Google Cloud アーキテクチャ フレームワークのセキュリティの柱にあるこの原則では、全体的なセキュリティ戦略の一環として堅牢なサイバー防衛プログラムを構築するための推奨事項が示されています。
この原則では、防御側の優位性: サイバー防御のアクティブ化へのガイドで定義されているように、脅威インテリジェンスを使用して、コア サイバー防御機能全体にわたる取り組みを事前にガイドすることを重視しています。
原則の概要
システムをサイバー攻撃から防御すると、攻撃者に対して大きな優位性を得ることができます。Mandiant の創設者の言葉を借りれば、「自社のビジネス、システム、トポロジ、インフラストラクチャについて、どの攻撃者よりも熟知しているはずです。これは大きな利点です。」この固有の利点を活用できるように、このドキュメントでは、Defender's Advantage フレームワークにマッピングされた、予防的で戦略的なサイバー防御手法に関する推奨事項について説明します。
推奨事項
クラウド ワークロードに先制的なサイバー防御を実装するには、次のセクションの推奨事項を検討してください。
サイバー防御機能を統合する
この推奨事項は、すべての重点分野に関連しています。
Defender's Advantage フレームワークでは、サイバー防御の 6 つの重要な機能(インテリジェンス、検出、対応、検証、ハンティング、ミッション コントロール)を特定しています。各機能はサイバー防御ミッションの個別の部分にフォーカスしていますが、これらの機能を効果的に防御するためには、これらの機能を適切に調整し、連携して機能させる必要があります。各機能が互いをサポートする堅牢で統合されたシステムの構築に重点を置きます。段階的な導入方法が必要な場合は、次の推奨順序を検討してください。現在のクラウドの成熟度、リソース トポロジ、特定の脅威状況に応じて、特定の関数を優先することもできます。
- インテリジェンス: インテリジェンス機能は、他のすべての機能をガイドします。プログラム全体でアクションに優先順位を付けるには、脅威の状況(最も可能性の高い攻撃者、その戦術、手法、手順(TTP)、潜在的な影響など)を理解することが重要です。インテリジェンス機能は、ステークホルダーの特定、インテリジェンス要件の定義、データの収集、分析と配信、自動化、サイバー脅威プロファイルの作成を担当します。
- 検出と対応: これらの機能は、悪意のあるアクティビティの特定と対処を含むアクティブな防御のコアとなります。これらの関数は、インテリジェンス関数によって収集されたインテリジェンスに対してアクションを実行するために必要です。検出機能では、検出を攻撃者の TTP に合わせて調整し、堅牢なロギングを確実に行うための体系的なアプローチが必要です。対応機能は、初期のトリアージ、データ収集、インシデントの修正に重点を置く必要があります。
- 検証: 検証機能は、セキュリティ管理エコシステムが最新の状態であり、設計どおりに動作していることを保証する継続的なプロセスです。この機能により、組織は攻撃対象領域を理解し、脆弱性が存在する場所を把握し、コントロールの有効性を測定できます。セキュリティ検証は、検出エンジニアリング ライフサイクルの重要なコンポーネントでもあり、検出のギャップを特定して新しい検出を作成するために使用する必要があります。
- ハンティング: ハンティング機能は、環境内のアクティブな脅威をプロアクティブに検索します。この関数は、組織が検出機能と対応機能のベースライン レベルの成熟度を達成している場合に実装する必要があります。ハンティング機能は検出機能を拡張し、コントロールのギャップや弱点を特定するのに役立ちます。ハント機能は、特定の脅威に基づいている必要があります。この高度な機能は、堅牢なインテリジェンス、検出、対応機能の基盤を利用しています。
- Mission Control: Mission Control 関数は、他のすべての機能を接続する中央ハブとして機能します。この機能は、サイバー防御プログラム全体の戦略、コミュニケーション、断固とした行動を担当します。これにより、すべての機能が連携し、組織のビジネス目標と整合するようになります。管制センター機能を他の機能に接続する前に、管制センター機能の目的を明確に理解する必要があります。
サイバー防御のあらゆる側面でインテリジェンス機能を使用
この推奨事項は、すべての重点分野に関連しています。
この推奨事項では、インテリジェンス機能が強力なサイバー防御プログラムのコア部分として強調されています。脅威インテリジェンスは、脅威アクター、その TTP、侵害の兆候(IOC)に関する知識を提供します。この知識に基づいて、すべてのサイバー防御機能でアクションの優先順位付けを行う必要があります。インテリジェンス主導のアプローチでは、組織に最も影響を与える可能性のある脅威に対応するように防御を調整できます。このアプローチは、リソースの効率的な割り当てと優先順位付けにも役立ちます。
次の Google Cloud プロダクトと機能は、脅威インテリジェンスを活用してセキュリティ運用をガイドするのに役立ちます。これらの機能を使用して、潜在的な脅威、脆弱性、リスクを特定して優先順位を付け、適切なアクションを計画して実装します。
Google Security Operations(Google SecOps)は、セキュリティ データを一元的に保存して分析するのに役立ちます。Google SecOps を使用してログを共通のモデルにマッピングし、ログを拡充してログをタイムラインにリンクすることで、攻撃の包括的なビューを把握できます。検出ルールを作成し、IoC の一致を設定して、脅威探査アクティビティを実行することもできます。このプラットフォームには、脅威の特定に役立つ事前定義されたマネージド ルールであるキュレートされた検出機能も用意されています。Google SecOps は、Mandiant の最前線インテリジェンスとも統合できます。Google SecOps は、業界をリードする AI と、Mandiant の脅威インテリジェンス、Google VirusTotal を独自に統合しています。この統合は、脅威の評価と、組織を標的とする相手と潜在的な影響を理解するために重要です。
Google AI を活用した Security Command Center Enterprise を使用すると、セキュリティ担当者は複数のクラウド環境にまたがるセキュリティ問題を効率的に評価、調査、対応できます。Security Command Center を活用できるセキュリティ担当者には、セキュリティ オペレーション センター(SOC)アナリスト、脆弱性と体制のアナリスト、コンプライアンス マネージャーが含まれます。Security Command Center Enterprise は、セキュリティ データを拡充し、リスクを評価して、脆弱性の優先順位付けを行います。このソリューションは、リスクの高い脆弱性に対処し、アクティブな脅威を修正するために必要な情報をチームに提供します。
Chrome Enterprise Premium は、脅威対策とデータ保護を提供します。これにより、情報漏洩のリスクからユーザーを保護し、マルウェアが企業の管理対象デバイスに侵入するのを防ぐことができます。Chrome Enterprise Premium では、ブラウザ内で発生する可能性のある安全でないアクティビティや安全でない可能性のあるアクティビティを可視化することもできます。
Network Intelligence Center などのツールによるネットワーク モニタリングでは、ネットワークのパフォーマンスを可視化できます。ネットワーク モニタリングは、異常なトラフィック パターンや、攻撃やデータの不正な持ち出しの試みを示す可能性のあるデータ転送量を検出する場合にも役立ちます。
防御側の優位性を理解して活用する
この推奨事項は、すべての重点分野に関連しています。
前述のように、ビジネス、システム、トポロジ、インフラストラクチャを十分に理解していれば、攻撃者よりも優位に立つことができます。この知識の利点を活用するには、サイバー防御の計画中に環境に関するこのデータを活用します。
Google Cloud には、脅威を特定し、リスクを把握し、タイムリーに対応して潜在的な損害を軽減するために、次の機能が用意されています。
Chrome Enterprise Premium は、情報漏洩のリスクからユーザーを保護することで、エンタープライズ デバイスのセキュリティを強化します。Sensitive Data Protection サービスをブラウザに拡張し、マルウェアを防ぎます。また、マルウェアやフィッシングに対する保護機能など、安全でないコンテンツへのアクセスを防ぐ機能も備えています。また、拡張機能のインストールを制御して、安全でない拡張機能や審査されていない拡張機能を防ぐことができます。これらの機能は、運用の安全な基盤を確立するのに役立ちます。
Security Command Center Enterprise は、継続的なリスクエンジンを提供し、包括的で継続的なリスク分析と管理を実現します。リスクエンジン機能は、セキュリティ データを拡充し、リスクを評価し、脆弱性の優先順位付けを行い、問題を迅速に解決できるようにします。Security Command Center を使用すると、組織は弱点を事前に特定し、緩和策を実装できます。
Google SecOps はセキュリティ データを一元化し、タイムライン付きの拡充ログを提供します。これにより、防御者はアクティブな侵害を事前に特定し、攻撃者の動作に基づいて防御を適応させることができます。
ネットワーク モニタリングは、攻撃を示唆する可能性のある異常なネットワーク アクティビティを特定し、対策に使用できる早期指標を提供します。データの盗難を事前に防ぐには、データ漏洩を継続的にモニタリングし、提供されているツールを使用してください。
防御を継続的に検証して改善する
この推奨事項は、すべての重点分野に関連しています。
この推奨事項では、攻撃対象領域全体の強みと弱みを把握するために、ターゲットを絞ったテストとコントロールの継続的な検証の重要性が強調されています。これには、次のような方法でコントロール、オペレーション、スタッフの有効性を検証することが含まれます。
また、脅威を積極的に検索し、その結果を使用して検出と可視性を向上させる必要があります。次のツールを使用して、実際の脅威に対する防御を継続的にテストして検証します。
Security Command Center Enterprise には、脆弱性を評価し、修復に優先順位を付ける継続的なリスク エンジンが用意されています。これにより、全体的なセキュリティ対策を継続的に評価できます。Security Command Center Enterprise は、問題に優先順位を付けることで、リソースが効果的に使用されるようにします。
Google SecOps には、脅威ハンティングとキュレートされた検出機能があり、コントロールの弱点を事前に特定できます。この機能により、脅威の検出能力を継続的にテストして改善できます。
Chrome Enterprise Premium には、新しい脅威や進化する脅威に対処し、データ漏洩リスクやマルウェアに対する防御を継続的に更新できる脅威対策とデータ保護の機能が用意されています。
Cloud Next Generation Firewall(Cloud NGFW)は、ネットワーク モニタリングとデータ漏洩モニタリングを提供します。これらの機能は、現在のセキュリティ対策の有効性を検証し、潜在的な弱点を特定するのに役立ちます。データ漏洩モニタリングは、組織のデータ保護メカニズムの強さを検証し、必要に応じて事前に調整を行うのに役立ちます。Cloud NGFW の脅威検出結果を Security Command Center と Google SecOps と統合すると、ネットワークベースの脅威検出を最適化し、脅威への対応を最適化し、プレイブックを自動化できます。この統合の詳細については、クラウド防御の統合: Security Command Center と Cloud NGFW Enterprise をご覧ください。
サイバー防御の取り組みを管理、調整する
この推奨事項は、すべての重点分野に関連しています。
サイバー防御の機能を統合するで説明したように、管制センター機能はサイバー防御プログラムの他の機能を相互接続します。この機能により、プログラム全体の調整と統合的な管理が可能になります。また、サイバーセキュリティに携わっていない他のチームとの連携にも役立ちます。管制センター機能は、権限委譲と説明責任を促進し、アジリティと専門知識を促進し、責任と透明性を促進します。
以下のサービスと機能は、Mission Control 機能を実装する際に役立ちます。
- Security Command Center Enterprise は、サイバー防御オペレーションを調整、管理するための中央ハブとして機能します。ツール、チーム、データを統合し、Google SecOps の組み込みの対応機能を利用できます。Security Command Center は、組織のセキュリティ状態を明確に可視化し、さまざまなリソースにわたるセキュリティ構成ミスを特定できるようにします。
- Google SecOps は、ログのマッピングとタイムラインの作成によって脅威に対応するためのプラットフォームを提供します。検出ルールを定義して脅威を検索することもできます。
- Google Workspace と Chrome Enterprise Premium を使用すると、機密リソースに対するエンドユーザーのアクセスを管理、制御できます。ユーザー ID とリクエストのコンテキストに基づいて、きめ細かいアクセス制御を定義できます。
- ネットワーク モニタリングは、ネットワーク リソースのパフォーマンスに関する分析情報を提供します。ネットワーク モニタリングの分析情報を Security Command Center と Google SecOps にインポートして、一元的なモニタリングと他のタイムラインベースのデータポイントとの相関関係を把握できます。この統合により、不正なアクティビティによって引き起こされるネットワーク使用量の潜在的な変化を検出して対応できます。
- データの引き出しのモニタリングは、データ損失のインシデントの可能性を特定するのに役立ちます。この機能を使用すると、インシデント レスポンス チームを効率的に動員し、損害を評価して、さらなるデータ漏洩を制限できます。また、現在のポリシーとコントロールを改善して、データ保護を確実にすることもできます。
プロダクトの概要:
次の表に、このドキュメントで説明するプロダクトと機能を示し、関連する推奨事項とセキュリティ機能にマッピングします。
| Google Cloud 個の商品 | 適用可能な最適化案 |
|---|---|
| Google SecOps |
サイバー防御のあらゆる側面でインテリジェンス機能を使用: 脅威ハンティングと IoC の照合を可能にし、Mandiant と統合して包括的な脅威評価を行います。 防御側の優位性を理解して活用する: キュレートされた検出を提供し、セキュリティ データを一元化して、侵害を事前に特定します。 防御を継続的に検証して改善する: 脅威検出機能の継続的なテストと改善を可能にします。Mission Control でサイバー防御の取り組みを管理、調整する: 脅威への対応、ログ分析、タイムラインの作成のためのプラットフォームを提供します。 |
| Security Command Center Enterprise |
サイバー防御のあらゆる側面でインテリジェンス機能を使用: AI を使用してリスクを評価し、脆弱性の優先順位付けを行い、修正のための実用的な分析情報を提供します。 防御側の優位性を理解して活用する: 包括的なリスク分析、脆弱性の優先順位付け、弱点の事前特定を提供します。 防御を継続的に検証して改善する: 継続的なセキュリティ体制の評価とリソースの優先順位付けを提供します。管制センターによるサイバー防御の管理と調整: サイバー防御オペレーションの管理と調整のための中央ハブとして機能します。 |
| Chrome Enterprise Premium |
サイバー防御のあらゆる側面でインテリジェンス機能を使用: 情報漏洩のリスクからユーザーを保護し、マルウェアを防止し、安全でないブラウザ アクティビティを可視化します。 ディフェンダーのメリットを理解して活用する: データ保護、マルウェア防止、拡張機能の制御により、企業デバイスのセキュリティを強化します。 防御を継続的に検証して改善する: データ漏洩リスクやマルウェアに対する防御を継続的に更新することで、新しい脅威や進化する脅威に対処します。Mission Control によるサイバー防御活動の管理と調整: きめ細かいアクセス制御など、機密リソースへのエンドユーザーのアクセスを管理、制御します。 |
| Google Workspace | Mission Control によるサイバー防衛対策の管理と調整: きめ細かいアクセス制御など、機密リソースへのエンドユーザーのアクセスを管理、制御します。 |
| Network Intelligence Center | サイバー防御のあらゆる側面でインテリジェンス機能を使用: ネットワーク パフォーマンスの可視性を提供し、異常なトラフィック パターンやデータ転送を検出します。 |
| Cloud NGFW | 防御を継続的に検証して改善する: Security Command Center と Google SecOps との統合により、ネットワークベースの脅威の検出と対応を最適化します。 |