はじめに
IBM Cloudは、今までCSPM(Cloud Security Posture Management)機能を提供するSCC(Security and Compliance Center)サービスを提供してまいりましたが、2025年7月17日に販売終了、2025年12月1日にサポート終了のアナウンスを実施しております。代わりに、以前からサービス提供しておりましたSCCWP(Security and Compliance Center Workload Protection)が後継サービスとしてCSPM機能を提供します。
名前こそ似ておりますが、実際のサービスは全く別のサービスとなります。今までSCCでスキャンポリシーの最適化、サービスコストの最適化を目的にお客様独自のカスタムプロファイル作成/利用されていたお客様は、本移行に際しプロファイル移行作業が発生します。
本日は、このカスタムプロファイルの移行手順についてご紹介します。
SCCWP概要
SCCWPが提供するCNAPP(Cloud Native Application Protection Platform)機能には、以下の様な複数のセキュリティ機能が含まれる統合ソリューションとなっております。
- CSPM : Cloud Security Posture Management
- CIEM:Cloud Identity and Entitlement Management
- CWPP : Cloud Workload Protection Platform
- CDR:Cloud Detection and Response
IBM Cloudでは、SCCで提供していたCSPM機能がSCCWPで提供される機能と同等であり、またIBM Cloudに限らず、他マルチクラウド環境、オンプレとのハイブリッドクラウド環境のセキュリティ管理が実現できる事から、この度サービス統合を実施する運びとなりました。
カスタムポリシーへの移行概要
SCCWPにて事前に準備されたポリシーを利用するのでは無く、事前準備されたコントロールをお客様の利用用途に応じて個別に選択しカスタマイズしたものをカスタムポリシーと言います。このカスタムポリシーを作成する方法として以下2方式が存在します。
今回は、SCCWPコンソールにて作成する方法をご紹介します。
移行元のSCCにも同様なカスタマイズ機能がありますが、こちらはカスタムプロファイルと呼ばれております。
今回の移行では、SCCのカスタムプロファイルで選択されているルールを、手動にてSCCWPのカスタムポリシー配下のコントロールに移行します。SCCWPの事前定義のコントロールには、SCCのルールと同様の物が準備されておりますので、そのまま同様な物を選択して移行する事が可能となっております。
尚、SCCとSCCWPでは、これらプロファイル/ポリシーに関連する名称が、類似の言葉を利用されている関係で、混乱しますので以下に対応表を添付しておきます。
SCCカスタムプロファイルの確認
SCCカスタムプロファイルへのアクセスは以下となります。SCCページにアクセスすると、ページの上部にサービス提供終了のメッセージが表示されております。左メニューより「Profiles」を選択して表示されたプロファイル一覧にて、「Custom」タイプでフィルタするとご利用中のカスタムプロファイル一覧が表示されます。
対象のカスタムプロファイルを選択する事で、コントロール一覧が表示されます。
表示されているコントロールをクリックするとプロファイルの詳細が表示されます。また、参考にSCCのコントールライブラリの階層構成図を添付します。
移行先のSCCWPにてカスタムポリシー(SCCのカスタムプロファイルに相当)を作成する際に、この同じ名称のSpecificationを選択する事で同様のカスタムポリシーを作成する事が可能です。
SCCWPカスタムプロフィル移行操作
SCCWPのインスタンスを作成します。インスタンスの作成自体は非常に簡単です。こちらのドキュメント新しいWorkload Protectionインスタンスに統合するを参照ください。
作成されたSCCWPのページより「Open dashboard」を選択する事で、SCCWPコンソールが起動します。
SCCWPコンソール上の左メニューより、「Policies」→ Posture配下の「Policies」を選択し、ポリシー一覧を表示します。右上の「New Policy」を選択し、作成するカスタムポリシーの名前を入力する事によりポリシーを作成します。
作成したカスタムポリシーページが以下となります。「Requirement&Controls」を選択して、コントロールを追加します。
Requirement&Controlsのページで、「New Group」を押下する事で、各コントロールを登録するRequirement GroupやRequirementを定義します。これらの情報は、単純なテキストグループですので、各自ご都合が良い管理グループ名に変更も可能です。
作成したRequirementにコントロール(SCCにおけるSpecification)を追加していきます。各Requirementを選択した際、右側に発生する検索欄へ移行するコントロールを入力します。該当するコントロールが確認できたら、「Link」を押下して対象コントロールとして登録します。
Requirementにコントロールが登録されました。
全てのコントロールの移行が完了したら、Draft状態からPublish状態にポリシーを正式に発行します。
最後に作成したカスタムポリシーを対象Zoneとアタッチする事で定期的なCSPMスキャン対象となります。
まとめ
本記事では、SCCのカスタムプロファイルをSCCWPのカスタムポリシーに移行する手順をご紹介しました。
SCCでは、スキャン対象のコントロール数とスキャン回数で課金されておりました。SCCWPは、スキャン対象のポリシー数やスキャン回数に依存せず、CSPMを適用するアカウントに存在するインスタンス数により課金されます。
CSPMが提供する機能の本質から考えると本日ご紹介したSCC時代から利用していたカスタムプロファイルをそのまま移行するのでは無く、必要なコンプライアンスに準拠するポリシー/コントロールを広く日常的に適用する事を推奨します。
これらの変更により、脆弱なクラウド環境設定を発見できる機会が多くなり、適用当初は多くの検知が発生すると思いますが、検知結果を評価してリスクの受け入れ等適切なチューニングを重ねる事で最適なCSPM監視環境が実現できます。