Google Cloud Well-Architected Framework のセキュリティの柱におけるこの原則では、全体的なセキュリティ戦略の一環として堅牢なサイバー防御プログラムを構築するうえで役に立つ推奨事項が示されています。
この原則では、防御側の優位性: サイバー防御のアクティブ化へのガイドで定義されているように、脅威インテリジェンスを使用して、コア サイバー防御機能全体で取り組みを事前にガイドすることを重視しています。
原則の概要
サイバー攻撃からシステムを防御する際には、攻撃者に対して大きな、十分に活用されていない利点があります。Mandiant の創設者が述べているように、自社のビジネス、システム、トポロジ、インフラストラクチャについて、どの攻撃者よりも熟知しているはずです。これは大きな利点です。」この固有の利点を活用するために、このドキュメントでは、防御側の優位性フレームワークにマッピングされた、事前対応型の戦略的なサイバー防御プラクティスに関する推奨事項について説明します。
推奨事項
クラウド ワークロードに予防的なサイバー防御を実装するには、次のセクションの推奨事項を検討してください。
サイバー防御の機能を統合する
この推奨事項は、すべての重点分野に関連しています。
The Defender's Advantage フレームワークでは、サイバー防御の 6 つの重要な機能(インテリジェンス、検出、対応、検証、ハンティング、管制センター)を特定しています。各機能はサイバー防御ミッションの個別の部分にフォーカスしますが、効果的な防御を提供するには、これらの機能が適切に連携し、連携して動作する必要があります。各機能が相互にサポートする堅牢な統合システムの構築に重点を置きます。導入に段階的なアプローチが必要な場合は、次の推奨順序を検討してください。現在のクラウドの成熟度、リソース トポロジ、特定の脅威の状況に応じて、特定の機能を優先することがあります。
- インテリジェンス: インテリジェンス機能は、他のすべての機能をガイドします。最も可能性の高い攻撃者、その戦術、手法、手順(TTP)、潜在的な影響など、脅威の状況を理解することは、プログラム全体でアクションの優先順位付けを行ううえで非常に重要です。インテリジェンス機能は、ステークホルダーの特定、インテリジェンス要件の定義、データの収集、分析と普及、自動化、サイバー脅威プロファイルの作成を担当します。
- 検出と対応: これらの機能は、悪意のあるアクティビティを特定して対処するアクティブ ディフェンスの中核を構成します。これらの関数は、インテリジェンス関数によって収集されたインテリジェンスに基づいて行動するために必要です。検出機能では、検出を攻撃者の TTP に合わせ、堅牢なロギングを確保する体系的なアプローチが必要です。Respond 機能は、初期トリアージ、データ収集、インシデントの修復に重点を置く必要があります。
- 検証: 検証機能は、セキュリティ対策機能のエコシステムが最新の状態であり、設計どおりに動作していることを保証する継続的なプロセスです。この機能により、組織は攻撃対象領域を理解し、脆弱性が存在する場所を把握し、コントロールの有効性を測定できます。セキュリティ検証は、検出エンジニアリング ライフサイクルの重要なコンポーネントでもあり、検出のギャップを特定して新しい検出を作成するために使用する必要があります。
- ハンティング: ハンティング機能は、環境内のアクティブな脅威をプロアクティブに検索します。この関数は、組織の検出機能と対応機能の成熟度がベースライン レベルに達している場合に実装する必要があります。ハンティング機能は検出機能を拡張し、コントロールのギャップや弱点を特定するのに役立ちます。Hunt 関数は、特定の脅威に基づく必要があります。この高度な機能は、堅牢なインテリジェンス、検出、対応機能の基盤を活用しています。
- 管制センター: 管制センター機能は、他のすべての機能を接続する中央ハブとして機能します。この機能は、サイバー防御プログラム全体の戦略、コミュニケーション、断固とした行動を担当します。すべての機能が連携して動作し、組織のビジネス目標に沿って動作するようにします。他の機能を接続する前に、管制センター機能の目的を明確に理解することに重点を置く必要があります。
サイバー防御のあらゆる側面でインテリジェンス機能を使用する
この推奨事項は、すべての重点分野に関連しています。
この推奨事項では、インテリジェンス機能を強力なサイバー防御プログラムの中核として強調しています。脅威インテリジェンスは、攻撃グループ、その TTP、セキュリティ侵害の証拠、痕跡(IoC)に関する知識を提供します。この知識は、すべてのサイバー防御機能にわたってアクションを通知し、優先順位を付ける必要があります。インテリジェンス主導のアプローチは、組織に最も影響を与えそうな脅威に防御を合わせるのに役立ちます。このアプローチは、リソースの効率的な割り当てと優先順位付けにも役立ちます。
次の Google Cloud プロダクトと機能は、脅威インテリジェンスを活用してセキュリティ運用をガイドするのに役立ちます。これらの機能を使用して、潜在的な脅威、脆弱性、リスクを特定して優先順位を付け、適切なアクションを計画して実装します。
Google Security Operations(Google SecOps)を使用すると、セキュリティ データを一元的に保存して分析できます。Google SecOps を使用して、ログを共通のモデルにマッピングし、ログを拡充して、ログをタイムラインにリンクし、攻撃の全体像を把握します。検出ルールの作成、IoC の照合、脅威探査アクティビティの実行も可能です。このプラットフォームには、脅威の特定に役立つ事前定義されたマネージド ルールである、キュレートされた検出機能も用意されています。Google SecOps は Mandiant の最前線のインテリジェンスとも統合できます。Google SecOps は、業界をリードする AI と、Mandiant の脅威インテリジェンスおよび Google VirusTotal を独自に統合しています。この統合は、脅威の評価と、組織を標的とするユーザーとその潜在的な影響を把握するために不可欠です。
Security Command Center Enterprise は Google AI を活用しており、セキュリティ担当者は複数のクラウド環境にまたがるセキュリティの問題を効率的に評価、調査、対応できます。Security Command Center を活用できるセキュリティ専門家には、セキュリティ オペレーション センター(SOC)アナリスト、脆弱性と体制のアナリスト、コンプライアンス マネージャーなどが含まれます。Security Command Center Enterprise は、セキュリティ データを拡充し、リスクを評価して、脆弱性の優先順位を付けます。このソリューションは、リスクの高い脆弱性に対処し、アクティブな脅威を修復するために必要な情報をチームに提供します。
Chrome Enterprise Premium は、脅威からの保護とデータ保護を提供します。これにより、情報漏洩のリスクからユーザーを保護し、マルウェアが企業の管理対象デバイスに侵入するのを防ぐことができます。Chrome Enterprise Premium では、ブラウザ内で発生する可能性のある安全でないアクティビティや安全でない可能性のあるアクティビティを可視化することもできます。
Network Intelligence Center などのツールによるネットワーク モニタリングにより、ネットワーク パフォーマンスを可視化できます。ネットワーク モニタリングは、異常なトラフィック パターンを検出したり、攻撃やデータ不正搬出の試みを示す可能性のあるデータ転送量を検出したりするのにも役立ちます。
防御側の優位性を理解して活用する
この推奨事項は、すべての重点分野に関連しています。
前述のように、ビジネス、システム、トポロジ、インフラストラクチャを十分に理解していれば、攻撃者よりも有利になります。この知識の優位性を活かすには、サイバー防御の計画時に環境に関するこのデータを活用します。
Google Cloud には、脅威を特定し、リスクを把握し、潜在的な損害を軽減するためにタイムリーに対応できるように、次の機能が用意されています。
Chrome Enterprise Premium は、情報漏洩のリスクからユーザーを保護することで、エンタープライズ デバイスのセキュリティを強化します。Sensitive Data Protection サービスをブラウザに拡張し、マルウェアを防止します。また、マルウェアやフィッシング対策などの機能も提供しており、安全でないコンテンツにアクセスしないようにすることができます。また、拡張機能のインストールを制御して、安全でない拡張機能や審査されていない拡張機能を防ぐこともできます。これらの機能により、運用の安全な基盤を確立できます。
Security Command Center Enterprise には、包括的で継続的なリスク分析と管理を提供する継続的なリスクエンジンが用意されています。リスクエンジン機能は、セキュリティ データを拡充し、リスクを評価し、脆弱性の優先順位付けを行うことで、問題を迅速に解決できるようにします。Security Command Center を使用すると、組織は脆弱性を事前に特定して軽減策を実装できます。
Google SecOps はセキュリティ データを一元化し、タイムラインを含む拡充されたログを提供します。これにより、防御側はアクティブな侵害を事前に特定し、攻撃者の行動に基づいて防御を適応させることができます。
ネットワーク モニタリングは、攻撃を示す可能性のある異常なネットワーク アクティビティを特定し、対策を講じるために使用できる早期の指標を提供します。データを盗難からプロアクティブに保護するには、データ引き出しを継続的にモニタリングし、提供されているツールを使用します。
防御を継続的に検証して改善する
この推奨事項は、すべての重点分野に関連しています。
この推奨事項は、攻撃対象領域全体の強みと弱みを理解するために、ターゲットを絞ったテストと継続的なコントロールの検証の重要性を強調しています。これには、次のような方法で制御、オペレーション、スタッフの有効性を検証することが含まれます。
また、脅威を積極的に検索し、その結果を使用して検出と可視性を向上させる必要があります。次のツールを使用して、実際の脅威に対する防御を継続的にテストして検証します。
Security Command Center Enterprise には、脆弱性を評価して修復の優先順位を付ける継続的なリスク エンジンが用意されています。これにより、セキュリティ対策の全体的な状況を継続的に評価できます。Security Command Center Enterprise では、問題の優先順位付けを行うことで、リソースを効果的に使用できます。
Google SecOps には、脅威ハンティングとキュレートされた検出機能が用意されています。これにより、コントロールの弱点をプロアクティブに特定できます。この機能により、脅威を検知する能力を継続的にテストして改善できます。
Chrome Enterprise Premium は、新たな脅威や進化する脅威に対処し、データ漏洩のリスクやマルウェアに対する防御を継続的に更新するのに役立つ脅威対策とデータ保護の機能を提供します。
Cloud Next Generation Firewall(Cloud NGFW)は、ネットワーク モニタリングとデータ漏洩モニタリングを提供します。これらの機能は、現在のセキュリティ対策の有効性を検証し、潜在的な弱点を特定するのに役立ちます。データ漏洩のモニタリングは、組織のデータ保護メカニズムの強度を検証し、必要に応じて事前に対策を講じるのに役立ちます。Cloud NGFW の脅威検出結果を Security Command Center と Google SecOps に統合すると、ネットワーク ベースの脅威検出を最適化し、脅威対応を最適化して、プレイブックを自動化できます。この統合の詳細については、クラウド防御の統合: Security Command Center と Cloud NGFW Enterprise をご覧ください。
サイバー防御の取り組みを管理、調整する
この推奨事項は、すべての重点分野に関連しています。
サイバー防御の機能を統合するで説明したように、管制センター機能はサイバー防御プログラムの他の機能を相互接続します。この機能により、プログラム全体の調整と統合的な管理が可能になります。また、サイバーセキュリティに取り組んでいない他のチームとの連携にも役立ちます。管制センター機能は、権限委譲と説明責任を促進し、アジリティと専門知識を促進し、責任と透明性を推進します。
次のプロダクトと機能は、ミッション コントロール機能の実装に役立ちます。
- Security Command Center Enterprise は、サイバー防御オペレーションを調整、管理するための中央ハブとして機能します。ツール、チーム、データを統合し、Google SecOps のレスポンス機能を組み込んでいます。Security Command Center は、組織のセキュリティ状態を明確に可視化し、さまざまなリソースにわたるセキュリティ構成ミスを特定できるようにします。
- Google SecOps は、ログをマッピングしてタイムラインを作成することで、チームが脅威に対応するためのプラットフォームを提供します。検出ルールを定義して脅威を検索することもできます。
- Google Workspace と Chrome Enterprise Premium を使用すると、機密性の高いリソースに対するエンドユーザーのアクセスを管理および制御できます。ユーザー ID とリクエストのコンテキストに基づいて、きめ細かいアクセス制御を定義できます。
- ネットワーク モニタリングは、ネットワーク リソースのパフォーマンスに関する分析情報を提供します。ネットワーク モニタリングの分析情報を Security Command Center と Google SecOps にインポートして、一元的なモニタリングと、他のタイムライン ベースのデータポイントとの相関関係を把握できます。この統合により、悪意のあるアクティビティによって発生する可能性のあるネットワーク使用量の変化を検出し、対応することができます。
- データ引き出しのモニタリングは、データ損失の可能性のあるインシデントを特定するのに役立ちます。この機能を使用すると、インシデント対応チームを効率的に動員し、損害を評価して、さらなるデータ漏洩を制限できます。また、現在のポリシーと制御を改善して、データ保護を確保することもできます。
プロダクトの概要:
次の表に、このドキュメントで説明するプロダクトと機能を示し、関連する推奨事項とセキュリティ機能にマッピングします。
| Google Cloud プロダクト | 適用可能な最適化案 |
|---|---|
| Google SecOps |
サイバー防御のあらゆる側面でインテリジェンス機能を使用する: 脅威ハンティングと IoC マッチングを有効にし、Mandiant と統合して包括的な脅威評価を行います。 防御側の優位性を理解して活用する: 厳選された検出を提供し、セキュリティ データを一元化して、プロアクティブな侵害の特定を可能にします。 防御を継続的に検証して改善する: 脅威検出機能を継続的にテストして改善できます。Mission Control を通じてサイバー防御の取り組みを管理、調整する: 脅威への対応、ログ分析、タイムライン作成のためのプラットフォームを提供します。 |
| Security Command Center Enterprise |
サイバー防御のあらゆる側面でインテリジェンス機能を使用する: AI を使用してリスクを評価し、脆弱性の優先順位を付け、修復のための実用的な分析情報を提供します。 防御側の優位性を理解して活用する: 包括的なリスク分析、脆弱性の優先順位付け、弱点のプロアクティブな特定を提供します。 防御を継続的に検証して改善する: セキュリティ体制の継続的な評価とリソースの優先順位付けを行います。管制センターを通じてサイバー防御の取り組みを管理、調整する: サイバー防御オペレーションを管理、調整するための中央ハブとして機能します。 |
| Chrome Enterprise Premium |
サイバー防御のあらゆる側面でインテリジェンス機能を使用する:
情報漏洩のリスクからユーザーを保護し、マルウェアを防止し、安全でないブラウザ アクティビティを可視化します。 防御側の利点を理解して活用する: データ保護、マルウェア防止、拡張機能の制御により、企業デバイスのセキュリティを強化します。 防御を継続的に検証して改善する: データ漏洩リスクやマルウェアに対する防御を継続的に更新することで、新しい脅威や進化する脅威に対処します。ミッション コントロールを通じてサイバー防御の取り組みを管理、調整する: きめ細かいアクセス制御など、機密性の高いリソースに対するエンドユーザーのアクセスを管理、制御します。 |
| Google Workspace | ミッション コントロールを通じてサイバー防御の取り組みを管理、調整する: きめ細かいアクセス制御など、機密性の高いリソースに対するエンドユーザーのアクセスを管理、制御します。 |
| Network Intelligence Center | サイバー防御のあらゆる側面でインテリジェンス機能を使用する: ネットワーク パフォーマンスの可視性を高め、異常なトラフィック パターンやデータ転送を検出します。 |
| Cloud NGFW | 防御を継続的に検証して改善する: Security Command Center と Google SecOps との統合により、ネットワーク ベースの脅威の検出と対応を最適化します。 |