Cloud CISO の視点: 2022 年 8 月

※この投稿は米国時間 2022 年 8 月 31 日に、Google Cloud blog に投稿されたものの抄訳です。

今月の「クラウド CISO の視点」をご覧いただきありがとうございます。今月の焦点は、バグバウンティとも呼ばれる脆弱性報奨金プログラム（VRP）の重要性についてです。これは、ソフトウェア ベンダーにゼロデイ脆弱性を報告した、独立したセキュリティ研究者に対する報奨金プログラムです。1995 年頃に最初に登場して以来、セキュリティにおいて欠かせないものとなりました。現在では、組織がより安全なプロダクトとサービスを構築できるよう貢献しています。また、脆弱性報奨金プログラムは、以下で説明するようにデジタル トランスフォーメーションでも重要な役割を果たしています。

他の「Cloud CISO の視点」と同じく、このニュースレターのコンテンツは今後も Google Cloud 公式ブログに投稿していく予定です。このブログをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

脆弱性報奨金プログラムがクラウド サービスに不可欠な理由

Google Cloud に関する 6 月のニュースを振り返り、組織がいかにして安全なプロダクトを構築し、ビジネス システムにセキュリティを組み込んでいるかについて重要な点をご紹介します。

6 月 3 日、Google Cloud は 2021 年度 Google Cloud 脆弱性報奨金プログラムの賞金獲得者を発表しました。Google Cloud が脆弱性報奨金プログラムに参加してから 3 年目となります。発見した脆弱性に対する上位 6 名の受賞者の合計賞金額は $313,337 でした。このプログラムに欠かせないのがプログラム参加者による脆弱性報告記事の一般公開であり、クラウド セキュリティのオープンな研究への参加も促されます。（Google の脆弱性報奨金プログラムの詳細はこちらでご覧いただけます。）

プログラムが開始してから賞金は増えており、プログラムは順調に発展しています。また、Google の他の Kubernetes Capture the Flag VRPでも賞金額を増加しました。賞金の増額は、当然のことながら研究コミュニティに利益をもたらすと同時に、Google プロダクトの保護にも役立ちます。一方で、VRP は Google 社内セキュリティ チームと社外の独立したセキュリティ研究者を強固に連携させる、成熟した復元力の高いセキュリティ エコシステムの醸成も支援します。

このような結果は、VRP での私自身の経験だけでなく、独立した分析によっても裏付けられています。ヒューストン大学とミュンヘン工科大学の研究者は、2021 年に発表した Chromium の脆弱性調査の中で、Google 社外のバグハンターは背景と関心が多様であるからこそ、さまざまな脆弱性を発見できていると結論づけています。具体的には、Chromium Stable リリースとユーザー インターフェース コンポーネントのバグはこのようなバグハンターが発見しました。この調査では、「社外のバグハンターは、多様な専門知識と客観性によって社内セキュリティ チームを補完し、さまざまな脆弱性を発見することで、セキュリティに恩恵をもたらしている」とされています。

VRP は 1990 年代から組織でソフトウェアの修正に活用されており、拡大を続けていますが、事前の計画が必要です。少なくとも、組織は社内で管理する専用メールアドレスを設けて一般公開し、研究者が報告と要求を送れるようにしなくてはなりません。何より、研究者はセキュリティ上の懸念を真剣に受け止めてくれる誰かに伝えたいと考えています。

しかし、脆弱性を適切に管理する対策がとられていない場合、送られた脆弱性の報告は警鐘になります。より成熟した VRP では、送られてくる報告を精査して、報告を受け取る担当者、報告した研究者との連絡方法、連絡を受け取って関与するエンジニア チーム、報告が正確かどうかの確認方法、顧客のサポート方法などを決定するしっかりとした仕組みが構築されています。

VRP がまだない組織では、取締役会と組織のリーダーは、このようなプロセスの開始および指導において積極的な役割を果たさなくてはなりません。VRP の重要性の一つに、目に見えない利益をもたらすという点があります。VRP によって各チームは知識を増やし、研究者コミュニティとの絆が深まり、社内プロセス変更へのフィードバックがなされ、セキュリティ チームと開発チームの改善への道筋が示されます。

究極的には、VRP のビジネス ケースはシンプルです。セキュリティをどんなに万全にしても、なんらかの脆弱性は残ります。このような脆弱性は、報告をすることに意欲を持つ人ができるだけ早く見つけてくれるのが一番です。そうでないと、敵対者が脆弱性を見つけるか、違法な市場で手に入れるリスクが高くなります。

デジタル トランスフォーメーションを行う組織が増える中、VRP の必要性も大きくなるばかりです。企業のシステムと、サプライヤー、パートナー、顧客のシステムとの相互接続性のネットワークに対して、セキュリティ上の懸念の範囲は拡大せざるを得ません。そのため、組織は、最も責任ある行動として、サプライヤーに VRP を採用するよう奨励する必要があります。

Google Cloud Security Talk

Security Talk は、Google サイバーセキュリティ対応チーム、CISO オフィスなどの Google Cloud セキュリティ チームと多くの業界の専門家の協力体制を構築して、Google の最新のセキュリティ プロダクト、イノベーション、ベスト プラクティスに関する情報を共有するための、Google の進行中のプログラムです。最新の Security Talk（8 月 31 日）では、実務者のニーズと Google プロダクトの使用方法に焦点を当てます。こちらからご登録ください。

Google サイバーセキュリティ対応チームのハイライト

クラウド セキュリティ チームからの今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

セキュリティ

Google Cloud が過去最大となるレイヤ 7 DDoS 攻撃をブロックした方法: 6 月 1 日、Google Cloud Armor をご利用のお客様が、ピーク時で毎秒 4,600 万リクエストに達する一連の HTTPS DDoS 攻撃の標的になりました。これは、これまでに報告されたレイヤ 7 DDoS の中で最大のもので、過去に報告された記録と比較すると、少なくとも 76% 大きいものでした。Google がどのようにこの攻撃を止めたかはこちら。

「大規模な不正行為」- VirusTotal の最新レポート: マルウェア状況に関する VirusTotal の最新レポートは、悪意のあるハッカーがマルウェア技術をどのように変化させ、防御を迂回してソーシャル エンジニアリング攻撃をより効果的に行っているかについて解説します。 詳細はこちら。

市場初の Virtual Machine Threat Detection の一般提供開始: Security Command Center の Google 独自の Virtual Machine Threat Detection（VMTD）が Google Cloud のお客様向けに一般提供を開始しました。公開プレビュー版が 6 か月前にリリースされた VMTD は敵対者によって検出できず、Google の Threat Analysis Group と Google Cloud Threat Intelligence の専門知識を活用しています。詳細はこちら。

自律型データ セキュリティがクラウドの未来を決定付けるうえで果たす役割: この 5 年間でデータ使用量が劇的に拡大して変化したように、データに対するビジネスニーズも変化しました。Google Cloud は、データ セキュリティへの最新のアプローチを採用する取り組みを定義し主導するという独自のポジションにあります。その最適な方法は、自律型データ セキュリティであると確信しています。その理由をご覧ください。

クラウド セキュリティに向けた CISO のメンタルモデル刷新の必要性: クラウド セキュリティを適切に刷新することができれば、最高情報セキュリティ責任者（CISO）は現在そして未来にわたって脅威への備えを強化できます。しかし、そのために必要となるのは設計図や一連のプロジェクトだけではありません。CISO やサイバーセキュリティ チームリーダーは、セキュリティについて考察するための新たなメンタルモデルを構築する必要があります。これには、セキュリティに関する現在の知識をクラウドの実態にマッピングします。その理由をご覧ください。

セキュリティの運用でスムーズにシフトを引き継ぐ方法: 適切なプランニングが行われなければ、SOC のシフトの引き継ぎ過程でメンバー間の知識のギャップが生じてしまいます。しかし幸いなことに、こうしたギャップは回避できます。ギャップを回避する 3 つの方法をご覧ください。

Cloud Logging で知っておくべきセキュリティ機能とコンプライアンス機能 5 選: 企業や公共機関がクラウドの導入を進めるなか、セキュリティとコンプライアンスを確保するうえで重要となるのが、クラウド環境で誰がどのような操作を行ったかを正確に把握することです。お客様のセキュリティ監査の改善に役立つ Cloud Logging で知っておくべきセキュリティ機能とコンプライアンス機能 5 選を、今年リリースされた 3 つの新しい機能も含めて紹介します。詳細はこちら。

Google Cloud Certificate Authority Service によるオンプレミス Windows ワークロードへのサポート開始: クラウドベースの CA を採用した企業は、CA の機能と価値をオンプレミス環境にも拡張したいと考えるようになっています。企業は Google Cloud CAS を通じてプライベート CA をデプロイし、ルーター、プリンタ、ユーザーへの証明書発行など、オンプレミスでの使用における電子証明書の運用を簡素化、管理、自動化するパートナー ソリューションを導入できるようになりました。詳細はこちら。

Cloud Storage データをさらに容易に匿名化: 多くの組織は、保存データの中の機密情報を削除または難読化する効率的な「匿名化」と呼ばれるプロセスと技術を必要としています。Google は、このプロセスをさらに容易にする Cloud Storage 検査ジョブ用の新アクションをリリースしました。詳細はこちら。

Google Cloud と Google Workspace が複数の ID プロバイダでのシングル サインオンをサポート: Google は以前からお客様にデジタル ID プロバイダの選択肢を提供しています。これまで 10 年以上にわたり、SAML プロトコル経由での SSO をサポートしてきました。現在、Google Cloud のお客様は SAML 2.0 プロトコルでユーザー用に単一の ID プロバイダを有効にすることができますが、このリリースでは、1 つではなく複数の SAML ベースの ID プロバイダをサポートすることで、SSO 機能を大幅に強化します。詳細はこちら。

Chronicle SecOps スイートでキュレーションされた検出が可能に: セキュリティ運用チームの仕事の重要な要素は、敵対者の幅広い戦術の中から潜在的な脅威を高忠実度で検出することです。本日、Google Cloud Threat Intelligence（GCTI）チームが構築した、高品質で実用的なキュレーションされた検出機能を提供し、Google のインテリジェンスの力をセキュリティ運用チームの手に委ねました。詳細はこちら。

Google Cloud の Managed Microsoft Active Directory にオンデマンド バックアップ、スキーマ拡張のサポートを導入: スキーマ拡張のサポートとオンデマンド バックアップが Google Cloud の Managed Microsoft Active Directory に追加されました。お客様は、AD に依存するアプリケーションを容易に統合できます。詳細はこちら。

Anthos Service Mesh を使用してアプリを保護する: Google の Anthos Service Mesh は、最小限の運用オーバーヘッドで膨大な数のアプリとサービスのセキュリティ レベルを高く維持すると同時に、サービス オーナーにはきめ細かいトラフィック制御を提供します。その仕組みをご紹介します。

Google Cloud セキュリティ ボイスのブログの取り組みでは、Google Cloud のさまざまなセキュリティ専門家グループのブログを取り上げます。セキュリティ「ガードレール」とも呼ばれる予防的なセキュリティ管理を活用してデベロッパーが構成ミスを防ぎ、悪用を防止する方法について、Jaffa Edwards が解説します。詳細はこちら。

業界の最新情報

Vulnerability Exploitability eXchanges はいかに医療機関のサイバーセキュリティ リスクの優先順位付けに貢献できるか: 医療とサイバーセキュリティの復元力に関する最新のブログでは、医療機関がリスク評価の決定を行う際に、VEX が重要な情報を提供して SLSA、SBOM をサポートする方法、および今後の動向について説明します。詳細はこちら。

MITRE と Google Cloud がクラウド分析で協力: 膨大な量のセキュリティ データがすでに存在するだけでなく、その量がさらに増大する中、サイバーセキュリティ業界がデータの分析力を強化して直面する脅威を抑えるにはどうしたらよいのでしょうか。Google Cloud は、MITRE Engenuity Center for Threat-Informed Defense によるクラウド分析プロジェクトを発表いたします。このプロジェクトは Google Cloud の他、複数の企業の協賛によって実現しました。詳細はこちら。

コンプライアンスと制御

データ アドボカシーを利用して消費者のプライバシーに関する信頼のギャップを埋める: 消費者のデータのプライバシーに関する規則が強化され、サードパーティー Cookie の廃止が迫る中、あらゆる規模の企業が、同意に前向かつプライバシーを重視した業務の進め方を模索しています。組織は、消費者データのプライバシーをビジネスの柱として扱い始める必要があります。その方法の一つが、機能横断型データ アドボカシー パネルの導入です。詳細はこちら。

クラウドの構成ミスの回避方法と継続的コンプライアンスの実現: 最新のアプリケーションのセキュリティ ツールは完全に自動化され、開発者にもほとんど見えず、DevOps パイプライン内の摩擦を最小限に抑えます。継続的コンプライアンスが可能なインフラストラクチャは、Google Cloud のオープンで拡張可能なアーキテクチャによって実現が可能になります。このアーキテクチャは、Security Command Center とオープンソース ソリューションを使用します。その方法をご紹介します。

ヨーロッパの教育機関によるプライバシー評価を支援: GDPR のもとで複雑な DPIA の要件を満たすことは、多くのお客様にとって難しい場合があります。管理者であるお客様のみが DPIA を完了できますが、お客様がこれらのコンプライアンス義務を果たせるよう Google の Cloud DPIA Resource Center がサポートします。詳細はこちら。

セキュリティ チームが共有すべきヒント

7 月のニュースレターでは、Google Cloud のセキュリティ アーキテクチャに役立つ、当月の 4 つのガイドを公開しました。これらのガイドは、Google のリード デベロッパー アドボケイトである Priyanka Vergadia によるもので、IT スタッフ間ですぐに共有可能です。セキュリティの仕組みを説明するカラフルな図解もあるので、ぜひご活用ください。今月はさらに 2 つ追加しています。

Active Assist でクラウドでのデプロイをフル活用: このガイドでは、ワークロードの使用状況、ログ、リソース構成の情報を合理化し、機械学習とビジネス ロジックを使用してクラウドが力を発揮するエリア（費用、サステナビリティ、パフォーマンス、信頼性、管理機能、セキュリティ）へのデプロイを最適化するうえで役立つ Active Assist 機能について説明します。詳細はこちら。

ゼロトラストと BeyondCorp: この入門ガイドでは、システムの一部を暗黙的信頼することによって生じるセキュリティ リスクを緩和する必要性が、どのようにゼロトラスト セキュリティ モデルの増加につながっているのか説明します。詳細はこちら。

Google Cloud Security Podcast

2021 年 2 月に、Cloud Security に焦点を当てたポッドキャストを新たに配信開始しました。ホスト役の Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界が今日直面している特に重要で困難なトピックについて話し合います。今月に取り上げたトピックは、次のとおりです。

Google Cloud でデータ主権の謎を解く: データ主権とは何か、なぜ重要か、クラウド テクノロジーにおける役割がいかに増しているかについて（ゲスト: Google、C.J. Johnson）視聴はこちらから。

CISO によるクラウド導入: 失敗、成功、教訓、リスクについて（ゲスト: Google Cloud CISO オフィス、スタッフ コンサルタント David Stone）視聴はこちらから。

データ セキュリティのモダナイズ方法 - 自律型データ セキュリティの活用（ゲスト: Google Cloud CISO オフィス、スタッフ コンサルタント John Stone）視聴はこちらから。

変化するものとしないもの - SOC でのクラウド導入（ゲスト: Exabeam、最高戦略責任者 Gorka Sadowski 氏）視聴はこちらから。

SOAR の仕組み（と運用上の現実）（ゲスト: Ingalls Information Security、SOC ディレクター兼 IR チーム リーダー Cyrus Robinson 氏）視聴はこちらから。

Cloud CISO の視点を毎月メールで受信するには、ニュースレターに登録してください。来月も引き続きセキュリティ関連の最新情報をお届けします。

- Google Cloud バイス プレジデント兼最高情報セキュリティ責任者 Phil Venables