あなたの ”Cloud” も ”One” ダフル！トレンドマイクロの新セキュリティ！

姜貴日（かんきいり）
Kwiil Kang
トレンドマイクロ株式会社
#jawsug #jawsdays2021
あなたの ”Cloud” も ”One” ダフル！
トレンドマイクロの新セキュリティ！

2 Copyright © 2021 Trend Micro Incorporated. All rights reserved.
姜貴日 - Kwiil Kang
トレンドマイクロ株式会社
セールスエンジニアリング部
AWS Alliance Tech Lead
「Security Automation」、「DevSecOps」、「Container」など
よりクラウドと親和性が高い領域に特化したソリューション提案を行う。
JAWS DAYS 2020
AWS Summit Tokyo 2019 トレンドマイクロ Webinar 2020 トレンドマイクロ
& New Relic共催セミナー

• 責任共有モデルで大切な事
• Cloud Oneでご支援出来る事
本日お伝えしたい事

Copyright©2021 Trend Micro Incorporated. All rights reserved.
4
Our Vision
デジタルインフォメーションを
安全に交換できる世界の実現
A world safe for exchanging
digital information
Our Mission
お客様のデジタルライフやITインフラを
脅威から守る
Defend against threats that
would impact user’s digital life
or IT infrastructure.
日本発のトレンドマイクロは、サイバーセキュ
リティのグローバルリーダとしてデジタル情報を
安全に交換できる世界の実現に貢献します
。私たちの革新的なソリューションはデータセ
ンター、クラウド、ネットワーク、エンドポイント
における多層的なセキュリティをお客さまに提
供します。
日本発の世界企業へ
代表取締役社長
(CEO)
エバ・チェン
取締役副社長
大三川彰彦
トレンドマイクロは日本発のセキュリティ専門企業
Source: IDC,
Worldwide Hybrid
Cloud Workload
Security Market
Shares, 2019 (DOC
#US46398420, June
2020)
トレンドマイクロはアンチウィルスソフトウェアの
リーダーであり続けていますか、同時にハイブ
リッドクラウドワークロードセキュリティの市場
リーダーでもあります。世界の約３割のシェア
を占めます。
クラウドセキュリティリーダ
Source: IDC, Worldwide Hybrid Cloud Workload Security Market Shares,
2019 (DOC #US46398420, June 2020)

AWS セキュリティのカギ ”責任共有モデル”
AWSは
クラウドのセキュリティに
対する責任を持つ
お客様は
クラウド内の
セキュリティに責任を持つ

AWSをさらにセキュアにするためにベンダーを活用
<AWS機能を使ってユーザが対策する範囲>
ファイヤウォール
ユーザー認証
セキュリティ診断
コンプライアンス準拠
データ暗号化
Data center
building
サーバレス環境の保護
インシデントレスポンス
不正プログラム対策
脆弱性の対策
コンテナ環境の保護
＜AWS以外のサービスを利用する範囲＞
DDoS対策
AWS以外の
サービスを利
用する範囲
AWSのセ
キュリテ機能
を使って対策
する範囲
AWSが対策を実
施している範囲
<AWSが責任を持つ範囲>
施設サーバー
ネットワーク
法規制対応
物理冗長性
ストレージ
ハイパーバイザー
ログ管理
workers
設定不備の可視化
鍵管理
Amazon
Inspector
AWS WAF
AWS
Config
AWS Direct
Connect
Amazon
CloudFront
AWS Trusted
Advisor
AWS Shield Amazon
GuardDuty
AWS Security
Hub
AWS Key
Management
Service
AWS Identity
and Access
Management
クラウド“内”のセキュリティはどのように守るのか？
WAF

<AWS機能を使ってユーザが対策する範囲>
ファイヤウォール
ユーザー認証
セキュリティ診断
コンプライアンス準拠
データ暗号化
Data center
building
サーバレス環境の保護
インシデントレスポンス
不正プログラム対策
脆弱性の対策
コンテナ環境の保護
＜AWS以外のサービスを利用する範囲＞
DDoS対策
AWS以外の
サービスを利
用する範囲
AWSのセ
キュリテ機能
を使って対策
する範囲
AWSが対策を実
施している範囲
<AWSが責任を持つ範囲>
施設サーバー
ネットワーク
法規制対応
物理冗長性
ストレージ
ハイパーバイザー
ログ管理
workers
設定不備の可視化
鍵管理
Amazon
Inspector
AWS WAF
AWS
Config
AWS Direct
Connect
Amazon
CloudFront
AWS Trusted
Advisor
AWS Shield Amazon
GuardDuty
AWS Security
Hub
AWS Key
Management
Service
AWS Identity
and Access
Management
クラウド“内”のセキュリティはどのように守るのか？
WAF

責任共有モデルのおさらい
Data
Application
OS
Virtualization
Infrastructure
Physical
PaaS
Data
Application
OS
Virtualization
Infrastructure
Physical
SaaS
Data
Application
OS
Virtualization
Infrastructure
Physical
IaaS

責任共有モデルで大切な事
Data
Application
OS
Virtualization
Infrastructure
Physical
PaaS
Data
Application
OS
Virtualization
Infrastructure
Physical
SaaS
Data
Application
OS
Virtualization
Infrastructure
Physical
IaaS
• 誰が、何を、守るのかを明確化
• クラウドの特性を理解して “システム”に落とし込む
ユーザ
サービス事業者

国外：設定不備が起因した情報漏洩
A社 500,000 documents about loans
B社 187,000,000 voter records
C社 30,000 cannabis dispensary records
D社 ??? top secret records
E社 2,200,000 customer records
F社 2,000,000 customer records
G社 6,000,000 customer records
H社 40,000 infrastructure passwords & details
I社 100,000,000 customer records
J社 1,800,000,000 data records for analysis
K社 120,000,000 personal records
L社 10,000,000 personal records
※過去3年間のデータ

※過去3年間のデータ
１つの設定ミス
A社 500,000 documents about loans
B社 187,000,000 voter records
C社 30,000 cannabis dispensary records
D社 ??? top secret records
E社 2,200,000 customer records
F社 2,000,000 customer records
G社 6,000,000 customer records
H社 40,000 infrastructure passwords & details
I社 100,000,000 customer records
J社 1,800,000,000 data records for analysis
K社 120,000,000 personal records
L社 10,000,000 personal records
国外：設定不備が起因した情報漏洩
設定ミスの特徴
１つの設定ミスが大きな漏洩につながる

国内：設定不備が起因した情報漏洩
参考：https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf
・原因：
SaaS製品の設定不備によるもの
・影響：
複数社において数万から数千万件の顧客情報漏洩の疑い
・設定不備の経緯：
「2016年の製品アップデートに際し、ゲストユーザー
に対する共有に関する設定が変わったという事実はない」
この場合の責任はどっち？？？

ユーザ
サービス事業者
（再掲）責任共有モデルで大切な事
Data
Application
OS
Virtualization
Infrastructure
Physical
PaaS
Data
Application
OS
Virtualization
Infrastructure
Physical
SaaS
Data
Application
OS
Virtualization
Infrastructure
Physical
IaaS
• 誰が、何を、守るのかを明確化
• クラウドの特性を理解して “システム”に落とし込む
サービス事業者の責任：機能を提供する
ユーザの責任：機能を【正しく】設定する

頻繁にUpdateされるサービス
* Functionality deployed in 2020
2150
1369
1119
544
2023年までの間、クラウドセキュリティの
設定不備 99% はユーザ起因によるもの
Gartner; ”Innovation Insight for Cloud Security Posture Management”

Copyright © 2021 Trend Micro Incorporated. All rights reserved.
15
Trend Micro Cloud One™のご紹介

初めて聞いた
Cloud Oneについてアンケートタイム！
１
聞いた事はある
２
良く知っている
３
触った事がある
４
問：Cloud Oneについては、
「スマートフォンでご視聴の方、全画面表示でご視聴の方はアンケートが表示されません。」

Trend Micro Cloud One™
～スローガン～
Cloud Security Simplified.
Automated. Flexible. All in One.
Trend Micro Cloud Oneとは
• 従来のクラウド向け製品および新規リリース
予定製品の名称を揃え、統一されたブランド。
• 将来は統一コンソールから各製品にアクセス
できるようにする方針。

Trend Micro Cloud One
- Workload Security
クラウドワークロードおよびコンテナの保護
- Network Security
クラウド向けネットワークIPS
- Container Security
ビルドパイプラインでのコンテナイメージスキャン
- Application Security
サーバレスおよびアプリケーションの保護
- File Storage Security
クラウドストレージの不正プログラムスキャン
- Conformity
クラウドの設定不備を可視化、コンプライアンス対応支援
各ソリューションのAWSサービスへの対応

スキャン結果イメージ提供機能
特徴
AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる
設定不備･設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。
セキュリティコスト最適化運用上の優秀性信頼性パフォーマンス効率
• Security and Compliance
－ AWS Well-Architected Frameworkをベースとして、
700以上のルールで設定不備やコンプライアンス状況を可視化。
• Template Scanner
－ CloudFormation Templatesをアップロードする事で
テンプレート上のリスクを可視化・修復を支援。（Terraform対応予定）
• Real-Time Threat Monitoring
－ AWSアカウント上のリソースにルール違反がないかを
リアルタイムに検出。
• Auto-Remediation（OSSで提供）
－修正方法を提示、AWS Lambdaと連携することで、
簡易的なセキュリティやガバナンスの自動化を実現。
• Cost Management
－ AWSアカウント上のコスト状況を可視化、
コストの最適案を提案、アラートや月次のAWS使用料を予測。
• AWS, Azureが提供する60以上のサービスに対応
• 700を超えるルール
• AWS Well Architected Framework, PCI,
HIPAA, NIST, GDPR, CISなどに対応
実際のコンソールは英語表記となります。
Cloud One - Conformity

AdministratorAccess
Policy
２、コンプライアンスに違反する設定不備を検出
１、S3の閲覧権限のPublic設定を検出し、情報漏えい
を抑止
４、許可していないリージョンでのリソース利用を検出
３、意図しない権限昇格がされていないか
AdministratorAccess Policyの付与の監視
５、CloudFormation Templateをスキャンすること
によるセキュリティ課題の早期発見
要件定義設計構築テスト運用
Cloud One – Conformity ユースケース

• AWSを利用するならユーザの責任範囲を理解する
 クラウド ”内” のセキュリティはどう守るのか
• 設定不備を検出する仕組みを整える
 １つの設定不備が大きな損害をもたらす
 クラウドのAgilityにどう対応していくか
• Cloud Oneであればどのように支援出来るのか？
Cloud Oneのご相談は、aws@trendmicro.co.jp へ
まとめ

Thank You!!
（ aws@trendmicro.co.jp ）

Copyright © 2021 Trend Micro Incorporated. All rights reserved.
23
Appendix

Trend Micro Cloud One 傘下の6製品
Workload Security
クラウド上の仮想マシン
（インスタンス）にソフトウェ
アとしてインストールすること
で脆弱性対策や多層防御を提供。
Application Security
セキュリティを
｢アプリケーション機能の一部｣
として組込む。
Webアプリケーションへの攻撃
を検知・ブロック。
Network Security
クラウド環境上のネットワーク
型IPS製品。
Amazon VPC内のリソースに対
する脆弱性を利用する攻撃通信
を検知・ブロック。
Container Security
レジストリに保存している
コンテナイメージに対して
脆弱性やウイルススキャンを
実施、これを検知。
File Storage Security
Amazon S3などのクラウドスト
レージにアップロード
されるファイルに対して
ウイルススキャンを実施。
Conformity
情報漏えい・不正な遠隔操作等
を引き起こす可能性がある設定
の不備を検知し、リスクを可視
化。

Trend Micro Cloud Oneコンソール※
Cloud Oneコンソールトップページ
↓
各製品へのシングルサインオン
※ 開発途中のイメージであり、予告なく変更される可能性があります。
Cloud Oneの各製品がリリースされると
右のコンソールに順次追加されていきます。
(2021年6月時点ですべての製品が表示されるわけではありません）

• Agentをインストールしたサーバに対して下記の機能
を提供。サーバの多層防御･脆弱性対策を実現。
– 不正プログラム対策
– IPS/IDS（侵入防御）
– Webレピュテーション
– ファイアウォール
– アプリケーションコントロール
– 変更監視
– セキュリティログ監視
Data Center
Workload Security コンソール
Amazon EC2
Amazon EC2
Deep
Security
Agent
• 管理サーバの構築・運用が不要
• サーバ保護に必要な複数の機能を単一Agentに搭載
クラウド上のサーバにインストールすることで、脆弱性対策や多層防御を提供。トレンドマイクロが管理
サーバをクラウド上で提供するため、導入にあたり管理サーバを構築する必要がありません。
構成イメージ提供機能
特徴
Cloud One - Workload Security (旧名称：Deep Security as a Service )
Amazon EC2

侵入防御機能（仮想パッチ）
Operation System
Network Driver+仮想パッチ
ベンダー製アプリケーション
自社開発プログラム
Application Program
Parameters
User Interface/Applications
HW
Deep Security
仮想パッチ
NIC
攻撃ツール
攻撃コード
Exploit Code
脆弱性コードをネットワークドライ
バ層でシグネチャとマッチングさせ
合致すればブロック
脆弱性を修正するセキュリティパッチをインストールする代わりに、脆
弱性を突く攻撃をブロックし、仮想的にパッチの役目を提供します。
仮想パッチとは
ポイント１：
ソフトウェアのコードレベル
での修正を行わないので、
動作中のシステムへ影響
が少ない
ポイント２：
WindowsやLinuxのよう
なOSだけでなく、様々なア
プリケーションの仮想パッチ
がトレンドマイクロから提供さ
れる
※トレンドマイクロから提供される侵入防御ルールの他にも、独自のルールを作成することも可能です。
Cloud One - Workload Security ユースケース

システム運用者の運用負荷を軽減～推奨設定～
「推奨設定」とはDeep Security Agentが自動でサーバ内のシステム情報をスキャンし、
サーバ上にある脆弱性を見つけて、そこに対する必要なIPS/IDSルール”仮想パッチ”を自動で適用する機
能です。結果的にサーバは、必要な保護だけを適切に自動で受けることが可能となります。
• サーバ管理者の脆弱性管理や、脆弱性を狙った攻撃へ
の対処負荷を低減。
• 管理者自身でIPSルールの適用を行う必要がない。
解決可能なペインポイント
サーバサーバ
正規セキュリティパッチ
仮想パッチ
既知の脆弱性を
自動で検出
１ 2
必要なIPSルール(仮想
パッチ)を自動適用
正規パッチを適用する
と仮想パッチが外れる
４３
正規セキュリティ
パッチを検証
Cloud One - Workload Security ユースケース

• 仮想パッチを提供して、脆弱性を利用するVPCへの
通信をブロック
• VPC内部からの不正な通信やC&Cサーバへの通信を
ブロック
• インバウンド / アウトバウンド通信ともに対応可能
• プロダクトの方針は
① デプロイを簡単に速く(一部、CloudFormationか
ら自動デプロイをサポート)
② SSLインスペクションの実装(現在プレビュー中)
特徴
ハードウェアIPS製品TippingPointのテクノロジーを実装した、クラウド環境上のネットワーク型IPS製品です。
AWSの環境ではVPCへの脆弱性を利用する悪意のある通信を検知・ブロックをすることができます。
Cloud One - Network Security

主に2つのデプロイユースケースでAWS環境を脅威から守る
１．公開サーバへの脆弱性攻撃を遮断
VPC Ingress Routingを使用したモデル
２．システム内の脅威拡散を遮断
Transit Gatewayを使用したモデル
Cloud One - Network Security ユースケース

1. コンテナイメージのスキャナー
– コンテナイメージ内の不正プログラム検索
– コンテナイメージ内に存在する脆弱性の検出
– AWS・GCPのシークレットキーやSSHに利用する秘密鍵の検出
2. コンテナイメージのデプロイを制御
– イメージに紐づく情報を基にデプロイを制御
– スキャン結果の情報に基づきデプロイを制御
Build
開発環境
コンテナレジストリ
Push
Pull
本番環境
１．レジストリ内の
イメージをスキャン
Cloud One –
Container Security
• イメージのデプロイ前にセキュリティチェック。
– セキュリティを本番環境から実装する「後乗せ」
ではなく、コンテナを用いたDevOpsのサイクルに組み
込むことが可能。
コンテナ環境開発プロセスの中で、レジストリに保存されているコンテナイメージに対して、脆弱性や不正
プログラムなどを検知してリスクを可視化。
決められたポリシーベースでデプロイを制御する製品です。
特徴
Cloud One - Container Security
２．イメージの
デプロイを制御

6. Deploy中止を通知
5. Check Image
Container Security
6. ポリシーに基づき
Stop Deploy!
デプロイする前にイメージが安全で
あることを確認
2. Start CI 3. Build / Test
5. Deploy
Amazon EKS
My APP
Kubernetes
Amazon
ECR
4. Push Image
AWS
CodeCommit
AWS
CodeBuild
AWS
CodePipeline
Kubernetes
脅威が潜むコンテナイメージを早期検出し、開発手戻りを最小化
■ポリシーの例
デプロイをブロック
• 特権コンテナのデプロイ
• イメージネームにXXXが含まれるもの
• スキャンされていないイメージ
• コンプラインスに反するイメージ
• CVE XXXが含まれているイメージ
Cloud One - Container Security ユースケース

• アプリケーションに対する下記攻撃の検知・防御
– 悪意のあるペイロード（IPS/IDS機能相当)
– SQLインジェクション
– リモートコマンド実行
– オープンリダイレクト
– 不正なファイルアクセス
– 不正なファイルアップロード
• 様々な環境・言語をサポート
各言語にパッケージとして提供
• 数行のコードを書き込むだけで完了
ーソースコードの大きな変更は不要
ーパフォーマンス低下と展開負荷を最小限に
RASP(Runtime Application Self Protection)方式を採用、アプリケーション自身にセキュリティを実装することで、
アプリケーションを保護。コンテナマネージドサービスやサーバレス環境も保護することできます。
提供機能
対応言語
特徴
ユースケース
AWS Fargate
AWS Lambda Amazon ECS Amazon EKS
Cloud One - Application Security

AWS Cloud
users Amazon CloudFront
Elastic Load Balancing AWS Fargate
Amazon S3
Multimedia
動的コンテンツ
/api
静的コンテンツ
/static
hoge.com
Amazon RDS
Amazon DynamoDB
例）ECサイトのシステム
Webアプリケーションへの攻撃からシステムを守る
情報漏洩
情報改ざん
不正な操作
運営の妨害
攻撃例：
・SQLインジェクション
・リモートコマンド実行
・不正なリダイレクト
・不正なファイルアップロード
・不正なファイルアクセス
通信フロー
攻撃フロー
Cloud One – Application Security ユースケース

Amazon
S3
Cloud One –
File Storage
Security
f(x
)
• Amazon S3, Azure Blob Storage および
Google Cloud Storage内のファイルをスキャン
• ユーザごとの異なるスキャンタイミングにあわ
せるため、APIを提供
• ファイルの新規アップロードの際には自動的に
スキャン可能
• AWS CloudFormation Templateとして提供
サーバレスで機能実装
(初期リリースはAWS S3向けのみ)
構成イメージ
パブリッククラウドベンダーが提供するクラウドストレージを保護するセキュリティ機能を提供します。
これらに対してアップロード、保管されるファイルをスキャンします。
File Upload
提供機能
特徴
Cloud One – File Storage Security
Amazon
S3
Amazon
S3

S3起点のマルウェア混入・拡散防止
２、外部からデータを取り込んでS3へ保存する公開系システ
ムの場合、マルウェアが混入および配信されることを防止
(例) ECサイト、投稿サイト、データクローリング etc.
１、社内における複数拠点間のファイル共有先として
S3を利用している場合、
マルウェアの混入および拡散を防止
拠点A 拠点B 拠点C
外部
コンテンツ管理者
ユーザー
外部
コンテンツ管理者
他拠点へのマルウ
ェア拡散を防止
ユーザーへのマル
ウェア配布を防止
Cloud One – File Storage Security ユースケース

スキャン結果イメージ提供機能
特徴
AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる
設定不備･設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。
セキュリ
ティ
コスト最適化運用上の優秀性信頼性パフォーマンス効
率
• Security and Compliance
－ AWS Well-Architected Frameworkをベースとして、
700以上のルールで設定不備やコンプライアンス状況を可視化。
• Template Scanner
－ CloudFormation Templatesをアップロードする事で
テンプレート上のリスクを可視化・修復を支援。（Terraform対応予定）
• Real-Time Threat Monitoring
－ AWSアカウント上のリソースにルール違反がないかを
リアルタイムに検出。
• Auto-Remediation（OSSで提供）
－修正方法を提示、AWS Lambdaと連携することで、
簡易的なセキュリティやガバナンスの自動化を実現。
• Cost Management
－ AWSアカウント上のコスト状況を可視化、
コストの最適案を提案、アラートや月次のAWS使用料を予測。
• AWS, Azureが提供する60以上のサービスに対応
• 700を超えるルール
• AWS Well Architected Framework, PCI,
HIPAA, NIST, GDPR, CISなどに対応
実際のコンソールは英語表記のみです。
Cloud One - Conformity

AdministratorAccess
Policy
２、コンプライアンスに違反する設定不備を検出
１、S3の閲覧権限のPublic設定を検出し、情報漏えい
を抑止
４、許可していないリージョンでのリソース利用を検出
３、意図しない権限昇格がされていないか
AdministratorAccess Policyの付与の監視
５、CloudFormation Templateをスキャンすること
によるセキュリティ課題の早期発見
要件定義設計構築テスト運用
Cloud One – Conformity ユースケース

あなたの ”Cloud” も ”One” ダフル！トレンドマイクロの新セキュリティ！

あなたの ”Cloud” も ”One” ダフル！トレンドマイクロの新セキュリティ！

Recomendados

Más contenido relacionado

Was ist angesagt?

Was ist angesagt?(20)

Similar a あなたの ”Cloud” も ”One” ダフル！トレンドマイクロの新セキュリティ！

Similar a あなたの ”Cloud” も ”One” ダフル！トレンドマイクロの新セキュリティ！(20)

あなたの ”Cloud” も ”One” ダフル！トレンドマイクロの新セキュリティ！