コンテンツに移動
セキュリティ & アイデンティティ

Google Cloud が Security Command Center に攻撃パス シミュレーションを追加する理由(および方法)

2023年4月3日
https://storage.googleapis.com/gweb-cloudblog-publish/images/security_2022_ItgTGtc.max-2500x2500.jpg
Google Cloud Japan Team

※この投稿は米国時間 2023 年 3 月 25 日に、Google Cloud blog に投稿されたものの抄訳です。

絶えず変化するビジネスの優先順位に対応してクラウド環境が拡張と進化を続ける中、セキュリティ チームは、どこに最大のリスクがあり、どこにセキュリティ制御を集中させるべきかを把握するのが難しくなってきています。一部のクラウド セキュリティ プロダクトは、この優先順位付けの問題に対処するために攻撃パス分析を組み込み始めています。攻撃パス分析は、攻撃者が IT アセットにアクセスして侵害する可能性のある経路を検出する手法です。

攻撃パス分析を実装する一般的な方法は、すべてのアセットのグラフを作成し、マップをクエリして潜在的なエクスプロイト パスを検出することです。これにより見栄えのよいグラフが生成されますが、大規模なクエリセットの管理が必要であり、チームによる適切な優先順位の設定には役立たないことも多々あります。

現在のソリューションが抱えるこの欠点に対処するために、Google は Security Command Center(SCC)に、よりインテリジェントなアプローチを取り入れています。SCC とは、Google Cloud に組み込まれているセキュリティおよびリスク管理ソリューションです。Google は、攻撃パス分析に高度なシミュレーション エンジンを追加し、攻撃に対して最も脆弱なアセットを特定することで、防御者が適切なセキュリティ制御を適用すべき場所を把握してクラウド環境の保護を強化できるようにしています。

攻撃パス シミュレーション

自動化されたシミュレーションを攻撃パス分析に追加することで、Security Command Center で実世界の攻撃者がクラウド リソースを攻撃できる可能性がある方法をモデル化できるようになります。Google のシミュレーション エンジンは、Google Cloud 環境内のすべてのアセット、これらのアセット間の関係、防御の現状、潜在的なセキュリティ上の問題(構成ミスや脆弱性など)を分析します。その後、攻撃者が環境をナビゲートして価値あるアセットへの不正アクセスを行う可能性のある方法を模倣します。

Google の攻撃パス シミュレーション テクノロジーは、2022 年に Google が買収したスウェーデンのリスク分析会社である Foreseeti のものを活用しています。Foreseeti は、自動車の衝突試験や橋の構造解析などの他の業界の大規模なシミュレーションに触発された大学の研究者と科学者が、自分たちの研究や手法をサイバー セキュリティの改善に活かそうと設立した会社です。

仕組み

攻撃パス シミュレーションは、外部の攻撃者の観点で行われます。アセットに到達して侵害することを目標に、シミュレーション エンジンでは価値あるアセットへの既知のパスをすべて網羅できるようにさまざまな攻撃方法が利用されています。開いているファイアウォール ポートやパブリック IP アドレスなどの明らかな露出ポイントだけでなく、それほど明白でない要因も考慮されます。

シミュレーション エンジンは、たとえば、ユーザーがフィッシングされ、そのユーザーのアカウントに過剰な特権が付与されていた場合にどうなるか、あるいは攻撃者がオペレーティング システムの脆弱性を悪用して、デフォルトのサービス アカウントを不正使用する可能性がある場合など、シナリオ ベースのリスク評価を計算できます。

シミュレーション モデルの構築において、可能性のある攻撃パスが多すぎると、セキュリティ チームにとってかえって役に立たない場合があることがわかっています。そこで、最も少ない抵抗で侵害される可能性のある、最も価値の高いリソースにつながる特定の攻撃パスを識別するようにモデルを構成しました。クラウド アセット(顧客情報を含むデータベースなど)の価値と、攻撃者がそのアセットに到達するために必要な労力とスキルのレベルを考慮することで、シミュレーションの結果から、最も重大な攻撃パスと攻撃者に最も露出されているリソースが明らかになります。

また、セキュリティ チームの日常業務の負担を軽減するために、環境が変化するたびにエンジニアが手動で攻撃シミュレーションを呼び出すのではなく、時間の経過とともに自動的に攻撃シミュレーションが実行されるように設計しました。さらに、攻撃パス シミュレーション モデルは、詳細なアセット情報、包括的なセキュリティ データ、新しいサービスの迅速なサポートなど、Google Cloud 環境に関する情報に直接アクセスします。これにより、シミュレーション結果は環境の最新状態を正確に反映したものになります。

攻撃パス シミュレーションの対象者

攻撃パス シミュレーションにより、次のようなセキュリティの専門家やエンジニアは、重要な情報を簡単に入手できるようになります。

  • セキュリティ オペレーション センター(SOC)と脆弱性管理チームは、クラウド セキュリティの検出結果に関するより実践的な情報を取得して、最も攻撃されやすい脆弱性につながるリスクの優先順位付けを改善できます。

  • 最高情報セキュリティ責任者(CISO)は、Google Cloud 環境のリスクを経時的により適切に追跡および管理し、プロジェクトやチーム間で進行状況を比較できます。

  • DevOps チームは、より安全な環境を設計し、より迅速にスケーリングし、リスクの分析情報を十分に活用して開発ライフサイクルの早い段階で攻撃リスクを緩和できます。

ご利用の Google Cloud 環境での攻撃パス シミュレーションの利用方法

この画期的なテクノロジーの Security Command Center への統合と、お客様への提供については、近日中に詳しくお知らせいたします。

Security Command Center を使用して Google Cloud 環境を保護する方法の詳細については、https://cloud.google.com/security-command-center をご覧ください。


- Google Cloud、エンジニアリング担当シニア ディレクター Vikram Makhija
- Google Cloud、シニア スタッフ ソフトウェア エンジニア Robert Lagerström

投稿先