Cloud CISO の視点: 2021 年 8 月

※この投稿は米国時間 2021 年 8 月 27 日に、Google Cloud blog に投稿されたものの抄訳です。

2021 年も半分以上が過ぎましたが、サイバーセキュリティは、依然として世界中の組織が直面する最も差し迫った問題の一つです。Google Cloud は主要なクラウド プロバイダとして、提供するプラットフォームとサービスに高レベルのセキュリティを供給することで、これらの課題への対処をサポートしたいと考えています。これは、今日でも Google Cloud にとっての最優先事項であり続けています。

今月の投稿では、政府や企業のお客様と協力してセキュリティ防御を強化する方法を振り返り、Google Cloud のセキュリティ ポートフォリオ全体における最新のプロダクト情報と、金融サービスや公共部門組織における業界の重要な情報をご紹介します。

業界を取り巻く現状についての考察

• Joint Cyber Defense Collaborative: 今月初旬、Google Cloud は米国国土安全保障省のサイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）の Joint Cyber Defense Collaborative（JCDC）に初期パートナーとして参加することが決定しました。このイニシアチブは、サイバー脅威が公共部門と民間部門に与える影響を防止および軽減することを目的としており、防御力の高い集団安全保障体制を強化するための Google の取り組みを促進する重要なステップです。今後数か月にわたって、JCDC イニシアチブを通じて、州、地方、連邦政府機関やセキュリティ コミュニティとともにこれらの重要分野での取り組みを拡大していきたいと考えています。

• サイバーセキュリティに関するホワイトハウス サミット: 昨日、Google および Alphabet の CEO である Sundar Pichai は、ソフトウェア サプライ チェーンのセキュリティ、サイバーセキュリティの人材育成とトレーニングなど、セキュリティに関する差し迫ったトピックについて話し合うため、テクノロジー、金融サービス、保険、教育各部門の CEO と一堂に会しました。Google のグローバル問題担当 SVP である Kent Walker は、現在の脅威と新たな脅威に対する米国のサイバーセキュリティへの備えと対応を改善するために米国政府と連携して取り組む主要な分野でのコミットメントをまとめました。さらに、このコミットメントの一環として、Google は今後 5 年間で 100 億ドル以上を投資し、ゼロトラスト プログラムの拡大、ソフトウェア サプライチェーンの保護強化、オープンソース セキュリティの強化など、サイバーセキュリティを強化していくと発表しました。また、Google Career Certificate プログラムを通じて、IT サポートやデータ分析などの分野で 10 万人のアメリカ人をトレーニングし、データのプライバシーやセキュリティなどの需要の高いスキルを学ぶ機会を提供することを約束しています。Google は、大統領とその政権との対話を継続し、連邦政府機関や企業が直面している脅威のペースと、一丸となってそれらに建設的に対処することが切実に求められている現状を認識していきたいと考えています。

• OpenSSF の Allstar: 以前、オープンソースのセキュリティを改善するための OpenSSF の重要な取り組みに対し Google が行っているサポートについてお話ししました。今月、OpenSSF は、GitHub アプリの Allstar を発表しました。このアプリは、GitHub プロジェクトにセキュリティ対策のベスト プラクティスを自動的かつ継続的に適用します。Allstar を使用することで、オーナーはセキュリティ ポリシーの遵守状況を確認し、必要な措置アクションを設定し、組織やプロジェクトのリポジトリでの設定またはファイルの変更をトリガーとして、継続的にそれらの措置を実施することが可能です。Allstar は、オープンソース コミュニティがセキュリティ リスクをプロアクティブに低減しつつ、摩擦を最小限に抑えるために有効です。

• Google Cloud 金融サービス調査: Google Cloud の委託により Harris Poll が実施した最新の調査によると、金融機関ではクラウドの採用が増加していますが、業界のコンプライアンス フレームワークの複雑さや細分化が、幅広い導入を推進するうえでの障害となっています。私は以前から、クラウドは単に管理すべきリスクなのではなく、組織内のリスクを管理、低減するための手段であると考えてきました。本レポートでは、規制当局が金融サービス機関をより適切にサポートし、これらの障壁を取り除いてクラウド導入を促進するための方法をまとめています。具体的には、さらなる明確化とガイダンスの提供、細分化を回避するための機関間での規制審査の調整などが挙げられます。クラウドが金融サービス企業のリスクとセキュリティ対策にどのような好影響をもたらすかについては、Google のオペレーショナル レジリエンスの強化に関する論文で詳しく説明されています。

セキュリティに関する必読のストーリーと必聴のポッドキャスト

第 2 回目にあたる今回も、業界関係者や Google のリーダーたちによるセキュリティ関連メディアとポッドキャストのハイライトをご紹介します。前回の更新以来となる、これらの示唆に富んだ素晴らしい対談をぜひお見逃しなく。

• ソフトウェア サプライ チェーンの改善に関する SC Magazine: Google Cloud インフラストラクチャ担当バイス プレジデントの Eric Brewer と、Google セキュリティ エンジニアリング担当バイス プレジデントの Royal Hansen は、つい先日、ソフトウェア サプライ チェーンのセキュリティを改善するために、オープンソース エコシステムに投資することの重要性を論じた論説を発表しました。彼らの提言は、業界と社会全体がサプライ チェーンのセキュリティ リスクについてより深く考えることを促すものです。Open Source Security Foundation（OpenSSF）と協力し、SLSA のようなベスト プラクティスを用いてソフトウェア サプライ チェーンの整合性に関する基準を形式化することは、すべての人にとってより安全なソフトウェア サプライ チェーンの基盤を築くための重要なステップです。これに関連して、Google Cloud は今月初旬に、このトピックに特化した「コンテナ セキュリティ: ソフトウェア サプライ チェーンにおける信頼の構築」という仮想イベントを開催しました。このイベントに参加されなかった方は、オンデマンドでセッションをご覧いただけます。

• Tech Matters ポッドキャスト - 安全なパスをより簡単なパスへ: PayPal の EVP 兼 CTO である Sri Shivananda 氏の最新の Tech Matters ポッドキャストに参加し、クラウド セキュリティの現状と将来について、また、企業や個人がセキュリティ リスクを軽減するための実践的なアドバイスについて、興味深い対談を行いました。

• Communications of the ACM の「Fixing the Internet」: 8 月号の Communication of the ACM では、同僚である Google Cloud ネットワーキング担当バイスプレジデントの Bikash Koley と Royal Hansen が登場し、Google のネットワーキング チームとセキュリティ チームが、BGP のルーティング プロトコルとしての安全性を維持することで、インターネット全体のセキュリティ対策の向上に貢献している取り組みが紹介されています。また、ISP、通信事業者、クラウド プロバイダなどに MANRS を採用しているかどうかを尋ねることで、誰もがインターネットのセキュリティ向上に協力できることも想起させてくれる内容となっています。

• McKinsey がコードとしてのセキュリティに注目: McKinsey Technology と McKinsey Risk Practice からなるチームは、セキュリティをコードとして管理することで企業がクラウドで安全に価値を創造できるようにする方法についての記事を公開しました。他の主要クラウド プロバイダに所属する CISO のメンバーと一緒に、自身の経験を通してこのアプローチのメリットを語りました。重要なポイントの一つとして、次のトレンドについてお話ししました。「Google プロダクトのセキュリティ強化のペースは加速し、セキュリティ機能追加の範囲（セキュリティ プロダクトだけではなく、セキュアなプロダクトを目指す姿勢）は拡大しています。他の多くのクラウド プロバイダも同様の進歩を示しています。アジリティや生産性と並行してセキュリティを強化し続けるという、この大規模でグローバルな競争は、すべての人に利益をもたらします。」

• Google Cloud Security Podcast: Google のチームは、ポッドキャストで業界全体の声とのコラボレーションを続けています。今月のエピソードでは、セキュリティ問題への ML と AI の適用、検出工学、大規模で複雑な組織での SOC の運営について触れています。

セキュリティに関する Google Cloud の主な取り組み

• 統合型で実績のあるゼロトラスト システム: 最近のゼロトラストに関する議論では、この用語に制限的な枠が設けられています。ゼロトラスト アプローチの中核となるのは、相互接続された複雑なシステムの単一コンポーネントに対する暗黙の信頼が重大なセキュリティ リスクを生み出す可能性があるという考えです。そのため、信頼は、複数のメカニズムを介して確立され、継続的に検証される必要があります。エンドユーザーのアクセスは、このモデルを適用することでセキュリティを大幅に向上させることができる領域ですが、クラウドネイティブ インフラストラクチャ上で本番環境のシステムを実行し、ワークロードを保護するエンドツーエンドのプロセスなどの領域にも同様に適用することが可能です。Google がどのように自社の組織やプロセス全体にゼロトラストの原則を導入してきたのかを詳しくご紹介しています。BeyondCorp では、リソースにアクセスできるユーザーをきめ細かく制御できるようにしました。BeyondProd によって、サービス間のアクセスでも同じことができるようになりました。さらに、SLSA フレームワークによってソフトウェア エコシステムでも同じことができるようになりました。ゼロトラスト環境を成功させるためには、Google、Google のパートナー、サードパーティが長年培ってきたソフトウェア セキュリティに関する実績を活用することが有効だと考えています。

• 放置プロジェクト Recommender: 大規模な組織では、何千ものクラウド プロジェクトが放置されている可能性があり、そこからセキュリティ リスクが発生します。この問題に対処するために、Active Assist の放置プロジェクト Recommender 機能が先日発表されました。この機能では、組織内のプロジェクトの使用状況が分析され、放置プロジェクトの検出、再利用、削除に役立つ推奨事項が提供されます。これにより、コストを削減しつつクラウドでのセキュリティ体制を改善できます。

• 新しい Cloud Secret Manager 機能: Google Cloud の Secret Manager サービスは、API キー、パスワード、証明書などの機密データを安全かつ手軽に保存する方法を提供します。このサービスの新たなアップデートとして、無料枠の導入、SLA の引き上げ、すべての Google Cloud リージョンでの Secret Manager の提供に加え、ISO 27001、ISO 27017、ISO 27018、SOC 1、SOC 2、SOC 3、PCI DSS、HIPAA などの新しいコンプライアンス要件への準拠、顧客管理の暗号鍵（CMEK）のサポートを発表しました。また、Secret Manager は Cloud Code のようなアプリケーション開発のライフサイクル全体で使用される一般的なツールやテクノロジーとも統合されており、Secret Manager CSI ドライバを使用して GKE または Anthos で実行できます。

• OWASP トップ 10 ガイド: お客様がクラウド インフラストラクチャを使用してプラットフォームの再構築や新しいアプリの構築を行う際に、アプリケーションのリスクを軽減するために Google のツールをどのように使用すればよいか、ガイダンスを求める多くの声が寄せられています。これを受けて、Google Cloud における OWASP トップ 10 緩和策を先日発表しました。これは、OWASP トップ 10 で定義されているウェブ アプリケーションのセキュリティ リスクを軽減するために、お客様を支援することを目的としたプロダクト横断型の総合ガイドです。このガイドでは、Cloud Armor と Apigee を使用して攻撃を事前にブロックする方法と、他の Google Cloud セキュリティ プロダクトを使用した予防策についてご説明しています。

• Anthos Config Management のアップデート: セキュリティ プロダクトだけではなく、よりセキュアなプロダクトというテーマで、多くのことをお話してきました。Google の Anthos Config Management ソリューションを使用すると、IT アーキテクチャのモダナイゼーションに優先順位を付けることが可能です。これは、コードとしての構成とコードとしての管理を組み合わせる場合にいっそう重要になります。先日、Anthos Config Management の新機能として、Google Cloud リソースのプロビジョニングとオーケストレーションを行うホスト型サービスの Config Controller などが発表されました。この度、ハイブリッド クラウドとマルチクラウドのユースケースでの利用に加えて、Google Kubernetes Engine（GKE）でもスタンドアロン サービスとして Anthos Config Management を利用できるようになりました。これらの新機能の最たる成果として、セキュリティ、アジリティ、ユーザビリティ、デベロッパーの生産性と効率性の強力な組み合わせが実現しました。

• クラウド プライバシー リソース センター: Google では、リスク、セキュリティ、コンプライアンス、プライバシーの統合チームを編成しています。グローバルなプライバシー義務を果たすためにクラウドを利用しているお客様に提供するすべてのリソースを収集する新しいクラウド プライバシー リソース センターは、これらすべての分野の統合と連携を優先する Google の取り組みの一環です。

• Google Identity Services: 今月初旬、Google アカウント セキュリティ チームは、Google Identity Services という新しい ID 関連の API ファミリーを発表しました。この API は、複数の ID サービスを 1 つのソフトウェア開発キットに統合するものです。新しい Google Identity Services は、業界をリードする Google のセキュリティと、簡単にログインできる究極の利便性を兼ね備えており、ユーザーの安全性を維持するとともに、新規ユーザーの獲得やリピーターのシームレスなログインを促進します。また、新しい One Tap のような Google Identity Services プロダクトは、クリックジャッキングやピクセル トラッキングなどの脆弱性から保護するように設計されており、ユーザーがウェブサイトやアプリ間を移動する際に安心して利用できるようになっています。

今月のサイバーセキュリティに関する考察と重要な情報は以上です。「クラウド CISO の視点」の投稿を毎月メールで受け取ることを希望される場合は、こちらをクリックしてご登録ください。また、10 月 12 日から 14 日に開催される Google Cloud Next ‘21 にも、ぜひご登録ください。それでは、9 月にまたお会いしましょう！

 -Google Cloud バイス プレジデント兼 CISO Phil Venables