Cloud CISO の視点: 2023 年 8 月上旬

※この投稿は米国時間 2023 年 8 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

2023 年 8 月最初の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。本日は、私自身がサイバーセキュリティに関して短期的には悲観論者、長期的には楽観論者であると考える理由を説明します。これを意外だと感じる方は多いかもしれません。

サイバーセキュリティの未来を楽観視できる理由 - IT モダナイゼーション

増加し続ける絶え間ない脅威がはびこる世界で暮らしていると、悲観的になりがちです。近い将来のサイバー脅威の状況については、懸念を呼ぶ十分な理由があります。それは、攻撃が次第に巧妙化しているためです。

最近、ホワイトハウス、CISA、その他の政府機関からも、ゼロトラスト、安全性を重視した設計、多層防御などのセキュリティに対する基礎的なアプローチを支持する発表がなされ、このアプローチの正当性を立証しています。公共部門と民間部門の協力が進むなか、政府機関と大手テクノロジー企業との間でサイバーセキュリティ保護の実装方法についての連係が深まっており、心強い限りです。公共組織と民間組織との知識共有が拡大すると、昨今の最大級の脅威を取り巻く透明性や保護が向上します。

多くの組織がすでに、ソフトウェア定義のインフラストラクチャを利用して「コードとしての統制」を実現する、というクラウドの恩恵を受け始めています。企業にとって、クラウドが提供する継続的なセキュリティ アップデートを活用することは、常に進化し続けるグローバルなデジタル免疫系を手に入れることと同じです。

さまざまな業界の役員や取締役会が、的確な質問をするようになり、サイバーセキュリティをビジネスの重要な要素と認識し始めています。役員や取締役会はこれまでサイバーセキュリティを特に重視してきませんでしたが、今ではサイバーリスクを全体的なビジネスリスクの観点から注視するようになっており、サイバーセキュリティと復元性を全体的なビジネス戦略、リスク管理の実践、予算編成、リソースの配分に組み込んでいます。

短期的には難題であるものの、インフラストラクチャのモダナイゼーション、セキュリティのイノベーション、業界の協調は、私たちが正しい方向へ向かっているという希望を与えます。私は、このような楽観論は慎重を要するもので、長い道のりが目の前にあることを承知しています。しかし、状況は私たちに有利に傾き始めていると感じています。

私たちの役割は、端的に言えば人々の生命や暮らしを守ること、人類が進歩するために不可欠な資本やアイデアの自由な流れを守ることだと考えることができます。これは決して誇張ではありません。この使命を受け入れると、他のあらゆることが価値あるものになります。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• Google Cloud Next の開催が迫る: あと 2 週間ほどで、今年の Next がサンフランシスコで開幕されます。Next ‘23 は、生成 AI の出現やサイバーセキュリティのブレークスルーなどのエキサイティングな出来事が続いているなかでの開催となります。予定されているセキュリティ セッションをチェックして、今すぐご登録ください。

• Next ‘23 でセキュリティに注目する: Next ‘23 で予定されているセキュリティについての基調講演、プレゼンテーション、発表などのプレビューをご覧ください。詳細

• Next ‘23 でネットワーク セキュリティに注目する: Next でネットワーク セキュリティについて詳しく知りたい方のために、見逃せないセッションのガイドをご用意しました。詳細

• IT プロフェッショナルが最も直面しやすい 5 つの課題と Next ’23 がその解決にどのように役立つか: 現在 IT プロフェッショナルが直面している可能性がある 5 つのシナリオを示し、Next の内容がそれらの解決にどのように役立つかを紹介します。詳細

• さらなる洞察を得るためにリスク評価に脅威インテリジェンスを追加する: Mandiant から、脅威インテリジェンスがリスク評価にもたらし得る付加価値について詳しく論じた新しいレポートが公表されました。皆様の組織にとってこれがどのように役立つのかをご確認ください。詳細

• ハイブリッド Kyber KEM で Chrome のトラフィックを保護する: Google のチームは、ウェブを量子耐性暗号に移行する準備を整えることに注力しています。このため、Chrome 116 から TLS での対称シークレットの確立に X25519Kyber768 がサポートされるようになります。詳細

• Android のゼロトラスト セキュリティでビジネスを保護する: Android Enterprise のゼロトラスト機能は、Android デバイス上の 30 の API で使用可能な 100 以上の独自のシグナルを使用して、データやデバイスを保護できます。詳細

• Personalized Service Health を導入してインシデント対応時のコミュニケーションをレベルアップ: Google の新しい Personalized Service Health サービスは、Google Cloud サービスの中断について透明かつ関連性のある実用的な通知を迅速に提供します。詳細

• Google マップの新しいセキュリティ認証: Google は現在、25 の Google Maps Platform プロダクトについて、ISO 27001、SOC 2、SOC 3 のセキュリティ認証を取得しています。詳細

• リスクを最小限に抑えながらサステナブルに変革する方法: リスクを軽減しつつも高い復元力が実現できるよう適応し続けていくために、組織はサステナブルな変革をどのように進めていけばよいでしょうか。Google Cloud Ready - Sustainability は、リスクを軽減し、成長をサポートし、競争上の優位性を提供し、収益にプラスの影響を与えるソリューションによって組織がネットゼロの未来に適応できるよう支援することを目指しています。詳細

• Assured Workloads により、米国国防総省向けの IL5 サービスが追加で利用可能に: 米国国防総省（DoD）は、Assured Workloads を通じて Google Cloud の任意の米国リージョンに DoD SRG 影響レベル 5（IL5）のワークロードをデプロイできるようになりました。これには、世界最大級の一般利用可能な ML ハブが含まれます。詳細

• Workforce Identity 連携への新しい IAM 機能の導入: Workforce Identity 連携に新しいセキュリティ機能、管理オプション、プロダクト インテグレーションが追加されました。Workforce Identity 連携は、外部の ID プロバイダ（IdP）からユーザー ID をすばやくオンボードできる Google の Identity and Access Management サービスであり、Google Cloud のサービスやリソースに外部から直接かつ安全にアクセスできるようにします。詳細

• ネットワーク サービス向け Cloud NAT サポートの一般提供開始のお知らせ: スタンダード ティアの下り（外向き）向けの Cloud NAT サポートの一般提供を発表しました。これにより、Cloud NAT のメリットを活用しながら、さらなる費用削減を達成できます。詳細

• 政府機関向けに Chronicle CyberShield を発表: Chronicle CyberShield は、脅威インテリジェンス、脅威の検出、脅威への対応を統合したセキュリティ ソリューションを政府機関に提供します。CyberShield は、イスラエル国家サイバー総局とのパートナーシップの下で開発されました。詳細

• Google Cloud と Google Workspace のデータ処理に対する取り組みを拡大: Google Cloud は、お客様のデータ処理とセキュリティのニーズにお応えできるよう全力で取り組んでいます。このたび、Cloud のデータ処理に関する追加条項の新しいバージョンを発表する運びとなりました。詳細

Mandiant からのニュース

• Google が Forrester Wave™ の External Threat Intelligence Service においてリーダーに選出される: Google は、The Forrester Wave™ の External Threat Intelligence Service Providers（2023 年第 3 四半期）においてリーダーに選出されました。Forrester は、脅威インテリジェンス分野で上位 12 社の企業を特定しました。そのうち、Google は 29 項目中 15 項目の基準で最高スコアを獲得しました。詳細

• 2023 年 8 月の Threat Horizons: クラウドに焦点を当てたサイバーセキュリティの推奨事項: Google の研究者がまとめた、脅威の状況に関する最新の指標、分析、ガイダンスが公表されました。たとえば、2023 年第 1 四半期に報告されたセキュリティ侵害の内訳を見ると、60% 以上が認証情報の問題、19% が構成ミス、3% 未満が脆弱なソフトウェアに関係していました。詳細

• Citrix ADC ゼロデイ用のセキュリティ侵害インジケーター スキャナ: Citrix 製アプライアンスにゼロデイ脆弱性 CVE-2023-3519 に関連するポストエクスプロイト活動の証拠がないかスキャンするツールが Mandiant からリリースされました。この脆弱性は、Citrix NetScaler Application Delivery Controller（ADC）と NetScaler Gateway アプライアンスに影響します。詳細

Google Cloud セキュリティと Mandiant のポッドキャストをぜひお聴きください

• セキュリティのためにユーザー エクスペリエンスを優先させる方法: UX とセキュリティの関係は、「複雑」と形容するのが最も適切です。その重要でありながら誤解されがちな相互作用をよりよく理解できるように、ホストの Anton Chuvakin と Tim Peacock が、Google Cloud セキュリティ部門のユーザー エクスペリエンス担当ディレクター、Steph Hay に実情を聞きます。ポッドキャストを聴くにはこちらから。

• カオス エンジニアリングでソフトウェアのレジリエンスを高める: 「カオス エンジニアリング」の詳細、カオス エンジニアリングとソフトウェア レジリエンスとの関係、カオス エンジニアリングがクラウド セキュリティと交わる理由について取り上げます。これは相性の良い組み合わせなのでしょうか、それとも相性のあまり良くない組み合わせなのでしょうか。Anton と Tim が、Fastly の CTO オフィスでシニア プリンシパル エンジニアを務める Kelly Shortridge 氏と語り合います。ポッドキャストを聴くにはこちらから。

• アラート: セキュリティのための詳細な SRE レッスン: SRE とセキュリティは、アラートに関して共通の問題を抱えています。特に、そのノイズを低減することに抵抗があります。Anton と Tim が、この SRE とセキュリティに共通する問題や、この問題に対するそれぞれの側の解決策がどのように異なるかについて、Google Cloud の Steve McGhee（信頼性アドボケイト）および Aron Eidelman（デベロッパーリレーションズ エンジニア）と語り合います。ポッドキャストを聴くにはこちらから。

• 脅威の傾向: MOVEit へのセキュリティ侵害が意味すること: Mandiant Consulting の CTO である Charles Carmakal が、ホストの Luke McNamara 氏とともに、FIN11 による MOVEit ファイル転送ソリューションへのセキュリティ侵害のロングテール効果について語ります。ポッドキャストを聴くにはこちらから。