Cloud CISO の視点: サイバー フィジカル システムのレジリエンスを高める 10 の方法

※この投稿は米国時間 2024 年 10 月 31 日に、Google Cloud blog に投稿されたものの抄訳です。

2024 年 10 月、2 回目の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。今回は、シニア セキュリティ コンサルタントの Anton Chuvakin が、Google によるホワイトハウスの新しい PCAST レポートの分析に基づき、サイバー フィジカル システムの改善に役立つ 10 の先行指標を紹介します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

サイバー フィジカル システムのレジリエンスを高めるための 10 の先行指標

Google Cloud、CISO オフィス シニア セキュリティ コンサルタント、Anton Chuvakin

組織でセキュリティやレジリエンスに関する取り組みが成功したかを判断する場合に、遅行指標を頼りにしてその成果を測定することがきわめて一般的になっています。これらの指標で過去のパフォーマンスに関する価値ある分析情報を取得することはできますが、そのような指標が、将来のインシデントの防止に役立てられることや、先を見越した改善の指針となることはめったにありません。

先行指標に移行したいと考えるセキュリティ リーダーやビジネス リーダーには、サイバー フィジカル レジリエンスと重要なインフラストラクチャの強化に関する最新の大統領科学技術諮問委員会（PCAST）のレポートがおすすめです。このレポートには、今すぐに分析を開始できる先行指標の特定方法に関する詳細なガイダンスが記載されています。このレポートは 51 ページにもわたるものですが、Google Cloud の CISO オフィスは、より多くの方にこの重要なアドバイスに注目していただきたいと考えています。

そこで私たちは、組織によるサイバー フィジカル レジリエンスの開発をさらにサポートするために、PCAST レポート内で示されている 10 の「先行指標」をレビューしました。

1. 強制再起動での復旧時間は、ゼロからシステムを再構築するまでにかかる時間です。この指標を使用して、再起動時に循環依存関係を除去できるか否かを評価することに加え、完全に破壊的なシャットダウンや攻撃の後にバックアップが存続することを確認したり、ソフトウェアとデータをサービスに復元できることを検証したりすることもできます。
   
   最初に、重要なシステムの強制再起動で必要になるであろうすべてのハードウェア、ソフトウェア、構成設定をリストアップします。その後に、レジリエンス テストを小規模に実行し、その過程で得られた教訓を取り入れながらビルドアップしていきます。
2. サイバー フィジカルのモジュール性とは、相互接続された物理的コンポーネントおよびデジタル コンポーネントを、相互依存関係が抑えられた明確に定義済みのモジュールにまとめているシステムの設計、およびシステム全体に影響する単一障害点の発生後の平均運用能力を表しています。
   
   最初に、サイバー フィジカル システムを視覚的に表現したもの（図など）を作成します。特に、コンポーネントや接続を明確に特定できる依存関係を図示します。
3. インターネット拒否とインターネット通信のレジリエンスは注意を必要とする障害点であり、独自の影響が伴います。これらの影響には、インターネットの切断発生時におけるサービスの低下や、中断と運用継続の評価といずれかの選択などがあります。
   
   最初に、インターネット接続に対する組織の重要な依存関係をマッピングします。これは、レジリエンス計画の基盤となります。
4. 手動操作は、インターネット接続されたオペレーション テクノロジーのフェイルオーバーを準備をするうえで重要となります。ビジネス リーダーとセキュリティ リーダーは次のような質問への回答を準備し、自動化が失われた状況に備える必要があります: 運用面における最小限の実行可能なサービス提供目標を維持するために、ローカルでの手動による制御がどの程度必要になるか。いざというときのための手動制御の演習はどの程度の頻度で行われるか。
   
   最初に、手動操作する重要なシステムを監査し、自動化に対する依存度をマッピングして、手動によるテイクオーバーが発生するかもしれない箇所を特定します。
5. コントロール プレッシャー インデックスを利用して、多層防御がどの程度適用されているかを測定できます。この測定は、失敗するとシステム全体のリスクにつながる単一の制御によって、どの程度のセキュリティまたはレジリエンスに関する重要な目標が達成されているかを評価することで行われます。
   
   最初に、セキュリティまたはレジリエンスに関する重要な目標（機密データの保護など）を定めます。また、この目標の達成に貢献する、組織内のすべてのコントロールをリストアップします。
6. ソフトウェア再現性では、特定のシステム内のソフトウェアを NIST の SSDF 要件に準拠した状態を維持しながら、どの程度繰り返し、継続的に構築、提供できるかを評価します。SSDF 要件には、ソフトウェア部品表（SBOM）とソフトウェア アーティファクトのためのサプライ チェーン レベル（SLSA）の開示などが含まれます。
   
   最初に、現状のソフトウェア開発プロセスを評価します。また、ソースコード管理やビルドの自動化など、再現性を改善できる領域を特定します。
7. 予防的保守のレベルは、アップグレード、セキュリティ パッチの適用、技術的負担の削減、その他の予防的保守に割り当てられるシステム運用費用全体の割合です。
   
   最初に、定期的な保守が必要になる、組織内のすべての重要な機器とシステムをリストアップします。
8. リストの完全性は、情報技術、オペレーション テクノロジー、サプライ チェーンなどを含む、組織のオペレーションの全範囲を対象としたものであり、これらを管理された検証済みのリスト（アセット台帳）にまとめます。
   
   最初に、組織の誰がアセット台帳を維持するかを決定します。これで、責任の所在が明確になります。
9. ストレステストによる強い負荷（レッドチームとも呼ばれます）では、環境を極端に攻撃的、敵対的なセキュリティ テストにさらし、防御能力を信頼できるオペレーションと照らし合わせて調べます。
   
   最初に、システムの基本的なセキュリティ評価を実施して、レッドチーム演習の標的にできる場所を特定します。
10. 一般モードの障害と依存関係では、障害が発生した場合にセクター全体に大きな損害を与える組織（およびそのサプライ チェーン）の特定を推進できます。これは、循環依存関係の特定と除去に必要不可欠です。
    
    最初に、ユーティリティ、ソフトウェア ベンダー、キーとなるサプライヤーなどの重要な外部プロバイダのうち、障害が発生すると運用に著しく影響すると思われるものを特定します。

サイバー フィジカル システムのレジリエンスを高めるためには、行政機関、民間部門の組織、個人のすべてが一丸となって取り組む必要があると私たちは考えています。これらのシステムをセキュリティが確保され、適応性が高く、中断から迅速に復元できるものにすることが今後の目標です。

PCAST レポートの 10 の先行指標の完全な分析は、こちらからご覧いただけます。Google Cloud の専門家によるリーダーシップの詳細なガイダンスについては、CISO インサイト ハブをご覧ください。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• サイバーリスクのトップ 5: すべての取締役会が知っておくべきこと: 取締役会はセキュリティ、デジタル トランスフォーメーションについて学習し、自分たちの組織をよりよい形で管理できるようにする必要があります。取締役会が知っておくべき上位 5 つのリスクについて説明します。詳細はこちら。
• Google Cloud が新しい脆弱性報奨金プログラムを発表: このたび、Google Cloud の一部として組み込まれているプロダクトとサービスのみを対象とした、Google Cloud 脆弱性報奨金プログラムを開始いたしました。詳細はこちら。
• SAIF リスク評価: 業界全体の AI システムの保護を支援する新しいツール: SAIF リスク評価は、セキュリティ ポスチャーの現状を把握し、リスクを評価し、より強力なセキュリティ対策を実装するための、AI に関わる開発者や組織向けのインタラクティブなツールです。詳細はこちら。
• 公共部門を対象とした Google Cloud Security サポートの拡張の発表: Google Cloud Security は、行政機関や政府組織の防御能力を強化することに尽力しています。Google がどのように役立つのかをご紹介します。詳細はこちら。
• セキュリティを重視した設計をプロダクトやサービスに組み込む 7 つの手法: Google が、セキュリティを重視した設計の約束をどのように組み込んでいるかを、手順を含めてご紹介します。紹介する内容には、デフォルト パスワード、多要素認証、あらゆる種類のセキュリティ脅威を全体的に削減するための新しい手法の開発などが含まれます。詳細はこちら。
• Chrome Enterprise Premium の最新のイノベーションのご紹介: 最も信頼されているエンタープライズ ブラウザである Chrome Enterprise で、セキュリティ、脅威検出、ユーザビリティを強化する強力な新機能が最近導入されました。各機能について詳しく見ていきましょう。詳細はこちら。
• インテルの AI 対応 AMX CPU アクセラレータを Google が調査した結果をご確認ください: このたび、インテル AMX の CPU アクセラレーションを組み込んだ Confidential VMs をリリースしました。AI に適しているのはどの VM でしょうか？Google のテスト結果をお伝えします。詳細はこちら。
• 2024 Google Cloud DORA レポートをご覧ください: 過去 10 年における DORA、AI、プラットフォーム エンジニアリング、デベロッパーの経験を主に取り上げた同レポートの重要ポイントをご確認ください。詳細はこちら。

今月公開されたその他のセキュリティ関連のストーリーについては、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• ロシアのハイブリッド軍事行動においてウクライナの軍隊入隊者の妨害を画策: Google Threat Intelligence グループは、新たなロシアのスパイ活動であると疑われる活動と影響工作を特定しました。Telegram を使用してマルウェアを配信し、ウクライナの動員活動に対する支持を弱めようとする内容のメッセージを届けようとしていることが確認されています。詳細はこちら。
• FortiManager に対するゼロデイ攻撃の調査: Mandiant は今月 Fortinet と協力して FortiManager アプライアンスの大規模な悪用を調査しました。この調査は、さまざまな業界の組織が使用し、侵害された可能性のある 50 台を超える FortiManager デバイスを対象としました。悪用は 2024 年 6 月から確認されており、この脅威を軽減するためのセキュリティ上の推奨事項はすでに提供されています。詳細はこちら。
• どこまで下に行けるのか？2023 年の脆弱性悪用までの時間の傾向分析: Mandiant は、2023 年に明らかになり、実際に悪用されたものとして Google が追跡していた 138 件の脆弱性を分析しました。私たちは、ゼロデイと n デイの悪用の差異がさらに広がっていることを確認しており、これは、ゼロデイの使用が最近増加していることを反映していると考えられます。詳細はこちら。

今月公開されたその他の脅威インテリジェンス関連の記事については、Google Cloud 公式ブログをご覧ください。

すぐに聞くべき Google Cloud Security および Mandiant のポッドキャスト

• 2 人のエキスパートによる対談: 脅威インテリジェンスの運用化における最大の課題のひとつとして、組織で脅威の知識を効果的なセキュリティ対策に変換することが挙げられます。Google Cloud Security のプロダクト マネジメント担当ディレクター、Vijay Ganti がホストの Anton Chuvakin とともに、AI を活用して脅威インテリジェンスを簡単かつ効果的に役立てる方法について解説します。ポッドキャストを聴く。
• セキュリティに関する重要な議論: コンテナと VM: Kubernetes ポッドキャストの共同ホストである Kaslin Fields と Abdel Sghiouar をゲストホストに迎え、Anton と Google Cloud セキュリティ アドボケイトの Michele Chubirka がコンテナと仮想マシンのそれぞれのセキュリティ上の利点について議論します。ポッドキャストを聴く。
• ADR の深掘り: アプリケーションの検出と対応とは何でしょうか？ADR でクラウド、コンテナ、アプリケーションのコンテキストがつながることで、どのように脅威に関する詳細な知見が得られるようになるのでしょうか？Miggo Security の共同創設者であり CEO でもある Daniel Shechter が、Anton とともに ADR のすべてを説明します。ポッドキャストを聴く。
• 効果的な机上演習を実行する方法: Mandiant のシニア コンサルタント、Alishia Hui がホストの Luke McNamara とともに、机上演習に関するあらゆることを話します。Alishia が、机上演習の要素、重要な準備作業、優れた演習のための成功要因、得られた知見を組織でどのように取り入れることができるかを説明します。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。

-Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables

-Google Cloud、CISO オフィス、セキュリティ アドバイザー Anton Chuvakin