Amazon AppFlowとWorkload Securityの連携について
～前編～

公開日
2020年6月1日

皆さん、こんにちは。
トレンドマイクロでAWSアライアンスのTech Leadをしている、姜(かん)です。
今回は6月にリリース予定としている、Trend Micro Cloud One – Workload Security™（以下、Workload Security^※1）とAmazon AppFlow（以下、AppFlow）の連携をご紹介させて頂きます。
※1 現製品名：Trend Micro Deep Security as a Service™

目次
１．AppFlowとは？
２．Workload Security と AppFlowが連携する事の３つのメリット
３．Workload Security と AppFlow連携のユースケース
４．Workload Security と AppFlow の連携方法
（今回は１～３までのご紹介となり、連携方法は次回掲載させて頂きます）

１．AppFlowとは？

まずは、AppFlowを簡単に説明させて頂きます。AppFlowは2020年4月23日に新しくリリースされたAWSのサービスとなります。
AppFlowは、AWS上で提供している各社のSaaS（Software-as-a-Service）とAWSの各種マネージドサービス間のデータ伝送を安全に行えるフルマネージドのサービスとなります。
数回の操作を行う事で、コーディング不要で、SaaS上のデータを簡単に安全にAmazon Redshift、Amazon S3、Snowflake、Salesforceに統合する事が可能となります。

AppFlowのData Sourceとしては、
「Amplitude」、「DataDog」、「Google Analytics」
「Infor Nexus」、「Marketo」、「Salesforce」
「ServiceNow」、「Singular」、「Slack」
「Snowflake」、「Trend Micro Cloud One」、「Veeva」、「Zendesk」、「Dynatrace」の
14のSaaSに対応しており（2020年5月25日現在）、その中に唯一のセキュリティソリューションとしてTrend Micro Cloud Oneが選択可能となっております。

AppFlowのData Destinationとしては、Amazon Redshift、Amazon S3、Snowflake、Salesforceとなっており、Trend Micro Cloud Oneは全てのData Destinationと連携する事が可能となります。

２．Workload Security と AppFlowが連携する事の３つのメリット
こちらの３つのメリットはトレンドマイクロブログの一部を説明したものとなります。詳細はこちらをご参照ください。

トレンドマイクロが想定する３つのメリットはこちらとなります。

１．Audit Automation
セキュリティチームが定期的に行っているレポーティングにはそれに伴うデータ操作や整形作業が必要となります。そのためにはSaaS上にあるデータを一旦取り込み、そのデータを整形する必要がありますが、そういった作業を行うには自分達でCoding、またそれを実装するスキルや工数が求められます。
AppFlowと連携する事で、Redshiftのようなデータウェアハウスとのデータフローを簡単に作成する事が可能となり、SaaS上のデータの取り込みに関してもCoding不要で安全にデータを蓄積する事が可能となります。
AppFlowはデータの取り込みに関しては、リアルタイムやスケジューリングに対応しているので、Workload Securityと連携させる事で、データ取り込み作業自体を自動化する事が可能となります。

２．Developer Enablement
アプリケーション調査のためにセキュリティに関するデータを必要とする際、セキュリティソリューションのコンソールやAPIを利用してデータを取得しますが、開発者には通常そういったアクションが許可されておりません。その場合、毎回セキュリティチームに連絡をとり、開発者が必要なデータを取り出してもらうという運用が発生します。
AppFlowと連携する事で、Workload SecurityのデータをAmazon S3に蓄積し、開発者が必要な時に必要なデータを利用する事が可能となります。

３．Security Remediation
セキュリティチームの運用タスクの一つとして、複数のSaaSアプリケーションからあがってくるセキュリティアラートの対処があります。こういったアラートを対処するには、組織を横断した、アプリケーションチームやSREと連携する必要があります。
AppFlowと連携する事で、Workload Securityの各Agentのステータスをクラウド上に集約するだけでなく、アプリケーションデータ、インスタンス情報、他社SaaSのデータをAmazon S3上に一元的に集約する事が出来ます。
また、様々なチームへ即座に情報を届ける事が可能となるので、複数チームが関連するセキュリティアラート対処の迅速化へ繋がります。
更に、Amazon S3へのデータ格納をトリガーにAWS Lambdaでデータ整形を行う事で、今まで文字と数字の集まりとして格納されていたデータが、より利用しやすい意味のあるものにする事も可能となります。

3．Workload Security と AppFlow連携のユースケース

今までの説明を踏まえ、Workload SecurityとAppFlowを連携した場合に想定されるユースケースをご紹介させて頂きます。
注意）現状、Workload SecurityからAppFlowへ伝送できるデータ「Source Object」は「Computers」か「Policies」（Workload Security側では「コンピュータ」、「ポリシー」で表記されている箇所）となっており、その内容はセキュリティイベントではなく、各Objectの各種設定やステータス情報となります。
下記ユースケース「１」、「２」はSource Objectがセキュリティイベントに拡張された場合のユースケースを想定しております。

１．イベントデータの長期保存
Workload Securityには、セキュリティイベントとシステムイベントの2種類のイベントがあり、セキュリティイベントが32日間、システムイベントが13週間保存される仕様となっております。
参考サイトはこちら

お客様の中には、セキュリティコンプライアンスの観点から長期のデータ保存を求められているお客様もおります。
その場合の対処として、Syslogサーバを別途用意して頂いたり、各種イベントを手動でエクスポートする、又は作りこみ前提として、Workload Security → Amazon SNS → Amazon S3の連携等をご案内しておりました。

AppFlow と連携する事で、一切のCodingやその管理も必要なく、上記ログ保存期間以上に、各種マネージドサービスへ安全に保存する事が可能となります。

■Before

■After

２．イベントデータの長期可視化
Workload Securityのダッシュボードで表示出来るデータ期間は最大7日前のデータとなります。
AppFlow と連携する事で、仕様である7日以上前の期間で、セキュリティデータの可視化が可能となります。
数か月前のデータを可視化しイベントを遡る必要があった場合、Workload Securityのダッシュボードではデータの可視化が行えませんが、今回の連携を利用する事で本来製品に備わっている期間以上のデータ可視化を行う事が可能となります。
例えば、BIツールであるAWS QuickSightを利用すると上記のような可視化が可能となります。
AWS QuickSightのデータソースにはWorkload Securityは含まれておりませんが、Amazon Redshift、Amazon S3、Snowflakeがサポートされているので、今回AppFlow と連携出来る事でこのような利用も可能になるかと思います。