コンテンツに移動
セキュリティ & アイデンティティ

Cloud CISO の視点: 2022 年 12 月

2023年1月5日
https://storage.googleapis.com/gweb-cloudblog-publish/images/cybersecurity_action_team_jl2RU0c.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2022 年 12 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

12 月の「Cloud CISO の視点」をご覧いただきありがとうございます。今月は、CISO オフィスの同僚や Google サイバーセキュリティ対応チームと 2022 年の最も重要なセキュリティの教訓を振り返ります。

他の「Cloud CISO の視点」と同様に、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このブログをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

2022 年の教訓を来年生かすには

各ピースの形が変化していくパズルのように、2022 年は、クラウド エコシステムの高度化がクラウド セキュリティに急速に反映された年でした。今年初めに、イノベーションと開発の原動力となる 8 つのセキュリティ メガトレンドを紹介しましたが、今年はこれらの極めて重要なメガトレンドに付随するいくつかの案件にも対処してきました。これには、マルチクラウドとハイブリッド クラウドの統合、サプライ チェーン セキュリティの繊細かつ複雑な課題、クラウド トランスフォーメーションに取り組んでいる組織の異種環境などが含まれます。

CISO オフィスの 7 人の Google Cloud エキスパートが 2022 年の教訓から導き出し、今後数か月に行う意思決定の根拠となるであろうポイントを共有したいと思います。

DEI は、あったらいいものではなく、なくてはならないもの

シニア ディレクター Nick Godfrey

Godfrey は、いくつかの重要な課題に注目しました。たとえば、人材不足の解消やサイバーセキュリティ テクノロジーの全体的有効性の向上には多様性、公平性、インクルージョンが不可欠です。彼は次のように述べています。「マルチクラウド セキュリティは、前座なんかではなく、れっきとしたメインイベントです。すべての大企業がこれに対処する必要があり、多くの組織が課題に直面しています。テクノロジーが問題なのではなく、むしろ、組織やオペレーションが問題なのであって、多様性は非常に重要です。セキュリティを変革したいのであれば、テクノロジー、オペレーション、組織(TOO)ではなく、組織、オペレーション、テクノロジー(OOT)に焦点を当てるべきです。」

リスクの認知度を高める

金融サービス担当ディレクター Alicja Cade

Cade は次のように述べています。「金融サービス業界(FSI)は、他業界と同じく空席になっているサイバーセキュリティ関連のポジションをどうやって埋めるかについてを頭を悩ませていますが、デジタル トランスフォーメーションを実現するためには、ビジネス全体でクラウドの教育と周知を徹底する必要があります。金融サービス機関は、リスクの現状をより良く理解する必要があります。当然のことながら、こうした機関ではクラウド テクノロジーのリスクに関する、よりきめ細やかなモデルを開発する必要性についての関心が高まっています。直面している重要なシナリオを認識し、クラウド サービス プロバイダ関連のオペレーション インシデントに関するシナリオを深く理解する必要があるのです。」

品質とセキュリティが新しい強力タッグになる

ヘルスケアとライフサイエンス担当ディレクター Taylor Lehmann

Lehmann は次のように述べています。「セキュリティの成果は、システムの安全性、品質、および信頼性にますます重要かつ直接的な影響を及ぼすようになってます。先を見据えたセキュリティ リーダーは、プロダクトの品質とセキュリティがもたらす影響の間に明確な関連性があることに気付き始めています。品質とセキュリティは急速に同義と見なされるようになっており、特にヘルスケアと製造業においては、結果的に規制が遵守され、顧客の安全が確保されることを保証するために、品質管理プロセスにセキュリティを組み込むことが不可欠です。」

Lehmann が注目する必要があると述べた 2 つの領域は、サプライ チェーンとゼロトラストです。彼は次のように述べています。「サプライ チェーン セキュリティは、ビジネスにおいて注目すべき最も重要な分野の一つです。この分野では課題も見つかっていますが、サプライ チェーン セキュリティを解決するためには、エンジニアリング、調達、コンプライアンス、およびセキュリティの連携に成功する必要があります。これは、単なるセキュリティの問題ではなく、CISO が単独で解決できる問題でもありません。」

その一方で、彼は、ゼロトラスト体制の実現が容易になってきていると感じています。「それでも、私たちは、これが一晩では解決されない長い道のりであり、市販品で対処できるようなものではないことをお客様に理解してもらう努力を続けています。今すぐ、アクセス権を与えるための『ゼロトラスト ファースト』モデルを使用した新しいイニシアチブの立ち上げを要求し、次の数年間で移行するための計画を策定してください。」

お客様(とそのニーズ)を知る

シニア スタッフ セキュリティ コンサルタント Anton Chuvakin

Chuvakin は、お客様個々のニーズに合わせてそれぞれの成長を支援するための継続的な取り組みの必要性を指摘しました。「多くの組織が、いまだにクラウドの理解が不足しており、オンプレミス的な発想でクラウド セキュリティを捉えていることがわかりました。」

Chuvakin にとって、その転換的発想の一部は、データ セキュリティのモダナイゼーションやセキュリティ オペレーション センターの自動化などの手間のかかる困難な課題の解決を意味します。「組織は、Google の SOC 向けの自律型セキュリティ運用というビジョンを気に入っているようですが、自分たちでそこにたどり着ける自信はありません。私たちが彼らをより丁寧に、より詳細なガイダンスを使ってご案内する必要があります。」

成功したセキュリティ チームがトランスフォーメーションを成功に導く

ソリューション コンサルタント David Stone

Stone は次のように述べています。「ほとんどの成功したビジネス トランスフォーメーションがセキュリティ ベスト プラクティスを忠実に実践している組織で起きています。パートナーとともにクラウド ファースト戦略を導入している先を見据えたリーダーは、多くの場合、リスク管理においてより有利な立場にあります。こうした組織は、今年の DORA レポートで指摘されているように、自社のセキュリティ部門の 10 倍の最大のメリットを見いだしているチームです。2023 年の最優先事項は、優れたセキュリティ チームの育成とセキュリティ能力の向上を継続し、トランスフォーメーションを確実に成功させることです。」  

オープンソースへの転換

ソリューション コンサルタント Bill Reid

Reid は、ソフトウェア サプライ チェーンの保護が、脅威モデリングから強化されたビルドプロセスまでの安全なソフトウェアを作成するという基本に根差した「懸念」であることを認めました。セキュリティ プロフェッショナルは開発者とより緊密に連携してソフトウェアの構築方法の変革を支援する必要があり、Google Cloud はそれに関連して果たすべき重要な役割を担っています。Reid は次のように述べています。「私たちがオープンソース ソフトウェア コミュニティとともに Assured Open Source Softwareソフトウェア部品構成表ソフトウェア アーティファクトのためのサプライ チェーンレベル(SLSA)フレームワーク、およびソフトウェア デリバリー シールドを使用して行っている作業は、他のどこにもないものです。」

もっといい方法がある

通信、メディア、およびエンターテイメント担当ディレクター Bob Mechler

Mechler は、いまだに多くの組織がリスク管理に苦労している点を強調しました。彼は次のように述べています。「一部のお客様は、いまだにクラウドを『リスクを管理するためのより良い方法』ではなく『管理すべき別のリスク』と見なしています。」これは、組織がどのようにデジタル トランスフォーメーションを追求すべきかに関して、クラウド サービス プロバイダからのコミュニケーションを充実させることの重要性を明確に示しています。

その他の最新情報

セキュリティ チームからの今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

  • 多様性が GCAT のサイバーセキュリティに不可欠な理由: Google Cloud の CISO オフィスでディレクターを務める MK Palmore は次のように述べています。「多様な脅威が多様なチームを必要としています。より多様で、公平で、インクルーシブなサイバーセキュリティ担当従業員がセキュリティの最も難しい問題をうまく解決できるでしょう。」詳細はこちら

  • SolarWinds は 2 年後にサプライ チェーンの脅威にどのような影響を及ぼすか: Mandiant のエキスパートが、SolarWinds サプライ チェーン セキュリティ インシデントがセキュリティ チームとリーダーに与え続けている教訓について詳しく説明します。詳細はこちら

  • レポート: ソフトウェア サプライ チェーンをより安全にするための 5 つのステップ: 新しい Google Cloud レポートは、ソフトウェア サプライ チェーン攻撃に対する防御を強化するためのより包括的なアプローチが必要であり、SLSA などのフレームワークがソフトウェア サプライ チェーンの保護に役立つと結論付けました。この調査結果には、セキュリティ チームが実行すべき 5 つの推奨アクションも掲載されています。詳細はこちら

  • 今日の最も難しい SOC 課題に関する Security Talks およびその他: 12 月の Google Cloud Security Talks を見逃した方も、内容をご覧いただけます。SOC をモダナイズする方法、信頼を使用せずに安全なコードをデプロイする方法、およびモバイル詐欺の対策を網羅しています。詳細はこちら

  • 反対意見を克服して、ゼロトラストへの道を切り開く: Zero Trust for Google Cloud Security のディレクターである Tim Knudsen が Forrester のシニア アナリストである Jess Burn 氏と、ゼロトラスト ジャーニーを計画する場合に CISO がよく直面する課題について話し合っています。詳細はこちら

  • Google が提案する未来の仮想デスクトップ: ほとんどの Google 社員が仮想デスクトップで作業していることをご存じですか?仮想デスクトップの歴史と Google が自社の実装で発見したセキュリティ上のメリットを確認してください。詳細はこちら

  • 4 つの柱を使用して API のセキュリティ戦略を策定する: 新しい Google Cloud レポートでは、API セキュリティのインサイトとトレンドを調査し、効果的な API セキュリティ戦略を練るための方法に関する提案を示しています。詳細はこちら

  • Google Cloud エキスパートの IT 予測: 現在進行中のシリーズの一部として、Google Cloud エキスパートが今後数年以内に取り組むクラウド セキュリティに関する 3 つの話題を紹介します。オープンソース ソフトウェア キュレーションの未来、クラウド プロバイダにとってマルチクラウドが重要なフェーズである理由、および 2025 年までに SecOps ワークロードの大部分が自動化される理由を確認してください。

  • Google の安全なエンタープライズ ブラウジングがどのように組織の役に立つか: エンタープライズ ウェブ ブラウジングの保護は、多くの組織のセキュリティ体制と要件に不可欠です。数十億人が利用している Google Chrome は、このような進化の最前線に立っています。Google がお客様を支援する 4 つの方法をご確認いただけます。詳細はこちら

  • Google Chrome の 1 年を振り返る: 2022 年は Chrome チームにとって忙しい年でした。彼らは、組織がより安全にブラウザを使用できるように支援するための堅実なセキュリティ機能とユーザビリティ機能を追加、拡張しました。詳細はこちら

Google Cloud のセキュリティに関するヒント、アドバイスと最新情報

  • Google Cloud トラスト アップデート: 2022 年 12 月: 最も信頼されるクラウド事業者になる取り組みの一環として、Google は、対応可能な要件の基準を文書化するというお客様の基本的な要望に対応すべく、グローバルな業界標準、フレームワーク、行動規範を追求し続けています。過去数か月間の取り組みをご確認いただけます。詳細はこちら

  • Confidential Space のセキュリティ管理の検証方法: Confidential Space がプレビュー版で利用できるようになりました。これは、お客様が機密データへのアクセスを管理し、これまでできなかった方法で安全に共同作業ができるようにする Google の新しいソリューションです。そのセキュリティ特性の一部をご確認いただけます。詳細はこちら

  • 信頼できるインフラストラクチャの構築方法(これですべてがわかる): 信頼できるインフラストラクチャは、クラウド内のワークロードに不可欠な要件です。Google Cloud を使用した信頼できるインフラストラクチャの構築に関するこのガイドには、ゾーンやリージョンに関する基本的事実から、さまざまな信頼性評価ができるようにするための支援まで、お客様に必要な答えが記載されています。詳細はこちら

  • 低レイテンシな不正行為の検出を実現する Cloud Bigtable: ユーザー属性、トランザクション履歴、機械学習機能に Bigtable を使用することによってシームレスにスケーリングする、低レイテンシでリアルタイムの不正行為検出システムの構築方法を確認してください。詳細はこちら

  • 組織全体の GKE クラスタを監査する方法: クラスタ構成の監視は重要なタスクです。サーバーを使用せずに GKE Policy Automation を実行する方法をご確認いただけます。詳細はこちら

  • HashiCorp Terraform を使用した、コードとしての IAM アクセス制御の実装: デジタル トランスフォーメーションには、セキュリティ トランスフォーメーションが不可欠です。Identity and Access Management(IAM)は、Google Cloud セキュリティ戦略における防御の最前線として使用できます。HashiCorp Terraform で使用する方法をご確認いただけます。詳細はこちら

  • アイドル状態のリソース管理を自動化する Active Assist の 4 つの新機能: 放置プロジェクト Recommender でアイドル状態のプロジェクトの改善を会社の日常業務と文化的土壌の一部にするためのいくつかの新しい機能。ぴったりの情報をお届けします。詳細はこちら

  • Security Command Center を使用した教育機関の保護: 学術機関は、IT サービスのエコシステムが拡大を続ける中でますますセキュリティ侵害を受けやすくなっています。Google の Security Command Center がどのように役立つかをご確認いただけます。詳細はこちら

  • マイクロサービスの複雑さを軽減する方法: Apigee と Anthos Service Mesh を使用すると、マイクロサービスの標準化と保護がいかに簡単になるかを確認してください。詳細はこちら

コンプライアンスと制御

  • Google Cloud が影響レベル 5(IL5)のワークロードに対応: Google Cloud は、複数の Google Cloud サービスが国防総省の影響レベル 5(IL5)暫定認可(PA)を受けたことをお知らせいたします。これは、Google が米国の公共部門のお客様のために追加のワークロードをサポートできるようになったことを示す重要なマイルストーンです。詳細はこちら

  • ANZ Bank がセキュリティとコンプライアンスを確保した API 戦略を実行するために Apigee を活用: オーストラリアの上位 4 銀行の一つであり、時価総額でニュージーランド最大の銀行である ANZ Bank は、ミッション クリティカルなコンプライアンス要件に対処し、究極の使いやすさ、機能の完全性、複数のコーディング言語のサポートを獲得するために Google Cloud Apigee を選択しました。詳細はこちら

  • CISA の国家サイバー セキュリティ保護システムへの Google Cloud のログの報告: 各機関が NCPS Cloud インターフェース リファレンス アーキテクチャ プログラム文書に記載されているテレメトリー サイクルに従って、どのようにログを収集し、ログを拡充させ、CISA に報告するかに関するガイダンスをご確認いただけます。詳細はこちら

Google Cloud Security Podcast

2021 年 2 月に、Cloud Security に焦点を当てた週に一度のポッドキャストを開始しました。ホストの Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界が今日直面している特に重要で困難なトピックについて話し合います。今月に取り上げたトピックは、次のとおりです。

  • Sunil Potti: Google におけるクラウド セキュリティの構築について: Google Cloud セキュリティ部門バイス プレジデント兼ゼネラル マネージャーである Sunil Potti がセキュリティの構築からの発想の転換に深く切り込んでいます。これは、Google では、セキュリティがビジネスとしての構築に貢献すると考えられているためです。目に見えないセキュリティについて説明し、安全なプロダクトか、セキュリティ プロダクトかの議論を展開します。視聴はこちらから

  • CISO が語るクラウド脅威検出の教訓: Snap の現 CISO で、Square の前 CISO である Jim Higgins 氏が、どのようにしてオンプレミス リソースとクラウド リソースに優先順位を付け、Snap のクラウド フットプリントに合わせてチーム、プロセス、テクノロジーをスケーリングしたかを述べ、クラウド内の脅威の検出に対する考え方について説明しています。視聴はこちらから

  • State of DevOps Report とソフトウェア サプライ チェーン セキュリティの促進: セキュリティ、デベロッパー、DevOps が協力して新しい脆弱性に迅速に対応する方法と、Chainguard のセキュリティ データ サイエンティストである John Speed Meyers 氏と Google のユーザー エクスペリエンス リサーチャーである Todd Kulesza による今年の DORA レポートから得られた教訓。視聴はこちらから

「Cloud CISO の視点」を毎月メールで受信するには、ニュースレターに登録してください。来月も引き続きセキュリティ関連の最新情報をお届けします。


- Google Cloud バイス プレジデント兼最高情報セキュリティ責任者(CISO)Phil Venables
投稿先