Abstract image of a woman sitting on books and studying on a laptop

あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!

Kwiil Kang, profile picture
Kwiil Kang

JAWS DAYS 2021 re:Connect

Software
1 of 39
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
姜 貴日(かん きいり) Kwiil Kang トレンドマイクロ株式会社 #jawsug #jawsdays2021 あなたの ”Cloud” も ”One” ダフル! トレンドマイクロの新セキュリティ!
2 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 姜 貴日 - Kwiil Kang トレンドマイクロ株式会社 セールスエンジニアリング部 AWS Alliance Tech Lead 「Security Automation」、「DevSecOps」、 「Container」など よりクラウドと親和性が高い領域に特化したソリューション提案を行う。 JAWS DAYS 2020 AWS Summit Tokyo 2019 トレンドマイクロ Webinar 2020 トレンドマイクロ & New Relic共催セミナー
3 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • 責任共有モデルで大切な事 • Cloud Oneでご支援出来る事 本日お伝えしたい事
Copyright©2021 Trend Micro Incorporated. All rights reserved. 4 Our Vision デジタルインフォメーションを 安全に交換できる世界の実現 A world safe for exchanging digital information Our Mission お客様のデジタルライフやITインフラを 脅威から守る Defend against threats that would impact user’s digital life or IT infrastructure. 日本発のトレンドマイクロは、サイバーセキュ リティのグローバルリーダとしてデジタル情報を 安全に交換できる世界の実現に貢献します 。私たちの革新的なソリューションはデータセ ンター、クラウド、ネットワーク、エンドポイント における多層的なセキュリティをお客さまに提 供します。 日本発の世界企業へ 代表取締役社長 (CEO) エバ・チェン 取締役副社長 大三川 彰彦 トレンドマイクロは日本発のセキュリティ専門企業 Source: IDC, Worldwide Hybrid Cloud Workload Security Market Shares, 2019 (DOC #US46398420, June 2020) トレンドマイクロはアンチウィルスソフトウェアの リーダーであり続けていますか、同時にハイブ リッドクラウドワークロードセキュリティの市場 リーダーでもあります。世界の約3割のシェア を占めます。 クラウドセキュリティリーダ Source: IDC, Worldwide Hybrid Cloud Workload Security Market Shares, 2019 (DOC #US46398420, June 2020)
5 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AWS セキュリティのカギ ”責任共有モデル” AWSは クラウドのセキュリティに 対する責任を持つ お客様は クラウド内の セキュリティに責任を持つ
6 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AWSをさらにセキュアにするためにベンダーを活用 <AWS機能を使ってユーザが対策する範囲> ファイヤウォール ユーザー認証 セキュリティ診断 コンプライアンス準拠 データ暗号化 Data center building サーバレス環境の保護 インシデントレスポンス 不正プログラム対策 脆弱性の対策 コンテナ環境の保護 <AWS以外のサービスを利用する範囲> DDoS対策 AWS以外の サービスを利 用する範囲 AWSのセ キュリテ機能 を使って対策 する範囲 AWSが対策を実 施している範囲 <AWSが責任を持つ範囲> 施設 サーバー ネットワーク 法規制対応 物理冗長性 ストレージ ハイパーバイザー ログ管理 workers 設定不備の可視化 鍵管理 Amazon Inspector AWS WAF AWS Config AWS Direct Connect Amazon CloudFront AWS Trusted Advisor AWS Shield Amazon GuardDuty AWS Security Hub AWS Key Management Service AWS Identity and Access Management クラウド“内”のセキュリティはどのように守るのか? WAF
7 Copyright © 2021 Trend Micro Incorporated. All rights reserved. <AWS機能を使ってユーザが対策する範囲> ファイヤウォール ユーザー認証 セキュリティ診断 コンプライアンス準拠 データ暗号化 Data center building サーバレス環境の保護 インシデントレスポンス 不正プログラム対策 脆弱性の対策 コンテナ環境の保護 <AWS以外のサービスを利用する範囲> DDoS対策 AWS以外の サービスを利 用する範囲 AWSのセ キュリテ機能 を使って対策 する範囲 AWSが対策を実 施している範囲 <AWSが責任を持つ範囲> 施設 サーバー ネットワーク 法規制対応 物理冗長性 ストレージ ハイパーバイザー ログ管理 workers 設定不備の可視化 鍵管理 Amazon Inspector AWS WAF AWS Config AWS Direct Connect Amazon CloudFront AWS Trusted Advisor AWS Shield Amazon GuardDuty AWS Security Hub AWS Key Management Service AWS Identity and Access Management クラウド“内”のセキュリティはどのように守るのか? WAF
8 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 責任共有モデルのおさらい Data Application OS Virtualization Infrastructure Physical PaaS Data Application OS Virtualization Infrastructure Physical SaaS Data Application OS Virtualization Infrastructure Physical IaaS
9 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 責任共有モデルで大切な事 Data Application OS Virtualization Infrastructure Physical PaaS Data Application OS Virtualization Infrastructure Physical SaaS Data Application OS Virtualization Infrastructure Physical IaaS • 誰が、何を、守るのかを明確化 • クラウドの特性を理解して “システム”に落とし込む ユーザ サービス事業者
10 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 国外:設定不備が起因した情報漏洩 A社 500,000 documents about loans B社 187,000,000 voter records C社 30,000 cannabis dispensary records D社 ??? top secret records E社 2,200,000 customer records F社 2,000,000 customer records G社 6,000,000 customer records H社 40,000 infrastructure passwords & details I社 100,000,000 customer records J社 1,800,000,000 data records for analysis K社 120,000,000 personal records L社 10,000,000 personal records ※過去3年間のデータ
11 Copyright © 2021 Trend Micro Incorporated. All rights reserved. ※過去3年間のデータ 1つの設定ミス A社 500,000 documents about loans B社 187,000,000 voter records C社 30,000 cannabis dispensary records D社 ??? top secret records E社 2,200,000 customer records F社 2,000,000 customer records G社 6,000,000 customer records H社 40,000 infrastructure passwords & details I社 100,000,000 customer records J社 1,800,000,000 data records for analysis K社 120,000,000 personal records L社 10,000,000 personal records 国外:設定不備が起因した情報漏洩 設定ミスの特徴 1つの設定ミスが大きな漏洩につながる
12 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 国内:設定不備が起因した情報漏洩 参考:https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf ・原因: SaaS製品の設定不備によるもの ・影響: 複数社において数万から数千万件の顧客情報漏洩の疑い ・設定不備の経緯: 「2016年の製品アップデートに際し、ゲストユーザー に対する共有に関する設定が変わったという事実はない」 この場合の責任はどっち???
13 Copyright © 2021 Trend Micro Incorporated. All rights reserved. ユーザ サービス事業者 (再掲)責任共有モデルで大切な事 Data Application OS Virtualization Infrastructure Physical PaaS Data Application OS Virtualization Infrastructure Physical SaaS Data Application OS Virtualization Infrastructure Physical IaaS • 誰が、何を、守るのかを明確化 • クラウドの特性を理解して “システム”に落とし込む サービス事業者の責任:機能を提供する ユーザの責任:機能を【正しく】設定する
14 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 頻繁にUpdateされるサービス * Functionality deployed in 2020 2150 1369 1119 544 2023年までの間、クラウドセキュリティの 設定不備 99% はユーザ起因によるもの Gartner; ”Innovation Insight for Cloud Security Posture Management”
Copyright © 2021 Trend Micro Incorporated. All rights reserved. 15 Trend Micro Cloud One™のご紹介
16 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 初めて聞いた Cloud Oneについてアンケートタイム! 1 聞いた事はある 2 良く知っている 3 触った事がある 4 問:Cloud Oneについては、 「スマートフォンでご視聴の方、全画面表示でご視聴の方はアンケートが表示されません。」
17 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One™ ~スローガン~ Cloud Security Simplified. Automated. Flexible. All in One. Trend Micro Cloud Oneとは • 従来のクラウド向け製品および新規リリース 予定製品の名称を揃え、統一されたブランド。 • 将来は統一コンソールから各製品にアクセス できるようにする方針。
18 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One - Workload Security クラウドワークロードおよびコンテナの保護 - Network Security クラウド向けネットワークIPS - Container Security ビルドパイプラインでのコンテナイメージスキャン - Application Security サーバレスおよびアプリケーションの保護 - File Storage Security クラウドストレージの不正プログラムスキャン - Conformity クラウドの設定不備を可視化、コンプライアンス対応支援 各ソリューションのAWSサービスへの対応
19 Copyright © 2021 Trend Micro Incorporated. All rights reserved. スキャン結果イメージ 提供機能 特徴 AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる 設定不備・設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。 セキュリティ コスト最適化 運用上の優秀性 信頼性 パフォーマンス効率 • Security and Compliance - AWS Well-Architected Frameworkをベースとして、 700以上のルールで設定不備やコンプライアンス状況を可視化。 • Template Scanner - CloudFormation Templatesをアップロードする事で テンプレート上のリスクを可視化・修復を支援。(Terraform対応予定) • Real-Time Threat Monitoring - AWSアカウント上のリソースにルール違反がないかを リアルタイムに検出。 • Auto-Remediation(OSSで提供) - 修正方法を提示、AWS Lambdaと連携することで、 簡易的なセキュリティやガバナンスの自動化を実現。 • Cost Management - AWSアカウント上のコスト状況を可視化、 コストの最適案を提案、アラートや月次のAWS使用料を予測。 • AWS, Azureが提供する60以上のサービスに対応 • 700を超えるルール • AWS Well Architected Framework, PCI, HIPAA, NIST, GDPR, CISなどに対応 実際のコンソールは英語表記となります。 Cloud One - Conformity
20 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AdministratorAccess Policy 2、コンプライアンスに違反する設定不備を検出 1、S3の閲覧権限のPublic設定を検出し、情報漏えい を抑止 4、許可していないリージョンでのリソース利用を検出 3、意図しない権限昇格がされていないか AdministratorAccess Policyの付与の監視 5、CloudFormation Templateをスキャンすること によるセキュリティ課題の早期発見 要件定義 設計 構築 テスト 運用 Cloud One – Conformity ユースケース
21 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • AWSを利用するならユーザの責任範囲を理解する  クラウド ”内” のセキュリティはどう守るのか • 設定不備を検出する仕組みを整える  1つの設定不備が大きな損害をもたらす  クラウドのAgilityにどう対応していくか • Cloud Oneであればどのように支援出来るのか? Cloud Oneのご相談は、aws@trendmicro.co.jp へ まとめ
Thank You!! ( aws@trendmicro.co.jp )
Copyright © 2021 Trend Micro Incorporated. All rights reserved. 23 Appendix
24 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One 傘下の6製品 Workload Security クラウド上の仮想マシン (インスタンス)にソフトウェ アとしてインストールすること で脆弱性対策や多層防御を提供。 Application Security セキュリティを 「アプリケーション機能の一部」 として組込む。 Webアプリケーションへの攻撃 を検知・ブロック。 Network Security クラウド環境上のネットワーク 型IPS製品。 Amazon VPC内のリソースに対 する脆弱性を利用する攻撃通信 を検知・ブロック。 Container Security レジストリに保存している コンテナイメージに対して 脆弱性やウイルススキャンを 実施、これを検知。 File Storage Security Amazon S3などのクラウドスト レージにアップロード されるファイルに対して ウイルススキャンを実施。 Conformity 情報漏えい・不正な遠隔操作等 を引き起こす可能性がある設定 の不備を検知し、リスクを可視 化。
25 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud Oneコンソール※ Cloud Oneコンソール トップページ ↓ 各製品へのシングルサインオン ※ 開発途中のイメージであり、予告なく変更される可能性があります。 Cloud Oneの各製品がリリースされると 右のコンソールに順次追加されていきます。 (2021年6月時点ですべての製品が表示されるわけではありません)
26 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • Agentをインストールしたサーバに対して下記の機能 を提供。サーバの多層防御・脆弱性対策を実現。 – 不正プログラム対策 – IPS/IDS(侵入防御) – Webレピュテーション – ファイアウォール – アプリケーションコントロール – 変更監視 – セキュリティログ監視 Data Center Workload Security コンソール Amazon EC2 Amazon EC2 Deep Security Agent • 管理サーバの構築・運用が不要 • サーバ保護に必要な複数の機能を単一Agentに搭載 クラウド上のサーバにインストールすることで、脆弱性対策や多層防御を提供。トレンドマイクロが管理 サーバをクラウド上で提供するため、導入にあたり管理サーバを構築する必要がありません。 構成イメージ 提供機能 特徴 Cloud One - Workload Security (旧名称:Deep Security as a Service ) Amazon EC2
27 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 侵入防御機能(仮想パッチ) Operation System Network Driver+仮想パッチ ベンダー製アプリケーション 自社開発プログラム Application Program Parameters User Interface/Applications HW Deep Security 仮想パッチ NIC 攻撃ツール 攻撃コード Exploit Code 脆弱性コードをネットワークドライ バ層でシグネチャとマッチングさせ 合致すればブロック 脆弱性を修正するセキュリティパッチをインストールする代わりに、脆 弱性を突く攻撃をブロックし、仮想的にパッチの役目を提供します。 仮想パッチとは ポイント1: ソフトウェアのコードレベル での修正を行わないので、 動作中のシステムへ影響 が少ない ポイント2: WindowsやLinuxのよう なOSだけでなく、様々なア プリケーションの仮想パッチ がトレンドマイクロから提供さ れる ※トレンドマイクロから提供される侵入防御ルールの他にも、独自のルールを作成することも可能です。 Cloud One - Workload Security ユースケース
28 Copyright © 2021 Trend Micro Incorporated. All rights reserved. システム運用者の運用負荷を軽減 ~推奨設定~ 「推奨設定」とはDeep Security Agentが自動でサーバ内のシステム情報をスキャンし、 サーバ上にある脆弱性を見つけて、そこに対する必要なIPS/IDSルール”仮想パッチ”を自動で適用する機 能です。結果的にサーバは、必要な保護だけを適切に自動で受けることが可能となります。 • サーバ管理者の脆弱性管理や、脆弱性を狙った攻撃へ の対処負荷を低減。 • 管理者自身でIPSルールの適用を行う必要がない。 解決可能なペインポイント サーバ サーバ 正規セキュリティパッチ 仮想パッチ 既知の脆弱性を 自動で検出 1 2 必要なIPSルール(仮想 パッチ)を自動適用 正規パッチを適用する と仮想パッチが外れる 4 3 正規セキュリティ パッチを検証 Cloud One - Workload Security ユースケース
29 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • 仮想パッチを提供して、脆弱性を利用するVPCへの 通信をブロック • VPC内部からの不正な通信やC&Cサーバへの通信を ブロック • インバウンド / アウトバウンド通信ともに対応可能 • プロダクトの方針は ① デプロイを簡単に速く(一部、CloudFormationか ら自動デプロイをサポート) ② SSLインスペクションの実装(現在プレビュー中) 構成イメージ 提供機能 特徴 ハードウェアIPS製品TippingPointのテクノロジーを実装した、クラウド環境上のネットワーク型IPS製品です。 AWSの環境ではVPCへの脆弱性を利用する悪意のある通信を検知・ブロックをすることができます。 Cloud One - Network Security
30 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 主に2つのデプロイユースケースでAWS環境を脅威から守る 1.公開サーバへの脆弱性攻撃を遮断 VPC Ingress Routingを使用したモデル 2.システム内の脅威拡散を遮断 Transit Gatewayを使用したモデル Cloud One - Network Security ユースケース
31 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 1. コンテナイメージのスキャナー – コンテナイメージ内の不正プログラム検索 – コンテナイメージ内に存在する脆弱性の検出 – AWS・GCPのシークレットキーやSSHに利用する秘密鍵の検出 2. コンテナイメージのデプロイを制御 – イメージに紐づく情報を基にデプロイを制御 – スキャン結果の情報に基づきデプロイを制御 Build 開発環境 コンテナレジストリ Push Pull 本番環境 1.レジストリ内の イメージをスキャン Cloud One – Container Security • イメージのデプロイ前にセキュリティチェック。 – セキュリティを本番環境から実装する「後乗せ」 ではなく、コンテナを用いたDevOpsのサイクルに組み 込むことが可能。 コンテナ環境開発プロセスの中で、レジストリに保存されているコンテナイメージに対して、脆弱性や不正 プログラムなどを検知してリスクを可視化。 決められたポリシーベースでデプロイを制御する製品です。 構成イメージ 提供機能 特徴 Cloud One - Container Security 2.イメージの デプロイを制御
32 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 6. Deploy中止を通知 5. Check Image Container Security 6. ポリシーに基づき Stop Deploy! デプロイする前にイメージが安全で あることを確認 2. Start CI 3. Build / Test 5. Deploy Amazon EKS My APP Kubernetes Amazon ECR 4. Push Image AWS CodeCommit AWS CodeBuild AWS CodePipeline Kubernetes 脅威が潜むコンテナイメージを早期検出し、開発手戻りを最小化 ■ポリシーの例 デプロイをブロック • 特権コンテナのデプロイ • イメージネームにXXXが含まれるもの • スキャンされていないイメージ • コンプラインスに反するイメージ • CVE XXXが含まれているイメージ Cloud One - Container Security ユースケース
33 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • アプリケーションに対する下記攻撃の検知・防御 – 悪意のあるペイロード(IPS/IDS機能相当) – SQLインジェクション – リモートコマンド実行 – オープンリダイレクト – 不正なファイルアクセス – 不正なファイルアップロード • 様々な環境・言語をサポート 各言語にパッケージとして提供 • 数行のコードを書き込むだけで完了 ー ソースコードの大きな変更は不要 ー パフォーマンス低下と展開負荷を最小限に RASP(Runtime Application Self Protection)方式を採用、アプリケーション自身にセキュリティを実装することで、 アプリケーションを保護。コンテナマネージドサービスやサーバレス環境も保護することできます。 提供機能 対応言語 特徴 ユースケース AWS Fargate AWS Lambda Amazon ECS Amazon EKS Cloud One - Application Security
34 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AWS Cloud users Amazon CloudFront Elastic Load Balancing AWS Fargate Amazon S3 Multimedia 動的コンテンツ /api 静的コンテンツ /static hoge.com Amazon RDS Amazon DynamoDB 例)ECサイトのシステム Webアプリケーションへの攻撃からシステムを守る 情報漏洩 情報改ざん 不正な操作 運営の妨害 攻撃例: ・SQLインジェクション ・リモートコマンド実行 ・不正なリダイレクト ・不正なファイルアップロード ・不正なファイルアクセス 通信フロー 攻撃フロー Cloud One – Application Security ユースケース
35 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Amazon S3 Cloud One – File Storage Security f(x ) • Amazon S3, Azure Blob Storage および Google Cloud Storage内のファイルをスキャン • ユーザごとの異なるスキャンタイミングにあわ せるため、APIを提供 • ファイルの新規アップロードの際には自動的に スキャン可能 • AWS CloudFormation Templateとして提供 サーバレスで機能実装 (初期リリースはAWS S3向けのみ) 構成イメージ パブリッククラウドベンダーが提供するクラウドストレージを保護するセキュリティ機能を提供します。 これらに対してアップロード、保管されるファイルをスキャンします。 File Upload 提供機能 特徴 Cloud One – File Storage Security Amazon S3 Amazon S3
36 Copyright © 2021 Trend Micro Incorporated. All rights reserved. S3起点のマルウェア混入・拡散防止 2、外部からデータを取り込んでS3へ保存する公開系システ ムの場合、マルウェアが混入および配信されることを防止 (例) ECサイト、投稿サイト、データクローリング etc. 1、社内における複数拠点間のファイル共有先として S3を利用している場合、 マルウェアの混入および拡散を防止 拠点A 拠点B 拠点C 外部 コンテンツ管理者 ユーザー 外部 コンテンツ管理者 他拠点へのマルウ ェア拡散を防止 ユーザーへのマル ウェア配布を防止 Cloud One – File Storage Security ユースケース
37 Copyright © 2021 Trend Micro Incorporated. All rights reserved. スキャン結果イメージ 提供機能 特徴 AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる 設定不備・設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。 セキュリ ティ コスト最適化 運用上の優秀性 信頼性 パフォーマンス効 率 • Security and Compliance - AWS Well-Architected Frameworkをベースとして、 700以上のルールで設定不備やコンプライアンス状況を可視化。 • Template Scanner - CloudFormation Templatesをアップロードする事で テンプレート上のリスクを可視化・修復を支援。(Terraform対応予定) • Real-Time Threat Monitoring - AWSアカウント上のリソースにルール違反がないかを リアルタイムに検出。 • Auto-Remediation(OSSで提供) - 修正方法を提示、AWS Lambdaと連携することで、 簡易的なセキュリティやガバナンスの自動化を実現。 • Cost Management - AWSアカウント上のコスト状況を可視化、 コストの最適案を提案、アラートや月次のAWS使用料を予測。 • AWS, Azureが提供する60以上のサービスに対応 • 700を超えるルール • AWS Well Architected Framework, PCI, HIPAA, NIST, GDPR, CISなどに対応 実際のコンソールは英語表記のみです。 Cloud One - Conformity
38 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AdministratorAccess Policy 2、コンプライアンスに違反する設定不備を検出 1、S3の閲覧権限のPublic設定を検出し、情報漏えい を抑止 4、許可していないリージョンでのリソース利用を検出 3、意図しない権限昇格がされていないか AdministratorAccess Policyの付与の監視 5、CloudFormation Templateをスキャンすること によるセキュリティ課題の早期発見 要件定義 設計 構築 テスト 運用 Cloud One – Conformity ユースケース
Thank You!!

More Related Content

PDF
Snowflakeって実際どうなの?数多のDBを使い倒した猛者が語る
Ryota Shibuya
 
PPTX
ビッグデータ処理データベースの全体像と使い分け
2018年version
Tetsutaro Watanabe
 
PDF
データファブリック実現のためのプロジェクトの進め方とは
Denodo
 
PDF
Oracle Cloud
MarketingArrowECS_CZ
 
PDF
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Amazon Web Services Japan
 
PDF
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
Amazon Web Services Japan
 
PPTX
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
 
PDF
20190312 AWS Black Belt Online Seminar AWS Well-Architected Frameworkによるコスト最適化
Amazon Web Services Japan
 
Snowflakeって実際どうなの?数多のDBを使い倒した猛者が語る
Ryota Shibuya
 
ビッグデータ処理データベースの全体像と使い分け
2018年version
Tetsutaro Watanabe
 
データファブリック実現のためのプロジェクトの進め方とは
Denodo
 
Oracle Cloud
MarketingArrowECS_CZ
 
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Amazon Web Services Japan
 
20191126 AWS Black Belt Online Seminar Amazon AppStream 2.0
Amazon Web Services Japan
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
 
20190312 AWS Black Belt Online Seminar AWS Well-Architected Frameworkによるコスト最適化
Amazon Web Services Japan
 

What's hot (20)

PDF
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
 
PDF
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
PDF
Oracle Autonomous Database 技術情報(Oracle Cloudウェビナーシリーズ: 2020年8月20日)
オラクルエンジニア通信
 
PDF
20191125 Container Security
Amazon Web Services Japan
 
PDF
Apache Atlasの現状とデータガバナンス事例 #hadoopreading
Yahoo!デベロッパーネットワーク
 
PDF
実践!AWSクラウドデザインパターン
Hiroyasu Suzuki
 
PDF
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
 
PDF
AWS BlackBelt Online Seminar 2017 Amazon CloudFront + AWS Lambda@Edge
Amazon Web Services Japan
 
PPTX
MySQL Technology Cafe #14 MySQL Shellを使ってもっと楽をしようの会
オラクルエンジニア通信
 
PDF
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
 
PDF
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
PDF
다양한 업무에 적합한 AWS의 스토리지 서비스 알아보기 – 김상현, AWS 솔루션즈 아키텍트:: AWS Builders Online Ser...
Amazon Web Services Korea
 
PDF
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
 
PDF
OCI 購入モデルの整理と Universal Credit 最新情報(2021年2月17日版)
オラクルエンジニア通信
 
PPTX
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
NTT DATA Technology & Innovation
 
PDF
AWSで実現するバックアップとディザスタリカバリ
Amazon Web Services Japan
 
PDF
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
Google Cloud Platform - Japan
 
PDF
今だからこそ見直そうAzureコスト最適化
Tomotaka Suzuki(御成門プログラマー)
 
PDF
AWS Redshift Analyzeの必要性とvacuumの落とし穴
Moto Fukao
 
PDF
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
Oracle Autonomous Database 技術情報(Oracle Cloudウェビナーシリーズ: 2020年8月20日)
オラクルエンジニア通信
 
20191125 Container Security
Amazon Web Services Japan
 
Apache Atlasの現状とデータガバナンス事例 #hadoopreading
Yahoo!デベロッパーネットワーク
 
実践!AWSクラウドデザインパターン
Hiroyasu Suzuki
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
 
AWS BlackBelt Online Seminar 2017 Amazon CloudFront + AWS Lambda@Edge
Amazon Web Services Japan
 
MySQL Technology Cafe #14 MySQL Shellを使ってもっと楽をしようの会
オラクルエンジニア通信
 
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
다양한 업무에 적합한 AWS의 스토리지 서비스 알아보기 – 김상현, AWS 솔루션즈 아키텍트:: AWS Builders Online Ser...
Amazon Web Services Korea
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
 
OCI 購入モデルの整理と Universal Credit 最新情報(2021年2月17日版)
オラクルエンジニア通信
 
限界性能試験を自動化するOperatorを作ってみた(Kubernetes Novice Tokyo #14 発表資料)
NTT DATA Technology & Innovation
 
AWSで実現するバックアップとディザスタリカバリ
Amazon Web Services Japan
 
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
Google Cloud Platform - Japan
 
今だからこそ見直そうAzureコスト最適化
Tomotaka Suzuki(御成門プログラマー)
 
AWS Redshift Analyzeの必要性とvacuumの落とし穴
Moto Fukao
 
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
 
Ad

Similar to あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ! (20)

PDF
JAWS DAYS 2020 AWS Well-Architected Frameworkの使いドコロとオートメーション化へのチャレンジ
Kwiil Kang
 
PDF
AWSにおけるセキュリティの考え方
morisshi
 
PDF
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
ssuser0b75ac1
 
PPTX
Reinforce2021 recap session2
Shogo Matsumoto
 
PDF
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
 
PDF
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan
 
PDF
20190919 よくご相談いただくセキュリティの質問と考え方
Amazon Web Services Japan
 
PDF
クラウドセキュリティの価値と機会
Hayato Kiriyama
 
PPTX
クラウドの汎用的な基礎知識に自信はありますか?
Masanori KAMAYAMA
 
PPTX
クラウドにおける責任共有モデルと クラウド利用者のセキュリティの課題
Masahiro Morozumi
 
PDF
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
PDF
AWSでセキュリティを高める!
Serverworks Co.,Ltd.
 
PDF
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
Nobuhiro Nakayama
 
PDF
Microsoft Azure - 世界最大のクラウドが提供する最先端のテクノロジーとその価値
IoTビジネス共創ラボ
 
PDF
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
 
PPTX
進むクラウドセキュリティ
Masahiro Morozumi
 
PDF
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
 
PDF
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
オラクルエンジニア通信
 
PDF
Microsoft Azureの機械学習サービス (Azure Machine Learning/Microsoft Cognitive Services)
Naoki (Neo) SATO
 
PDF
Asahikawa_Ict 20120726
kspro
 
JAWS DAYS 2020 AWS Well-Architected Frameworkの使いドコロとオートメーション化へのチャレンジ
Kwiil Kang
 
AWSにおけるセキュリティの考え方
morisshi
 
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
ssuser0b75ac1
 
Reinforce2021 recap session2
Shogo Matsumoto
 
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan
 
20190919 よくご相談いただくセキュリティの質問と考え方
Amazon Web Services Japan
 
クラウドセキュリティの価値と機会
Hayato Kiriyama
 
クラウドの汎用的な基礎知識に自信はありますか?
Masanori KAMAYAMA
 
クラウドにおける責任共有モデルと クラウド利用者のセキュリティの課題
Masahiro Morozumi
 
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
AWSでセキュリティを高める!
Serverworks Co.,Ltd.
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
Nobuhiro Nakayama
 
Microsoft Azure - 世界最大のクラウドが提供する最先端のテクノロジーとその価値
IoTビジネス共創ラボ
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
 
進むクラウドセキュリティ
Masahiro Morozumi
 
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
 
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
オラクルエンジニア通信
 
Microsoft Azureの機械学習サービス (Azure Machine Learning/Microsoft Cognitive Services)
Naoki (Neo) SATO
 
Asahikawa_Ict 20120726
kspro
 
Ad

あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!

  • 1. 姜 貴日(かん きいり) Kwiil Kang トレンドマイクロ株式会社 #jawsug #jawsdays2021 あなたの ”Cloud” も ”One” ダフル! トレンドマイクロの新セキュリティ!
  • 2. 2 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 姜 貴日 - Kwiil Kang トレンドマイクロ株式会社 セールスエンジニアリング部 AWS Alliance Tech Lead 「Security Automation」、「DevSecOps」、 「Container」など よりクラウドと親和性が高い領域に特化したソリューション提案を行う。 JAWS DAYS 2020 AWS Summit Tokyo 2019 トレンドマイクロ Webinar 2020 トレンドマイクロ & New Relic共催セミナー
  • 3. 3 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • 責任共有モデルで大切な事 • Cloud Oneでご支援出来る事 本日お伝えしたい事
  • 4. Copyright©2021 Trend Micro Incorporated. All rights reserved. 4 Our Vision デジタルインフォメーションを 安全に交換できる世界の実現 A world safe for exchanging digital information Our Mission お客様のデジタルライフやITインフラを 脅威から守る Defend against threats that would impact user’s digital life or IT infrastructure. 日本発のトレンドマイクロは、サイバーセキュ リティのグローバルリーダとしてデジタル情報を 安全に交換できる世界の実現に貢献します 。私たちの革新的なソリューションはデータセ ンター、クラウド、ネットワーク、エンドポイント における多層的なセキュリティをお客さまに提 供します。 日本発の世界企業へ 代表取締役社長 (CEO) エバ・チェン 取締役副社長 大三川 彰彦 トレンドマイクロは日本発のセキュリティ専門企業 Source: IDC, Worldwide Hybrid Cloud Workload Security Market Shares, 2019 (DOC #US46398420, June 2020) トレンドマイクロはアンチウィルスソフトウェアの リーダーであり続けていますか、同時にハイブ リッドクラウドワークロードセキュリティの市場 リーダーでもあります。世界の約3割のシェア を占めます。 クラウドセキュリティリーダ Source: IDC, Worldwide Hybrid Cloud Workload Security Market Shares, 2019 (DOC #US46398420, June 2020)
  • 5. 5 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AWS セキュリティのカギ ”責任共有モデル” AWSは クラウドのセキュリティに 対する責任を持つ お客様は クラウド内の セキュリティに責任を持つ
  • 6. 6 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AWSをさらにセキュアにするためにベンダーを活用 <AWS機能を使ってユーザが対策する範囲> ファイヤウォール ユーザー認証 セキュリティ診断 コンプライアンス準拠 データ暗号化 Data center building サーバレス環境の保護 インシデントレスポンス 不正プログラム対策 脆弱性の対策 コンテナ環境の保護 <AWS以外のサービスを利用する範囲> DDoS対策 AWS以外の サービスを利 用する範囲 AWSのセ キュリテ機能 を使って対策 する範囲 AWSが対策を実 施している範囲 <AWSが責任を持つ範囲> 施設 サーバー ネットワーク 法規制対応 物理冗長性 ストレージ ハイパーバイザー ログ管理 workers 設定不備の可視化 鍵管理 Amazon Inspector AWS WAF AWS Config AWS Direct Connect Amazon CloudFront AWS Trusted Advisor AWS Shield Amazon GuardDuty AWS Security Hub AWS Key Management Service AWS Identity and Access Management クラウド“内”のセキュリティはどのように守るのか? WAF
  • 7. 7 Copyright © 2021 Trend Micro Incorporated. All rights reserved. <AWS機能を使ってユーザが対策する範囲> ファイヤウォール ユーザー認証 セキュリティ診断 コンプライアンス準拠 データ暗号化 Data center building サーバレス環境の保護 インシデントレスポンス 不正プログラム対策 脆弱性の対策 コンテナ環境の保護 <AWS以外のサービスを利用する範囲> DDoS対策 AWS以外の サービスを利 用する範囲 AWSのセ キュリテ機能 を使って対策 する範囲 AWSが対策を実 施している範囲 <AWSが責任を持つ範囲> 施設 サーバー ネットワーク 法規制対応 物理冗長性 ストレージ ハイパーバイザー ログ管理 workers 設定不備の可視化 鍵管理 Amazon Inspector AWS WAF AWS Config AWS Direct Connect Amazon CloudFront AWS Trusted Advisor AWS Shield Amazon GuardDuty AWS Security Hub AWS Key Management Service AWS Identity and Access Management クラウド“内”のセキュリティはどのように守るのか? WAF
  • 8. 8 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 責任共有モデルのおさらい Data Application OS Virtualization Infrastructure Physical PaaS Data Application OS Virtualization Infrastructure Physical SaaS Data Application OS Virtualization Infrastructure Physical IaaS
  • 9. 9 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 責任共有モデルで大切な事 Data Application OS Virtualization Infrastructure Physical PaaS Data Application OS Virtualization Infrastructure Physical SaaS Data Application OS Virtualization Infrastructure Physical IaaS • 誰が、何を、守るのかを明確化 • クラウドの特性を理解して “システム”に落とし込む ユーザ サービス事業者
  • 10. 10 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 国外:設定不備が起因した情報漏洩 A社 500,000 documents about loans B社 187,000,000 voter records C社 30,000 cannabis dispensary records D社 ??? top secret records E社 2,200,000 customer records F社 2,000,000 customer records G社 6,000,000 customer records H社 40,000 infrastructure passwords & details I社 100,000,000 customer records J社 1,800,000,000 data records for analysis K社 120,000,000 personal records L社 10,000,000 personal records ※過去3年間のデータ
  • 11. 11 Copyright © 2021 Trend Micro Incorporated. All rights reserved. ※過去3年間のデータ 1つの設定ミス A社 500,000 documents about loans B社 187,000,000 voter records C社 30,000 cannabis dispensary records D社 ??? top secret records E社 2,200,000 customer records F社 2,000,000 customer records G社 6,000,000 customer records H社 40,000 infrastructure passwords & details I社 100,000,000 customer records J社 1,800,000,000 data records for analysis K社 120,000,000 personal records L社 10,000,000 personal records 国外:設定不備が起因した情報漏洩 設定ミスの特徴 1つの設定ミスが大きな漏洩につながる
  • 12. 12 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 国内:設定不備が起因した情報漏洩 参考:https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf ・原因: SaaS製品の設定不備によるもの ・影響: 複数社において数万から数千万件の顧客情報漏洩の疑い ・設定不備の経緯: 「2016年の製品アップデートに際し、ゲストユーザー に対する共有に関する設定が変わったという事実はない」 この場合の責任はどっち???
  • 13. 13 Copyright © 2021 Trend Micro Incorporated. All rights reserved. ユーザ サービス事業者 (再掲)責任共有モデルで大切な事 Data Application OS Virtualization Infrastructure Physical PaaS Data Application OS Virtualization Infrastructure Physical SaaS Data Application OS Virtualization Infrastructure Physical IaaS • 誰が、何を、守るのかを明確化 • クラウドの特性を理解して “システム”に落とし込む サービス事業者の責任:機能を提供する ユーザの責任:機能を【正しく】設定する
  • 14. 14 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 頻繁にUpdateされるサービス * Functionality deployed in 2020 2150 1369 1119 544 2023年までの間、クラウドセキュリティの 設定不備 99% はユーザ起因によるもの Gartner; ”Innovation Insight for Cloud Security Posture Management”
  • 15. Copyright © 2021 Trend Micro Incorporated. All rights reserved. 15 Trend Micro Cloud One™のご紹介
  • 16. 16 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 初めて聞いた Cloud Oneについてアンケートタイム! 1 聞いた事はある 2 良く知っている 3 触った事がある 4 問:Cloud Oneについては、 「スマートフォンでご視聴の方、全画面表示でご視聴の方はアンケートが表示されません。」
  • 17. 17 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One™ ~スローガン~ Cloud Security Simplified. Automated. Flexible. All in One. Trend Micro Cloud Oneとは • 従来のクラウド向け製品および新規リリース 予定製品の名称を揃え、統一されたブランド。 • 将来は統一コンソールから各製品にアクセス できるようにする方針。
  • 18. 18 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One - Workload Security クラウドワークロードおよびコンテナの保護 - Network Security クラウド向けネットワークIPS - Container Security ビルドパイプラインでのコンテナイメージスキャン - Application Security サーバレスおよびアプリケーションの保護 - File Storage Security クラウドストレージの不正プログラムスキャン - Conformity クラウドの設定不備を可視化、コンプライアンス対応支援 各ソリューションのAWSサービスへの対応
  • 19. 19 Copyright © 2021 Trend Micro Incorporated. All rights reserved. スキャン結果イメージ 提供機能 特徴 AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる 設定不備・設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。 セキュリティ コスト最適化 運用上の優秀性 信頼性 パフォーマンス効率 • Security and Compliance - AWS Well-Architected Frameworkをベースとして、 700以上のルールで設定不備やコンプライアンス状況を可視化。 • Template Scanner - CloudFormation Templatesをアップロードする事で テンプレート上のリスクを可視化・修復を支援。(Terraform対応予定) • Real-Time Threat Monitoring - AWSアカウント上のリソースにルール違反がないかを リアルタイムに検出。 • Auto-Remediation(OSSで提供) - 修正方法を提示、AWS Lambdaと連携することで、 簡易的なセキュリティやガバナンスの自動化を実現。 • Cost Management - AWSアカウント上のコスト状況を可視化、 コストの最適案を提案、アラートや月次のAWS使用料を予測。 • AWS, Azureが提供する60以上のサービスに対応 • 700を超えるルール • AWS Well Architected Framework, PCI, HIPAA, NIST, GDPR, CISなどに対応 実際のコンソールは英語表記となります。 Cloud One - Conformity
  • 20. 20 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AdministratorAccess Policy 2、コンプライアンスに違反する設定不備を検出 1、S3の閲覧権限のPublic設定を検出し、情報漏えい を抑止 4、許可していないリージョンでのリソース利用を検出 3、意図しない権限昇格がされていないか AdministratorAccess Policyの付与の監視 5、CloudFormation Templateをスキャンすること によるセキュリティ課題の早期発見 要件定義 設計 構築 テスト 運用 Cloud One – Conformity ユースケース
  • 21. 21 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • AWSを利用するならユーザの責任範囲を理解する  クラウド ”内” のセキュリティはどう守るのか • 設定不備を検出する仕組みを整える  1つの設定不備が大きな損害をもたらす  クラウドのAgilityにどう対応していくか • Cloud Oneであればどのように支援出来るのか? Cloud Oneのご相談は、[email protected] へ まとめ
  • 23. Copyright © 2021 Trend Micro Incorporated. All rights reserved. 23 Appendix
  • 24. 24 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One 傘下の6製品 Workload Security クラウド上の仮想マシン (インスタンス)にソフトウェ アとしてインストールすること で脆弱性対策や多層防御を提供。 Application Security セキュリティを 「アプリケーション機能の一部」 として組込む。 Webアプリケーションへの攻撃 を検知・ブロック。 Network Security クラウド環境上のネットワーク 型IPS製品。 Amazon VPC内のリソースに対 する脆弱性を利用する攻撃通信 を検知・ブロック。 Container Security レジストリに保存している コンテナイメージに対して 脆弱性やウイルススキャンを 実施、これを検知。 File Storage Security Amazon S3などのクラウドスト レージにアップロード されるファイルに対して ウイルススキャンを実施。 Conformity 情報漏えい・不正な遠隔操作等 を引き起こす可能性がある設定 の不備を検知し、リスクを可視 化。
  • 25. 25 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud Oneコンソール※ Cloud Oneコンソール トップページ ↓ 各製品へのシングルサインオン ※ 開発途中のイメージであり、予告なく変更される可能性があります。 Cloud Oneの各製品がリリースされると 右のコンソールに順次追加されていきます。 (2021年6月時点ですべての製品が表示されるわけではありません)
  • 26. 26 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • Agentをインストールしたサーバに対して下記の機能 を提供。サーバの多層防御・脆弱性対策を実現。 – 不正プログラム対策 – IPS/IDS(侵入防御) – Webレピュテーション – ファイアウォール – アプリケーションコントロール – 変更監視 – セキュリティログ監視 Data Center Workload Security コンソール Amazon EC2 Amazon EC2 Deep Security Agent • 管理サーバの構築・運用が不要 • サーバ保護に必要な複数の機能を単一Agentに搭載 クラウド上のサーバにインストールすることで、脆弱性対策や多層防御を提供。トレンドマイクロが管理 サーバをクラウド上で提供するため、導入にあたり管理サーバを構築する必要がありません。 構成イメージ 提供機能 特徴 Cloud One - Workload Security (旧名称:Deep Security as a Service ) Amazon EC2
  • 27. 27 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 侵入防御機能(仮想パッチ) Operation System Network Driver+仮想パッチ ベンダー製アプリケーション 自社開発プログラム Application Program Parameters User Interface/Applications HW Deep Security 仮想パッチ NIC 攻撃ツール 攻撃コード Exploit Code 脆弱性コードをネットワークドライ バ層でシグネチャとマッチングさせ 合致すればブロック 脆弱性を修正するセキュリティパッチをインストールする代わりに、脆 弱性を突く攻撃をブロックし、仮想的にパッチの役目を提供します。 仮想パッチとは ポイント1: ソフトウェアのコードレベル での修正を行わないので、 動作中のシステムへ影響 が少ない ポイント2: WindowsやLinuxのよう なOSだけでなく、様々なア プリケーションの仮想パッチ がトレンドマイクロから提供さ れる ※トレンドマイクロから提供される侵入防御ルールの他にも、独自のルールを作成することも可能です。 Cloud One - Workload Security ユースケース
  • 28. 28 Copyright © 2021 Trend Micro Incorporated. All rights reserved. システム運用者の運用負荷を軽減 ~推奨設定~ 「推奨設定」とはDeep Security Agentが自動でサーバ内のシステム情報をスキャンし、 サーバ上にある脆弱性を見つけて、そこに対する必要なIPS/IDSルール”仮想パッチ”を自動で適用する機 能です。結果的にサーバは、必要な保護だけを適切に自動で受けることが可能となります。 • サーバ管理者の脆弱性管理や、脆弱性を狙った攻撃へ の対処負荷を低減。 • 管理者自身でIPSルールの適用を行う必要がない。 解決可能なペインポイント サーバ サーバ 正規セキュリティパッチ 仮想パッチ 既知の脆弱性を 自動で検出 1 2 必要なIPSルール(仮想 パッチ)を自動適用 正規パッチを適用する と仮想パッチが外れる 4 3 正規セキュリティ パッチを検証 Cloud One - Workload Security ユースケース
  • 29. 29 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • 仮想パッチを提供して、脆弱性を利用するVPCへの 通信をブロック • VPC内部からの不正な通信やC&Cサーバへの通信を ブロック • インバウンド / アウトバウンド通信ともに対応可能 • プロダクトの方針は ① デプロイを簡単に速く(一部、CloudFormationか ら自動デプロイをサポート) ② SSLインスペクションの実装(現在プレビュー中) 構成イメージ 提供機能 特徴 ハードウェアIPS製品TippingPointのテクノロジーを実装した、クラウド環境上のネットワーク型IPS製品です。 AWSの環境ではVPCへの脆弱性を利用する悪意のある通信を検知・ブロックをすることができます。 Cloud One - Network Security
  • 30. 30 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 主に2つのデプロイユースケースでAWS環境を脅威から守る 1.公開サーバへの脆弱性攻撃を遮断 VPC Ingress Routingを使用したモデル 2.システム内の脅威拡散を遮断 Transit Gatewayを使用したモデル Cloud One - Network Security ユースケース
  • 31. 31 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 1. コンテナイメージのスキャナー – コンテナイメージ内の不正プログラム検索 – コンテナイメージ内に存在する脆弱性の検出 – AWS・GCPのシークレットキーやSSHに利用する秘密鍵の検出 2. コンテナイメージのデプロイを制御 – イメージに紐づく情報を基にデプロイを制御 – スキャン結果の情報に基づきデプロイを制御 Build 開発環境 コンテナレジストリ Push Pull 本番環境 1.レジストリ内の イメージをスキャン Cloud One – Container Security • イメージのデプロイ前にセキュリティチェック。 – セキュリティを本番環境から実装する「後乗せ」 ではなく、コンテナを用いたDevOpsのサイクルに組み 込むことが可能。 コンテナ環境開発プロセスの中で、レジストリに保存されているコンテナイメージに対して、脆弱性や不正 プログラムなどを検知してリスクを可視化。 決められたポリシーベースでデプロイを制御する製品です。 構成イメージ 提供機能 特徴 Cloud One - Container Security 2.イメージの デプロイを制御
  • 32. 32 Copyright © 2021 Trend Micro Incorporated. All rights reserved. 6. Deploy中止を通知 5. Check Image Container Security 6. ポリシーに基づき Stop Deploy! デプロイする前にイメージが安全で あることを確認 2. Start CI 3. Build / Test 5. Deploy Amazon EKS My APP Kubernetes Amazon ECR 4. Push Image AWS CodeCommit AWS CodeBuild AWS CodePipeline Kubernetes 脅威が潜むコンテナイメージを早期検出し、開発手戻りを最小化 ■ポリシーの例 デプロイをブロック • 特権コンテナのデプロイ • イメージネームにXXXが含まれるもの • スキャンされていないイメージ • コンプラインスに反するイメージ • CVE XXXが含まれているイメージ Cloud One - Container Security ユースケース
  • 33. 33 Copyright © 2021 Trend Micro Incorporated. All rights reserved. • アプリケーションに対する下記攻撃の検知・防御 – 悪意のあるペイロード(IPS/IDS機能相当) – SQLインジェクション – リモートコマンド実行 – オープンリダイレクト – 不正なファイルアクセス – 不正なファイルアップロード • 様々な環境・言語をサポート 各言語にパッケージとして提供 • 数行のコードを書き込むだけで完了 ー ソースコードの大きな変更は不要 ー パフォーマンス低下と展開負荷を最小限に RASP(Runtime Application Self Protection)方式を採用、アプリケーション自身にセキュリティを実装することで、 アプリケーションを保護。コンテナマネージドサービスやサーバレス環境も保護することできます。 提供機能 対応言語 特徴 ユースケース AWS Fargate AWS Lambda Amazon ECS Amazon EKS Cloud One - Application Security
  • 34. 34 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AWS Cloud users Amazon CloudFront Elastic Load Balancing AWS Fargate Amazon S3 Multimedia 動的コンテンツ /api 静的コンテンツ /static hoge.com Amazon RDS Amazon DynamoDB 例)ECサイトのシステム Webアプリケーションへの攻撃からシステムを守る 情報漏洩 情報改ざん 不正な操作 運営の妨害 攻撃例: ・SQLインジェクション ・リモートコマンド実行 ・不正なリダイレクト ・不正なファイルアップロード ・不正なファイルアクセス 通信フロー 攻撃フロー Cloud One – Application Security ユースケース
  • 35. 35 Copyright © 2021 Trend Micro Incorporated. All rights reserved. Amazon S3 Cloud One – File Storage Security f(x ) • Amazon S3, Azure Blob Storage および Google Cloud Storage内のファイルをスキャン • ユーザごとの異なるスキャンタイミングにあわ せるため、APIを提供 • ファイルの新規アップロードの際には自動的に スキャン可能 • AWS CloudFormation Templateとして提供 サーバレスで機能実装 (初期リリースはAWS S3向けのみ) 構成イメージ パブリッククラウドベンダーが提供するクラウドストレージを保護するセキュリティ機能を提供します。 これらに対してアップロード、保管されるファイルをスキャンします。 File Upload 提供機能 特徴 Cloud One – File Storage Security Amazon S3 Amazon S3
  • 36. 36 Copyright © 2021 Trend Micro Incorporated. All rights reserved. S3起点のマルウェア混入・拡散防止 2、外部からデータを取り込んでS3へ保存する公開系システ ムの場合、マルウェアが混入および配信されることを防止 (例) ECサイト、投稿サイト、データクローリング etc. 1、社内における複数拠点間のファイル共有先として S3を利用している場合、 マルウェアの混入および拡散を防止 拠点A 拠点B 拠点C 外部 コンテンツ管理者 ユーザー 外部 コンテンツ管理者 他拠点へのマルウ ェア拡散を防止 ユーザーへのマル ウェア配布を防止 Cloud One – File Storage Security ユースケース
  • 37. 37 Copyright © 2021 Trend Micro Incorporated. All rights reserved. スキャン結果イメージ 提供機能 特徴 AWSやAzureなどのクラウドアカウントと連携させることで、情報漏えいなどのインシデントにつながる 設定不備・設定ミスを検知して、リスクを可視化します。ユーザのコンプライアンス対応を支援します。 セキュリ ティ コスト最適化 運用上の優秀性 信頼性 パフォーマンス効 率 • Security and Compliance - AWS Well-Architected Frameworkをベースとして、 700以上のルールで設定不備やコンプライアンス状況を可視化。 • Template Scanner - CloudFormation Templatesをアップロードする事で テンプレート上のリスクを可視化・修復を支援。(Terraform対応予定) • Real-Time Threat Monitoring - AWSアカウント上のリソースにルール違反がないかを リアルタイムに検出。 • Auto-Remediation(OSSで提供) - 修正方法を提示、AWS Lambdaと連携することで、 簡易的なセキュリティやガバナンスの自動化を実現。 • Cost Management - AWSアカウント上のコスト状況を可視化、 コストの最適案を提案、アラートや月次のAWS使用料を予測。 • AWS, Azureが提供する60以上のサービスに対応 • 700を超えるルール • AWS Well Architected Framework, PCI, HIPAA, NIST, GDPR, CISなどに対応 実際のコンソールは英語表記のみです。 Cloud One - Conformity
  • 38. 38 Copyright © 2021 Trend Micro Incorporated. All rights reserved. AdministratorAccess Policy 2、コンプライアンスに違反する設定不備を検出 1、S3の閲覧権限のPublic設定を検出し、情報漏えい を抑止 4、許可していないリージョンでのリソース利用を検出 3、意図しない権限昇格がされていないか AdministratorAccess Policyの付与の監視 5、CloudFormation Templateをスキャンすること によるセキュリティ課題の早期発見 要件定義 設計 構築 テスト 運用 Cloud One – Conformity ユースケース