トレンドマイクロTech Day 2021開催報告

公開日
2021年2月12日

みなさん、こんにちは!トレンドマイクロでSolution Architectをしている根本です。

本年のTech Dayは、2日間に渡りオンラインで開催されました。
例年であれば、SEを中心にフロントのエンジニアが参加するのですが今年はオンライン開催ということもあり、Globalで総勢800名以上のエンジニアが参加しました。
AWSでいうSecurity JAMのようにCTF形式で弊社のソリューションを活用した問題が出題され、各チームが競うイベントです。

その基盤にはAWSが利用されており、年々利用サービスの種類やリソースの規模が増えています。
また、出題される弊社の製品の傾向に合わせて利用するAWSサービスもCloud Native領域にシフトしてきています。今年はAWS CloudFormation とAWS Service Catalogを多用していたのが非常に印象に残っています。

これだけのリソースを1時間以内でデプロイできるなんてInfrastructure as Codeって有用ですよね。それをベースとして環境を設計した作問チームは本当に優秀です!

今回は「企業のオンプレ環境をクラウドへマイグレーションしセキュリティを実装する」というテーマで出題されています。では、その問題の一部を紹介したいと思います。みなさんもその企業のセキュリティエンジニアになったつもりで考えてみてください。

  • Trend Micro Cloud One - Workload Securityは以降C1WS、Trend Micro Cloud One - File Storage SecurityはC1FSS、Trend Micro Cloud One - Application SecurityはC1ASと表記します。

 

(1)[Trend Micro Cloud One - Workload Security]
EC2インスタンスの保護を自動化せよ

自動で生成されるAmazon Elastic Compute Cloud (Amazon EC2)インスタンスの保護を自動化せよ、という問題です。
Agent保護の自動化というと、まずイメージするのはインストールスクリプトをUser Dataに張り付けるのだろうと想像できますが、どこを探しても自動起動するインスタンスの制御をする設定が見つかりません。
私も後ほど知ったのですが、AWS Systems Manager Distributorを使ってC1WS/Deep Security のAgentを自動配布することができるのです!すごい!
AWS Systems ManagerでC1WSのURLやTokenをパラメータとして予め登録し、パッケージとして登録をします。因みに現時点でAWS Systems Manager DistributorにThird Partyとして登録があるセキュリティベンダーはTrend Microのみです。

詳しい手順については下記オンラインヘルプをご参照ください。

▼AWS Systems Manager Distributorとの統合(C1WS)
▼AWS Systems Manager Distributorとの統合(Deep Security)

(2)[Trend Micro Cloud One - File Storage Security]
Amazon S3上のマルウェアを自動的に修復せよ

Amazon Simple Storage Service (Amazon S3)上にマルウェアをアップロードされる攻撃を受けています。Amazon S3上にアップロードされたマルウェアを自動的に隔離してください、という問題です。
Trend Micro Cloud One - File Storage Securityとは、Amazon S3にアップロードされたObjectがマルウェアかどうかをスキャンして判定するソリューションです。
アプローチ方法としては、C1FSSに対し、スキャン結果に応じてObjectを隔離するためのAWS Lambdaを追加実装します。
AWS Service Catalogが用意されており、実行するとAWS Lambda、隔離用のAmazon S3バケットがデプロイされます。
このままではAWS LambdaのTriggerが指定されていないため動作しません。
スキャンしたタイミング、かつスキャンした結果を取得する必要がありますので、C1FSSのAmazon SNS Topicをサブスクライブする必要があります。
Amazon SNS TopicのARNをAWS LambdaのTriggerに設定して完成です!

これでAmazon S3にマルウェアがアップロードされた場合、自動的に隔離用バケットへ移動させることができます。C1FSSを活用することでAmazon S3を介したマルウェアの拡散を防ぐことができますね!

(3)[Trend Micro Cloud One - Application Security]
サーバレスアプリにセキュリティを実装せよ

Amazon API Gateway+AWS Lambdaで構成されているアプリケーションを攻撃から保護せよ、という問題です。
Trend Micro Cloud One - Application Securityとは、Webアプリケーションにモジュールを組み込み、アプリケーション自身の動作を保護していくソリューションです。
この問題ではC1ASをAWS Lambdaに実装していきます。
通常の実装手順ではアプリケーションからC1ASモジュールをImportするようソースコードを一部編集して実装しますが、AWS LambdaのPython、Node.js環境の場合はLambda Layerを使って簡単に実装することができます!

特にCustom Runtime Layerを使うとアプリケーションのソースコードには一切手を加えずにC1ASを実装することができます。
この点はアプリケーション開発者にとってかなりうれしい点ではないでしょうか。セキュリティが開発を邪魔しない良い例だと思います!

AWS Lambdaの起動とともにC1ASが起動してMalicious Payloadイベントを検出していることがDashboard上から確認できました。これにてミッションコンプリートです!

 

みなさま、いかがでしたでしょうか。
企業のオンプレ環境をクラウドへマイグレーションしセキュリティを実装する」というミッションを実現するには、クラウドネイティブな新しい技術領域にあわせて、セキュリティも新しい手段で対策していく必要があります。
クラウドシフトやサーバレス化を推進するなら、セキュリティ対策や運用方法の見直しをする良い機会かと思います。
可視化や自動化をうまく取り入れて、クラウドネイティブ環境にあったセキュリティを組み込んでいきたいですね。

トレンドマイクロ株式会社
エンタープライズSE本部 セールスエンジニアリング部
ソリューションアーキテクト
Cloud One File Storage Security, Conformity担当 根本 恵理子

お問い合わせ窓口一覧

メールでのお問い合わせ
aws@trendmicro.co.jp

Copyright © 2022 Trend Micro Incorporated. All rights reserved.