2024年7月16日開催【オンラインイベント】セキュリティリスクの把握・評価・軽減からみるAWSセキュリティの具体策

Slide 1

Slide 1 text

サイバー攻撃の実例とリスク対策のポイント～過去の観測事例や動向分析から、AWS 環境でも発⽣する可能性のあるサイバー攻撃をご紹介～トレンドマイクロ株式会社

Slide 2

Slide 2 text

2 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. クラウドセキュリティインシデントの統計情報クラウドサービスの設定ミス起因でのインシデント 30% 調査対象のほぼ全ての組織で、過去12か月に何かしらのセキュリティインシデントを経験（ESGによる2023年の調査報告）従業員による特権アカウントの誤使用 30% クラウドワークロードに横展開を試みたマルウェア 28% ゼロデイ・未知の脆弱性に起因したインシデント 27% Source: Cloud Detection and Response: Market Growth as an Enterprise Requirement - ESG

Slide 3

Slide 3 text

3 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. 最近の被害事例や弊社での観測事例 Publi c 事例 ①顧客提供サービスの ID情報流出 ②データ保管場所への不正アクセス・操作 ③認証なし公開コンテナレジストリを多数観測原因脆弱性（Webアプリ）アカウント侵害設定ミス業種/年情報サービス業 (2023) 製造業 (2024) 弊社調査結果 (2024) 初期経路公開サーバのWebアプリ脆弱性を突いた通信アクセスキーを不正利用されてアカウント内にサーバに侵入認証情報やブルートフォースの手法を使用することなく接続できたコンテナレジストリ被害顧客提供サービスのID情報数千個および登録氏名やメールアドレスなどの情報数件の流出データベースへの不正アクセスおよび保管データ削除（想定）独自/機密情報の露出やバックドア/マルウェア埋め込みなどシステム侵害 ③参考情報 https://www.trendmicro.com/ja_jp/research/24/a/exposed-container-registries-a-potential-vector-for-supply-chain-attacks.html

Slide 4

Slide 4 text

4 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ社内向けサーバコード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入内部探索データ持ち出しマルウェア配置マルウェア実行 ① 公開サーバの脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードをトリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 5

Slide 5 text

5 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ社内向けサーバコード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入内部探索データ持ち出しマルウェア配置マルウェア実行 ① 公開サーバの脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードをトリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 6

Slide 6 text

6 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ社内向けサーバコード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入内部探索データ持ち出しマルウェア配置マルウェア実行 ① 公開サーバの脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードをトリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 7

Slide 7 text

7 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ社内向けサーバコード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入内部探索データ持ち出しマルウェア配置マルウェア実行 ① 公開サーバの脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードをトリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 8

Slide 8 text

8 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ社内向けサーバコード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入内部探索データ持ち出しマルウェア配置マルウェア実行 ① 公開サーバの脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードをトリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 9

Slide 9 text

9 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ社内向けサーバコード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入内部探索データ持ち出しマルウェア配置マルウェア実行 ① 公開サーバの脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードをトリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 10

Slide 10 text

10 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ社内向けサーバコード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入内部探索データ持ち出しマルウェア配置マルウェア実行 ① 公開サーバの脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードをトリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 11

Slide 11 text

11 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. コンテナストレージライブラリサーバレス仮想マシンインスタンス APIs ベアメタルサーバ仮想マシンデータセンタークラウドリフトクラウドネイティブ複数クラウドの活用 APIs DX推進に伴うクラウド活用の多様化 Publi c B社 A社 C社一部はオンプレに残す一部は仮想サーバで実装完全サーバレスは困難

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

14 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. 防御力の強化インシデント発生リスクの低減検知・対応能力の強化不正侵入による被害の最小化リスクマネジメント能力の強化サイバー攻撃への事前対策 Publi c 最近のリスク対策のポイント Protection EDR/XDR ASM 従来近年 NEW 侵入されないように防ぐ早期発見/対応で被害最小化可視化して未然に環境強化

Slide 15

Slide 15 text

15 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c Trend Vision One サーバやクラウドストレージを保護し、不正通信やマルウェア感染を防ぐ各領域から活動データを取得・分析して不審な挙動をいち早く発見・対処を促すお客様のIT資産を可視化、リスク評価により優先度付けを行い、リスク軽減策を提言防御力の強化インシデント発生リスクの低減検知・対応能力の強化不正侵入による被害の最小化リスクマネジメント能力の強化サイバー攻撃への事前対策 Protection EDR/XDR 侵入されないように防ぐ早期発見/対応で被害最小化可視化して未然に環境強化 ASRM リスクマネジメント能力の強化サイバー攻撃への事前対策

Slide 16

Slide 16 text

16 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Extended Detection & Response (XDR) Attack Surface Risk Management (ASRM) Discover Assess Mitigate z Detect Investigate Respond Responsive Proactive 可視性の拡大リスクコンテキストの拡大迅速なリスク軽減 XDRは”侵入後の迅速な検知と対応”のための受動的な機能となります。 ASRMは”事前にリスクを把握し、侵入を防ぐ”ための能動的な機能となります。 ASRMとXDRの関係性能動的な対策と受動的な対策を組み合わせることでセキュリティの相乗効果を図ることが可能 Publi c Public

Slide 17

Slide 17 text

17 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c ご紹介した攻撃に対する対策例 # 不正アクターの行動行動段階主な対策対策種別 1 Webサービスの脆弱性を悪用初期侵入当該Webサービスの脆弱性の検出・修正中長期対策 2 IPS機能による脆弱性を攻撃する通信の遮断短期対策 3 ホストの検索機能によるWebシェルの駆除短期対策 4 AWS上での認証情報取得権限昇格不審な挙動の検知・アラートの監視と対処中長期対策 5 権限昇格必要最小限のアクセス権限を付与中長期対策 6 権限昇格インスタンスメタデータサービスの無効化短期対策 7 権限昇格 AWSの脅威検出機能の有効化 (Amazon GuardDuty) 短期対策 8 Amazon S3上へのマルウェア設置内部拡散 Amazon S3上でのマルウェアの検知短期対策 9 Appspec.yamlの改ざん内部拡散 Amazon S3のObject Lock機能を使い、WORM（Write Once Read Many）を実装する短期対策 10 AWS CodePipelineによる拡散内部拡散デプロイ時における手動承認プロセスの追加中長期対策 11 ランサムウェアの配布目的達成機械学習型検知機能・挙動監視機能による未知マルウェアの検知・駆除短期対策 12 サーバの暗号化目的達成事前にバックアップ計画を立て、早期の復旧を行う中長期対策

Slide 18

Slide 18 text

18 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. # 不正アクターの行動行動段階主な対策対策種別 1 Webサービスの脆弱性を悪用初期侵入当該Webサービスの脆弱性の検出・修正中長期対策 2 IPS機能による脆弱性を攻撃する通信の遮断短期対策 3 ホストの検索機能によるWebシェルの駆除短期対策 4 AWS上での認証情報取得権限昇格不審な挙動の検知・アラートの監視と対処中長期対策 5 権限昇格必要最小限のアクセス権限を付与中長期対策 6 権限昇格インスタンスメタデータサービスの無効化短期対策 7 権限昇格 AWSの脅威検出機能の有効化 (Amazon GuardDuty) 短期対策 8 Amazon S3上へのマルウェア設置内部拡散 Amazon S3上でのマルウェアの検知短期対策 9 Appspec.yamlの改ざん内部拡散 Amazon S3のObject Lock機能を使い、WORM（Write Once Read Many）を実装する短期対策 10 AWS CodePipelineによる拡散内部拡散デプロイ時における手動承認プロセスの追加中長期対策 11 ランサムウェアの配布目的達成機械学習型検知機能・挙動監視機能による未知マルウェアの検知・駆除短期対策 12 サーバの暗号化目的達成事前にバックアップ計画を立て、早期の復旧を行う中長期対策 Publi c トレンドマイクロで支援できる部分 Protection Protection Protection Protection EDR/XDR ASRM

Slide 19

Slide 19 text

19 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c 各フェイズでのProtectionソリューションの提供 AWS Cloud CI/CD Amazon EC2 Instances AWS CodePipeline Amazon S3 Bucket ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ #2 脆弱性を突いた通信の遮断 #3 WEBシェルの発見/駆除 #8 アップロードされたランサムウェアの検知 #11 ランサムウェア駆除外部公開サーバ社内向けサーバコード保管バケット Instances Amazon EC2

Slide 20

Slide 20 text

20 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c Trend Vision One – Endpoint Security (略称：V1ES) クラウド上のサーバに対して、脆弱性対策をはじめとした多層防御を実現 EPP機能に加えて EDR/XDR も提供 AWS Cloud Amazon EC2 Instances Vision One Agent 構成イメージ Vision One管理コンソール管理/運用提供機能 • Agentをインストールしたサーバに下記機能を提供、サーバの多層防御を実現 ⁃ 不正プログラム対策 ⁃ IPS/IDS（侵入防御） ⁃ Webレピュテーション ⁃ ファイアウォール ⁃ アプリケーションコントロール ⁃ 変更監視 ⁃ セキュリティログ監視 ⁃ デバイスコントロール機能 ⁃ アクティビティ監視(XDR) アプリケーション層 OS層ネットワーク層脆弱性正規パッチ適用までの間仮想パッチ (IPSルール ) で脆弱性対策

Slide 21

Slide 21 text

21 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Trend Vision One Endpoint Securityの検出イメージ Publi c アプリケーション層 OS層ネットワーク層脆弱性 #2 脆弱性を突いた通信の遮断脆弱性を突いた不正な通信を実施ルールにもとづき不正な通信を遮断仮想パッチ(IPSルール)を設定侵入防御イベント検出

Slide 22

Slide 22 text

22 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. AWS Cloud Publi c Trend Vision One – File Security (略称：V1FS) Amazon S3にアップロードされるファイルをスキャンマルウェア判定されたものは隔離用バケットに移動構成イメージ詳細 ② Tag result & quarantine 脅威ファイル移動スキャンセキュリティ技術基盤 Amazon EventBridge FSS scanner stack ① FSS scanner Bucket(隔離用) スキャン結果タグ付け Result topic AWS Lambda AWS Lambda Bucket (検査用) オブジェクト

Slide 23

Slide 23 text

23 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Trend Vision One File Securityの検出イメージ Publi c 隔離アップロード用バケット隔離用バケット Amazon S3 Bucket Bucket アップロード用バケットを保護（スキャンON）マルウェア入りZipをアップロードマルウェアを検出 #8 アップロードされたランサムウェアの検知

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

Copyright © IDS Corporation. All rights reserved. 3 Confidential 3 株式会社アイディーエスが提供するAWSクラウド導入支援サービス「Sunny Cloud」は世界トップレベルのクラウド導入・設計・運用ノウハウと実績が評価され、AWSから認定を取得しています。６つの専門領域認定 APN（AWS Partner Network）のコンピテンシー制度、サービスデリバリープログラムは、 APNパートナーに対し、AWS全般に豊富な実践経験とお客様導入事例を持つこと、その分野における技術的要求に対応できる体制があることをAWSが認定するものです。 Sunny Cloudは、Solution Providerプログラム、パブリックセクターパートナープログラム、Well- Architectedパートナープログラム、Digital Workplace Servicesプログラム、Amazon QuickSight、 Amazon Redshiftのサービスデリバリープログラムの認定を受けています。

Slide 29

Slide 29 text

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Copyright © IDS Corporation. All rights reserved. 8 Confidential 掛かっているコストは適正なのか不明 AWS Well-Architected Framework診断とはクラウドを利用する上でのルール作りが出来ていないサイトダウンの障害理由が分からない各サービススペックが適正かどうか判断できない把握しきれないAWS上のシステム課題の数々レビュークラウドアーキテクトお客様 AWS Well-Architected Frameworkを利用することでシステムに潜む課題と解決方法の発掘が可能【 AWS Well-Architected Framework 】・AWSのベストプラクティスが集約されている・第三者診断によるAWS環境の最適化を促す・システム内部を網羅的に診断

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Slide 36

Slide 36 text

Copyright © IDS Corporation. All rights reserved. 11 Confidential 11  脆弱性管理を実行するインフラストラクチャ内の脆弱性のスキャンとパッチ適用  アタックサーフェスを削減する使用するコンポーネント、ライブラリ、外部から利用可能なサービスを最小限に  マネージドサービスを活用する Amazon Relational Database Service (Amazon RDS)、AWS Lambda、および Amazon Elastic Container Service (Amazon ECS) を活用し、セキュリティ対応を減らす  コンピューティング保護を自動化する脆弱性管理、アタックサーフェス削減、リソース管理などのコンピューティング保護を自動化  ユーザーが遠距離でアクションを実行できるようにする踏み台サーバを使わず、Systems Managerを利用  ソフトウェアの整合性を検証するソフトウェア、コード、ライブラリが信頼できるソースからのものであり、改ざんされていないかを検証する必要あり「セキュリティの柱」でわかること

Slide 37

Slide 37 text

Slide 38

Slide 38 text

Copyright © IDS Corporation. All rights reserved. 13 Confidential 13 高度化するサイバーリスク攻撃への対処についてクラウド環境向けセキュリティソリューション Trend Cloud One 企業システム全体を保護するセキュリティプラットフォーム Trend Vision One Network Workload Compliance Storage Container Cloud On- Premise OT XDR SecureAccess Risk Visibility

Slide 39

Slide 39 text

Copyright © IDS Corporation. All rights reserved. 14 Confidential 14 Trend Vision Oneで実現できること  PC、サーバ、クラウドワークロードのセキュリティ機能を統合  1つのコンソールで管理が可能  効率的なエンドポイントセキュリティの運用が実現できる  EPP機能に加えEDR/XDR機能も利用が可能（有事のセキュリティ）  ASRM（平時のセキュリティ）の強化

Slide 40

Slide 40 text

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Copyright © IDS Corporation. All rights reserved. 17 Confidential EPPだけではだめなの?  Trend Micro社のEPP機能で89％の攻撃を防ぐことができる ※2 出典：トレンドマイクロインシデントレスポンスチームが 2019年1月1日～2022年6月17日までに対応したケースからの統計情報 ※1 EPP製品※＝ Apex One, Vision One –Endpoint Security, Deep Security

Slide 43

Slide 43 text

Slide 44

Slide 44 text

Copyright © IDS Corporation. All rights reserved. 19 Confidential EPP・EDRに追加してXDRはなぜ必要?  XDRを導入することで、瞬時に判断、対応が可能 XDR導入前 XDR導入後情報の管理が大変データの相関分析により、運用負荷が軽減 EPP+EDR 個別管理での防御がされた状態 EPP+EDR XDRによる統合管理データ相関分析で「攻撃」を瞬時に判断・対応可能 →包括的な防御がされた状態

Slide 45

Slide 45 text

Copyright © IDS Corporation. All rights reserved. 20 Confidential 20 平時のセキュリティと有事のセキュリティ XDR (eXtended Detection and Response) 攻撃の事後対処として攻撃の痕跡を検知･可視化することでインシデントの調査･原因特定･対処を行う有事のセキュリティ（Reactive）平時のセキュリティ（Reactive） ASM (Attack Surface Management) 防御の観点に加えて、社内IT資産やアカウントなどに存在するリスク（組織の弱点）を洗い出す

Slide 46

Slide 46 text

Copyright © IDS Corporation. All rights reserved. 21 Confidential 21 ASM（アタックサーフェスマネジメント）とは  アタックサーフェス（攻撃対象領域）の定義攻撃者の視点からサイバー攻撃が行われる可能性があるデジタル資産やサービス、環境サイバーセキュリティでは経営リスクの一環としてリスクマネジメントの実践が求められるリスクマネジメントを加味したアタックサーフェスマネジメント＝アタックサーフェスマネジメント

Slide 47

Slide 47 text

Slide 48

Slide 48 text

Copyright © IDS Corporation. All rights reserved. 23 Confidential 23 コンテナ移行を検討または既に移行されている方向けです。  コンテナFargateなどへ移行されたがセキュリティが組織内で十分に議論されていますか?  サーバレスアーキテクチャに対する明確なセキュリティガイドラインはありますか?  専用の責任共有モデルについて理解されていますか?

Slide 49

Slide 49 text

Slide 50

Slide 50 text

Copyright © IDS Corporation. All rights reserved. 25 Confidential 25 責任共有モデル Amazon ECS on Fargate https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/bestpracticesguide/security-shared.html より引用 ECS on EC2と比較してもより、Fargateの方がより多くのセキュリティの責任を負い利用者側の対策が必要

Slide 51

Slide 51 text

Copyright © IDS Corporation. All rights reserved. 26 Confidential 26 コンテナ環境の用語を復習特⾧サービス名 Java および .NET アプリケーションをコンテナへ変換できる AWS App2Container ・可用性が高く安全なプライベートコンテナリポジトリ・Docker コンテナイメージの保存と管理ができる Amazon Elastic Container Registry (Amazon ECR) Docker コンテナを実行するための高度にスケーラブルで高性能なコンテナオーケストレーションサービス Amazon Elastic Container Service (Amazon ECS) Fargate は各ワークロードを独立した仮想環境で実行 AWS Fargate

Slide 52

Slide 52 text

Slide 53

Slide 53 text

Copyright © IDS Corporation. All rights reserved. 28 Confidential 28 リスクと対応策対応策リスクイメージスキャンを行う  イメージの脆弱性  イメージの設定不備  マルウェアの埋め込みコンテナイメージ Amazon ECRを利用することでレジストリへは暗号化通信となり、IAMロールベースでの制御ができる  レジストリのセキュアではないアクセス  レジストリ内の古いイメージ  認証・認可の不十分コンテナレジストリ（ECR） AWS EKSやAWS ECSの利用で対応可能  制限されていない管理者アクセス  不正アクセス  オーケストレータノードの設定不備コンテナオーケストレータ AWS Fargate（AWS EKS、 AWS ECS）で対応可能。アプリの脆弱性はサードパーティー製品を検討  ランタイムソフトウェア内の脆弱性  アプリケーションの脆弱性  承認されていないコンテナの稼働コンテナ EC2に対する脆弱性対策と同様 ※Fargateを利用すれば対応不要  ホストOSの脆弱性  不適切なユーザアクセス  ホストOSファイルシステムの改ざんホストOS

Slide 54

Slide 54 text

Copyright © IDS Corporation. All rights reserved. 29 Confidential 29 コンテナ向けの対策はじめの一歩 Amazon GuardDutyで包括的にガードを行う。以下の対応はGuardDutyで可能  コンテナイメージに含まれる脆弱性監視  オーケストレータに対する不正な操作に対する監視  コンテナに関わる不正通信の監視 Amazon GuardDuty

Slide 55

Slide 55 text

Copyright © IDS Corporation. All rights reserved. 30 Confidential 30 Inspectorもコンテナイメージ（ECR）に対応 Amazon Inspector コンテナイメージに対しての直接スキャンと何が異なるの? コンテナスキャンECR Inspector OSSでの提供 AWS が開発した脆弱性管理サービススキャンエンジン OSのみ OSとプログラミング言語 (Python、 Java、および Ruby など) パッケージの両方対応パッケージプッシュ時のみ継続的なスキャンありスキャン頻度 CVSSのv2のみ NVDとベンダーの両方から、 Inspector スコアと共通脆弱性評価システム (CVSS) v2 および v3 スコア脆弱性スコア統合はなし AWS Security Hub、AWS Organizations、AWS EventBridge AWS サービスの統合コンテナイメージの脆弱性対策としてはInspectorを用いる!

Slide 56

Slide 56 text

Copyright © IDS Corporation. All rights reserved. 31 Confidential 31 Inspectorでのスキャン実施をするなら re:Invent 2023 で Amazon Inspector が CI/CD 内で実行可能に【引用元】 https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-inspector-image-security-developer-tools/ CI/CDツール内でコンテナイメージのソフトウェア脆弱性を評価できるため、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化

Slide 57

Slide 57 text

Copyright © IDS Corporation. All rights reserved. 32 Confidential 32 AWSの機能のみでは対応できない場合は? 「Trend Vision One – Container Security」がご利用いただけます。トレンドマイクロ社の提供している「Trend Micro Cloud One – Container Security」の後継です。 Amazon Elastic Container Service (Amazon ECS)と AWS Fargateの組み合わせにも対応可

Slide 58

Slide 58 text

Slide 59

Slide 59 text

Copyright © IDS Corporation. All rights reserved. 34 Confidential 34 Amazon EC2 インスタンスの脆弱性診断を実施しリスクを可視化してくれるサービス。ウェブアプリケーションファイヤーウォール。 SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できる、もしくはManaged Serviceでルールを契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、悪意のあるアクティビティを脅威検出するサービス。脆弱性対策に活用できるAWSサービスとその特徴

Slide 60

Slide 60 text

Copyright © IDS Corporation. All rights reserved. 35 Confidential 35 診断サービスのため通信の遮断は行わない。 WAFのため、 OS/ミドルウェアを狙う攻撃や、すり抜けてホストに到達したものは監視できない検出ソースに通信のデータ部分は含まないので、脆弱性を狙う攻撃コードなどは検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決プラス Vision One機能を追加・パッチが適用できない期間のセキュリティリスク・OS/ミドルウェアの脆弱性すり抜け時のセキュリティリスク・脆弱性を狙う攻撃からの防御

Slide 61

Slide 61 text

Copyright © IDS Corporation. All rights reserved. 36 Confidential 36 クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロードセキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One は、ソースコードリポジトリ、コンテナイメージ、サーバレス、ファイルストレージ、ワークロードなど多岐にまたがる、Software-Defined Compute環境上に構築されたワークロードとアプリケーションを保護するプラットフォームです。」（本レポートより）

Slide 62

Slide 62 text

Slide 63

Slide 63 text

Slide 64

Slide 64 text

Slide 65

Slide 65 text

Copyright © IDS Corporation. All rights reserved. 40 Confidential 40 構成イメージ例（Amazon EKS on Fargate 環境）ユーザ Pus h 任意のエンドポイント、またはCI/CD上のサーバ等 CLIツールイメージの取得＆スキャン EKS Cluster （Production Cluster ） Fargate ランタイム脆弱性検索 Pod EKS Cluster （Dev Cluster） Fargate ランタイム脆弱性検索 Pod イメージ取得＆デプロイ Container Security Service スキャン実行＆結果取得スキャン結果送付デプロイ制御 Pod デプロイ制御 Pod Artifact Scanning as a Service コンテナイメージスキャン検索結果検索に必要な SBOM送付ランタイム監視 Sidecar Sidecar

Slide 66

Slide 66 text

Copyright © IDS Corporation. All rights reserved. 41 Confidential 41 構成イメージ例（Amazon ECS環境）ユーザ Pus h 任意のエンドポイント、またはCI/CD上のサーバ等 CLIツールイメージの取得＆スキャン EKS Cluster （Production Cluster ） Fargate ランタイム脆弱性検索 Pod EKS Cluster （Dev Cluster） Fargate ランタイム脆弱性検索 Pod イメージ取得＆デプロイ Container Security Service スキャン実行＆結果取得スキャン結果送付デプロイ制御 Pod デプロイ制御 Pod Artifact Scanning as a Service コンテナイメージスキャン検索結果検索に必要な SBOM送付ランタイム監視 Sidecar Sidecar

Slide 67

Slide 67 text

Copyright © IDS Corporation. All rights reserved. 42 Confidential 42 Trend Vision One – Container Securityでできること・コンテナイメージスキャンコンテナイメージ内に存在する脆弱性の検出・デプロイ制御イメージに紐づく情報を基にデプロイを制御スキャン結果の情報に基づきデプロイを制御・コンテナランタイム監視(ランタイムセキュリティ) 稼働中のコンテナ内部の挙動から典型的な攻撃パターンをルールベースで検出し、削除/隔離を実施・ランタイム環境の脆弱性検索コンテナ稼働環境に存在する脆弱性を検索

Slide 68

Slide 68 text

Copyright © IDS Corporation. All rights reserved. 43 Confidential 43 Cloud One Workload Security/Vision One – Container Security 運用代行のプランについて・初期構築お客様のクラウド環境における Cloud One – Workload Security の構築を行ないます。また、侵入検知/変更監視/セキュリティログ監視のためのルール設定（IDS標準）を行います。・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、アラートが確認された場合、お客さま指定の連絡先にお伝えします。加えて、ログを分析し、定期的にレポートを提出します。

Slide 69

Slide 69 text

Copyright © IDS Corporation. All rights reserved. 44 Confidential 44 Trend Micro製品の購入について Trend Micro Cloud One及びTrend Vision One ご利用料はAWS Marketplaceから AWS利用料とまとめて毎月のお支払いが可能です。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 従来の購入方法 AWS利用料ライセンスは代理店様から購入 AWS Marketplace AWS利用料ライセンスは AWS Marketplaceから購入

Slide 70

Slide 70 text

Slide 71

Slide 71 text

Copyright © IDS Corporation. All rights reserved. 46 Confidential 46 1200 ご利用実績プロジェクト以上 2011年のサービス開始から、のべ1200以上のシステムでAWS をご利用頂いています。 5 AWS利用料％引きビジネスサポートも無料になり、当社サービスの利用だけで、最大15％安くAWSをご利用いただけます。お得なだれでも AWSインフラ保険安心万が一を保証します万が一AWSに障害が発生した際の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任部分を補償します。本セキュリティ運用サービスの加入には、「AWS請求代行（リセール）サービス Sunny Pay」が必要です。

Slide 72

Slide 72 text

Copyright © IDS Corporation. All rights reserved. 47 Confidential • 支援実績500社以上のが AWS活用におけるリセール（請求代行）からアプリケーション構築、AWS構築支援、運用保守まで総合的に支援します。 • 新規のAWSアカウント作成はもちろんすでにお使いのAWSアカウントもアカウントの移管なしでそのままご利用いただけます。 AWSをご利用の方はぜひご相談ください AWS アドバンストティアサービスパートナーの認定を継続維持 AWS事業の全エンジニアが AWS認定資格を取得しています

Slide 73

Slide 73 text

Copyright © IDS Corporation. All rights reserved. 48 Confidential 48 お問い合わせ先株式会社アイディーエス〒105-0014東京都港区芝2-3-18 YM芝公園ビル5階・Web : http://www.ids.co.jp ・メール:[email protected] ・電話:03-5484-7811 サニークラウドブランドサイト https://www.sunnycloud.jp/