はじめに
プログデンスの萩原です。
2025年6月13日に開催された、タニウム社主催の「Converge Tokyo 2025」のハンズオンに参加した際のレポートとなります。
Tanium Converge は、基調講演、事例講演、セッション、ハンズオンなどを通じて、セキュリティや IT資産管理、脆弱性管理などの最新トレンドや Tanium 活用方法を学ぶことができるイベントです。
米国をはじめとして世界の主要都市で毎年開催されている「Converge」の日本版にあたります。
今年のテーマは、「AIで切り拓く自律型セキュリティの未来 ~Autonomous~」となっており、2024年11月にリリースした「Tanium AEM (Autonomous Endpoint Management)」の機能アップデートと、日本に特化した開発戦略などについて発表されました。
- イベント公式URL:https://converge.taniumevent.jp/
本記事では、実際にハンズオンで体験した内容と、体験して気づいた点や所感を記載します。
(詳細な設定手順は割愛しています)
ハンズオンラボとは?
ハンズオンラボは、新しい機能を知ることができたり、実践的な内容を体験することができたりと、Tanium を深く学べる場として人気のコンテンツとなっています。各コースは約1時間のプログラムとなっており、短時間で知識を習得することができます。事前抽選制のため、気になるコースがあれば早めに申し込むことをお勧めします。
PC を持参する必要はありますが、参加者一人一人に対して自由に触れる Tanium のラボ環境が用意されており、ハンズオン ガイドブックも用意されているため自分のペースで進めることが出来ます。
また、タニウム社のエンジニアの方もいらっしゃるので、不明点や質問があればすぐに聞くことができるところがハンズオンラボの良い点だと感じました。
ハンズオンラボ コース内容
今回の Converge では、下記3つのコースが用意されていました。
- 複雑な端末管理をシンプルに!Tanium Automateによる自動化術
- 外部連携がもっと簡単に!Integrations Galleryの使い方
- Microsoft Security Copilot連携を体験
- Taniumで脅威を追い詰める!調査と初期対応の秘訣
正式リリース前の機能「Integrations Gallery」に触れることができるのも魅力的に感じますが、以前より Automate の設定方法や運用業務を自動化する事例が知りたいと考えていたため、今回は Tanium Automateによる自動化術 に参加させていただきました。
参加コースの概要(イベント公式ページから引用)
複雑な端末管理をシンプルに!Tanium Automateによる自動化術
概要:Tanium Automateを活用してセキュリティ運用の自動化を体験できます。未許可のアプリケーションに対する一連のタスク(ネットワークからの隔離、アンインストール、隔離の解除)を自動化するプレイブックを作成し、効率的なセキュリティ運用について学びます。
実施内容
下記3部構成となっています。Lab1. は、実際に Automate のプレイブックを作成、実行して挙動を確認しました。時間の関係で、Lab2. Lab3. は既に用意されたプレイブックをインポートして設定を1つずつ確認する演習を行いました。
| ラボ | 項目 |
|---|---|
| Lab1 | ネットワーク隔離と無許可ソフトウェアの削除 |
| Lab2 | 新規端末のオンボーディングに必要な設定の自動化 |
| Lab3 | パッチツール、Windows Update Agent などの一般的な修正の自動化 |
ハンズオンの実施
Lab1. ネットワーク隔離と無許可ソフトウェアの削除
Lab1.では、許可していないソフトウェアが端末にインストールされていることを検出した際に行う一連の処理を Automate で自動化する方法を学びました。
許可していないソフトウェアは「 Notepad++ 」を例として、「 Notepad++ 」がインストールされたエンドポイントを対象に以下アクションを自動化するためのプレイブックを作成しました。
| 番号 | プレイブックの内容 |
|---|---|
| 1 | ネットワーク隔離 |
| 2 | Notepad++ のアンインストール |
| 3 | ネットワーク隔離の解除 |
※本記事では、実際にハンズオンで利用したラボ環境の画像ではなく、プログデンスの Tanium 検証環境の画像を載せています。
プレイブック作成
新規プレイブックを作成します。
プレイブック名は「Notepad++ Uninstall with Quarantine」に設定しています。
ネットワーク隔離(Quarantine)を行うステップ追加
新規ステップを追加していきます。Deploy Action を選択します。
ネットワーク隔離を行うパッケージを設定します。
対象エンドポイントの条件を設定します。センサー「Installed Application Exists」を使用し、Notepad++ をインストールしているエンドポイントのみに対象を設定します。
次のステップを開始するための条件を設定します。ステップが正常に完了していても、ここで設定した時間が経過するまで次のステップは開始されません。Step Completion : Any を設定することで、一部のエンドポイントがステップを完了できなくても、次のステップを開始することができます。
Notepad++をアンインストールするステップ追加
2つ目のステップを新規追加していきます。
事前に用意した Notepad++ をアンインストールするカスタムパッケージを設定します。
対象エンドポイントの設定では「Targets from Previous Step」を設定します。
この設定により、1つ前のステップで設定したネットワーク隔離が失敗しても、対象アプリをアンインストールすることができます。
次のステップを開始する条件の設定では「Step Completion : All」を設定し、全てのエンドポイントでアプリのアンインストールが完了していることを条件とします。
ネットワーク隔離を解除するステップ追加
3つ目のステップを新規追加していきます。
ネットワーク隔離の解除を行うパッケージを設定します。
対象エンドポイントの設定では、「Endpoint that completed the previous step successfully」を設定します。この設定により、前のステップでアンインストールが完了した場合だけネットワーク隔離を解除することができます。
次のステップを開始する条件の設定では「Step Completion : All」を設定し、全てのエンドポイントでネットワーク隔離が完了していることを条件とします。
プレイブックの作成は以上となります。
プレイブックの実行
作成したプレイブックを実行してみます。
実行中のプレイブックは、プレイブックの詳細画面の「Run History」から確認できます。
プレイブック実行後、対象エンドポイントから Notepad++ がアンインストールされたことを確認できました!
Lab2. 新規端末のオンボーディングに必要な設定の自動化
新しく Tanium に登録されたエンドポイントに対し、自動的に必要なエージェントソフトやパッチのインストールなどを行うプレイブックの設定を確認しました。
| 番号 | プレイブックの内容 |
|---|---|
| 1 | ソフトウェアバンドルのインストール |
| 2 | 初期パッチスキャンの実行 |
| 3 | 30日以上経過したパッチのインストール |
| 4 | 初期脆弱性スキャンの実行 |
各ステップの対象エンドポイント設定は、カスタムタグ「New-Endpoint」が付与されているエンドポイントを条件に設定していました。事前に、新しく Tanium に登録されたエンドポイントに対してカスタムタグを付与しておく必要はありますが、上記の内容を手動で1台ずつ実施する時間と手間を削減することができそうです。
Lab3. パッチツール、Windows Update Agent などの一般的な修正の自動化
パッチの処理が失敗する主な原因は、ディスクの容量不足、Patch ツールの破損、Windows Update Agent の不具合などが挙げられます。パッチ処理が正常に実行されない場合に、Patch ツールや Windows Update Agent などを自動修復するプレイブックの設定を確認しました。
| 番号 | プレイブックの内容 |
|---|---|
| 1 | ディスクのクリーンアップ |
| 2 | パッチスキャンの実行 |
| 3 | スキャン終了の待機 |
| 4 | Windows Update Agent の修復 |
| 5 | 修復完了の待機 |
| 6 | Patch ツールの再インストール |
| 7 | インストール完了の待機 |
| 8 | パッチスキャンの再実行 |
| 9 | スキャン終了の待機 |
パッチ処理が失敗して Patch ツールの再インストールを行う際、手動の運用ではインストール完了を確認してからパッチスキャンが成功したかどうか確認する必要があり、その確認作業に多くの時間を要します。プレイブック機能では、パッチスキャンの実行やツールのインストールなど処理時間を要するステップの後に「Wait」ステップを追加することで、任意の時間待機してから次の処理に自動的に進むよう設定できます。この設定により管理者が手動で完了したかどうか確認する必要がなくなり、一連の作業を完全に自動化することができると感じました。
ハンズオンの感想
Tanium Automate のハンズオンで印象的だったことは、複雑な設定をすることなく簡単にプレイブックを作成できたことです。今回のプレイブック作成は、アプリをアンインストールするカスタムパッケージを事前に用意する必要はありましたが、Tanium が用意しているパッケージはすぐに利用することができるため、すべて1からパッケージを用意する必要はありませんでした。
今回初めてハンズオンラボに参加してみて、実際に手を動かして設定を学ぶことができる良い機会だと感じました。Automate をほとんど知らない状態でハンズオンに臨みましたが、専用のラボや手順書が用意されているため、ハンズオン終了時にはプレイブックの作成方法をしっかり理解できます。また、躓いたときに タニウム社のエンジニアにすぐに質問もできるので安心して進められます。リリース前の新機能が体験できたり、Converge でしか体験できないハンズオン内容になっていて来年も是非参加したいと考えています。
おわりに
最後までお読みいただきありがとうございました!
本記事が Tanium や Converge に興味を持つきっかけになりますと幸いです。
株式会社プログデンス/BtoB向けのITソリューションを提供する企業です。 技術スタック: SASE / Prisma Access / Zscaler / Netskope / Cato Networks / Tanium / M365 / Cisco / Automation / Ansible