を行います。・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、アラートが確認された場合、お客さま指定の連絡先にお伝えします。加えて、ログを分析し、定期的にレポートを提出します。

初期費用及び運用費用初期費用 ¥100,000（税抜き）月額費用（運用保守） ¥5,000/インスタンス（税抜き） 初期費用は、6インスタンスまでとします。 月額費用は、別途、基本料金¥20,000が月額かかります。

Trend Micro製品の購入について Trend Micro Cloud One及びVision One – Container Securityのご利用料はAWS MarketplaceからAWS利用料とまとめて毎月のお支払いが可能です。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 従来の購入方法 AWS利用料ライセンスは代理店様から購入 AWS Marketplace AWS利用料ライセンスは AWS Marketplaceから購入

認定CSPパートナー ※正式情報は以下サイトよりご確認をお願いいたします。 https://www.trendmicro.com/ja_jp/partners/cloud-integrator-consortium.html

1200 ご利用実績プロジェクト以上 2011年のサービス開始から、のべ1200以上のシステムでAWS をご利用頂いています。 5 AWS利用料％引きビジネスサポートも無料になり、当社サービスの利用だけで、最大15％安くAWSをご利用いただけます。お得なだれでも AWSインフラ保険安心万が一を保証します万が一AWSに障害が発生した際の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任部分を補償します。本セキュリティ運用サービスの加入には、「AWS請求代行（リセール）サービス Sunny Pay」が必要です。

お問い合わせ先株式会社アイディーエス〒105-0014東京都港区芝2-3-18 YM芝公園ビル5階・Web : http://www.ids.co.jp ・メール：[email protected] ・電話：03-5484-7811 サニークラウドブランドサイト https://www.sunnycloud.jp/

20240213 Trend Micro社共催Webinar

20240213 Trend Micro社共催Webinar

More Decks by Sunny Cloud

Other Decks in Technology

Featured

Transcript