新しいホワイトペーパー: クラウド セキュリティ変革に関する CISO 向けガイド

※この投稿は米国時間 2021 年 2 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

会社、パートナー、顧客の情報保護は、すべての CISO（最高情報セキュリティ責任者）に共通の責務です。クラウドセキュリティの変革を積極的に進めている場合も、より幅広いデジタル変革をサポートしている場合もそれは変わりません。Google Cloud では、CISO の皆様が新たな脅威に先手を打てるよう、セキュリティを強化し会社への信頼を維持するために必要なツールを提供しています。

デジタル変革とクラウドへの移行を成功させるために、並行してセキュリティ変革を行うことで、新しい環境でのリスクを管理できるだけでなく、クラウド セキュリティがもたらす機会を十分に活用して、アプローチをモダナイズし、最終的なセキュリティ リスクを低減することも可能になります。新しいホワイトペーパーでは、これを念頭に置いて、Google Cloud のお客様、CISO やそのチームとのこれまでの取り組みをもとに、セキュリティ変革への最善のアプローチ方法をご紹介しています。主なポイントは次のとおりです。

クラウド セキュリティに向けて会社の準備を整える

一般的にクラウド、特にクラウド セキュリティには、高度なテクノロジーの使用が伴うことは事実ですが、クラウド セキュリティを単なる技術的な問題として捉えるのは誤りです。このホワイトペーパーでは、必要なレベルのセキュリティとリスク軽減を実現するうえで重要となる、組織、手続き、人員、ポリシー面での考慮事項について説明します。会社がクラウドへの取り組みを開始する場合や、大幅に拡大する場合には、次のことを考慮してください。

• セキュリティ文化。セキュリティは後回しにされていませんか？「あればなおよし」程度のものになっていませんか？セキュリティ チームだけに責任があるものと考えられていませんか？セキュリティ設計とコードのピアレビュー（同僚によるレビュー）は社内に浸透していて前向きに受け止められていますか？また、失敗はいつでも起こり得るとする「不可避の文化（culture of inevitability）」を持つチームでは、最悪のシナリオに向けてより効率的に備えることができると考えられていますか？

• 考え方を変える。クラウド セキュリティのアプローチでは、長年存在してきた多くのセキュリティ神話を覆し、最新のセキュリティ対策を採用するための貴重な機会を得ることができます。従来のセキュリティ境界モデルを手放すことで、ゼロトラストの概念を取り入れたアーキテクチャとモデルに投資を振り向けることができるため、テクノロジーのセキュリティを劇的に、そしてより広範囲で向上させることができます。また、データドリブンの保証アプローチを採用すれば、デプロイされたすべてのクラウド テクノロジーがデータで明示的に宣言されていて検出可能である点を利用して、保証プロセスに速度とスケールを組み込むことができます。

クラウド移行に伴う会社の進化を理解する

ビジネスがクラウドに移行すると、セキュリティ チームだけでなく、会社全体で働き方が進化します。CISO は、パートナーや社内のあらゆる部門を取り込み、連携を進められるよう、この新しい働き方を理解したうえでその準備を進める必要があります。ここで言う「新しい働き方」として、以下のような点が挙げられます。

• 開発タイムラインの加速。クラウドでの開発とデプロイにより、リリースから次のリリースまでにかかる時間を大幅に短縮できるため、多くの場合、継続的かつ反復的なリリース サイクルが生まれます。こうした開発プロセスは「アジャイル」や「DevOps」などと呼ばれますが、これらへの移行はその名前がどうであれ、新しいセキュリティ機能の開発とリリースを加速する機会でもあります。この機会を利用するには、セキュリティ チームが新しいリリース プロセスとタイムラインを理解し（さらにそれを推進し）、開発チームとの緊密な連携や統合を進め、セキュリティ開発に反復的なアプローチを採用する必要があります。

• コードとしてのインフラストラクチャの管理。サーバー、ラック、データセンターがクラウドで管理されている場合、コードがインフラストラクチャになります。インフラストラクチャをコードとしてデプロイし管理することで、社のセキュリティ組織がそのプロセスを改善しソフトウェア開発のプロセスとの統合をより効果的に実現するための明確な機会が生まれます。インフラストラクチャをコードとしてデプロイする場合、セキュリティ ポリシーをコードに直接組み込むことができるので、会社の開発プロセスだけでなく会社が開発するあらゆるソフトウェアにおいて、その中核にセキュリティを据え置くことができます。

セキュリティ運用モデルを進化させる

クラウドにおける変革は、セキュリティ組織の働き方にも変革をもたらします。たとえば、手動のセキュリティ作業が自動化される、新しい役割や責任が生まれる、セキュリティ担当チームが開発チームとより緊密に連携するようになるなどの変化が見られるでしょう。また、クラウド サービス プロバイダという新しいコラボレーターとも協力していくことになります。ここで考慮すべき 3 つの重要事項：

• クラウド サービス プロバイダとの連携。クラウド プロバイダが持つ責任（「クラウドそのもののセキュリティ」）と、CISO が持つ責任（「クラウドの利用におけるセキュリティ」）を理解することは、重要なステップです。同様に、両者の責任事項を確実に全うするための手段も重要になります。たとえば、クラウド サービス プロバイダの協力のもとソリューション、アップデート、ベスト プラクティスを最大限に活用するなど、CISO とプロバイダが「運命共同体」となってお互いの責任を果たせるような手段です。

• セキュリティ部門の役割の進化。セキュリティ組織では、クラウド サービス プロバイダの新しいコラボレーターとの連携に加え、組織内でも働き方に変化が生まれます。各組織によって違いはありますが、ほとんどの役割と責任はある程度進化する必要があるため、ポリシーやリスク管理からセキュリティ アーキテクチャ、エンジニアリング、運用、保証に至るまで、セキュリティ組織のあらゆる部分を考慮することが重要です。

• 最適なセキュリティ運用モデルの特定。クラウド セキュリティへの変革は、セキュリティ運用モデルを再考する機会となります。セキュリティ チームは開発チームとどのように連携する必要がありますか？セキュリティの機能と運用は一元化または連携する必要がありますか？CISO は、クラウドへの移行を開始する前にこうした問いかけについて考えたうえで、セキュリティ運用モデルを設計する必要があります。このホワイトペーパーでは、クラウドに適したセキュリティ運用モデルを選択できるよう、3 種のアプローチについてそれぞれの長所と短所を詳しく説明しています。

クラウドへの移行は、セキュリティに対する会社のアプローチを変革する大きなチャンスです。この変革全体を通してセキュリティ組織と会社を先導していくには、働き方、リスクの管理方法、セキュリティ インフラストラクチャのデプロイ方法を新たに見直していく必要があります。また CISO として、会社全体にセキュリティの文化を浸透させ、セキュリティに対する会社の考え方や組織構成の変化を管理していく必要もあります。このホワイトペーパー内の推奨事項は、長年に渡ってクラウド セキュリティを主導してきた Google のリーダーシップとイノベーションに加え、クラウド移行に成功した主要企業で CISO やリード セキュリティ エンジニアとして過去に活躍したことのある Google Cloud の専門家が当時の体験から学んだ知識をもとに書かれています。Google Cloud は、皆様のクラウド セキュリティの変革をお手伝いできることを楽しみにしています。

-Google Cloud バイス プレジデント兼 CISO Phil Venables

-Google Cloud CISO オフィス ディレクター Nick Godfrey