Cloud CISO の視点: 2023 年 5 月上旬

※この投稿は米国時間 2023 年 5 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

2023 年 5 月最初の投稿となる Cloud CISO の視点へようこそ。今月は、CISO オフィスのディレクターである MK Palmore をゲスト著者に迎えます。MK は、新しい Google Cybersecurity Certificate と、それが組織におけるセキュリティ関連の人材不足の解消にどのように役立つかについて説明します。

MK にマイクを渡す前に、先月の RSA Conference で私たちのパネル、プレゼンテーション、基調講演に参加し、私たちのブースを訪れてくれたすべての人に感謝したいと思います。旧友に会い新しい友達を作れたこと、また Security AI Workbench の発表と AI がどのようにセキュリティを改善できるかについての計画をお知らせできたことを嬉しく思っています。

イベントに関していえば、Google Cloud の年次セキュリティ サミットが来月 6 月 13 日～14 日に開催されます。今年は、お客様のビジネス、顧客、クラウド変革を保護することを目的に、Google Cloud や Mandiant、Google のパートナーの最新テクノロジーと戦略を探ります。こちらで 2 つのタイムゾーンからお好きな方を選んでブロードキャストをご登録ください。皆様のご参加をお待ちしています。

新しい Google Cybersecurity Certificate はセキュリティ関連の人材不足をどのように緩和できるのか

Google Cloud、CISO オフィス、ディレクター、MK Palmore

デジタル アセットと重要なインフラストラクチャのセキュリティ確保は、かつてないほど肝要になっています。セキュリティ業界は、進化する複雑な脅威ランドスケープに直面していますが、克服すべき最大の課題の一つは人材不足です。

サイバーセキュリティは企業リスクの最大の懸念事項とされていますが、現在私たちは、深刻な人材不足に直面しています。セキュリティ業界の非営利団体である ISC2 が発表した調査結果によれば、サイバーセキュリティに従事する人は全世界において過去 1 年間で 46 万 4 千人増えたものの、全世界では未だに 340 万を超える人材が不足しています。

Google のチームは、サイバーセキュリティ教育がより利用しやすくなるように舞台裏で尽力してきました。ここで Google の新しい Cybersecurity Certificate を詳しくご紹介します。これは、業界をリードする Google のサイバーセキュリティに関する専門知識と、需要の高い仕事に就く人材を訓練する Google の実証済みのアプローチを組み合わせたものです。

Google のサイバーセキュリティ専門家が作成・指導したこの厳格なプログラムでは、サイバーセキュリティ アナリストや情報セキュリティ アナリストなど、サイバーセキュリティの初級レベルの仕事に必要な需要の高いスキルを身につけることができます。Cybersecurity Certificate には事前の経験や学位は必要ありません。自分のペースで進められ、完全にオンラインで実施でき、パートタイムの学習でも 6 か月未満で完了できます。

このプログラムでは、一般的なリスク、脅威、脆弱性を特定する方法と、それらを軽減するテクニックを学ぶことができます。受講者は、セキュリティ監査の実施からセキュリティ タスクの自動化まで、実践的な経験を積むことができます。その中で Python、Linux、SQL、セキュリティ情報イベント管理（SIEM）ツールも使用します。

Google Cybersecurity Certificate は、サイバーセキュリティ関連の職務に関する業界をリードする認定資格である CompTIA Security+ 試験への準備に役立ちます。受講者は両方を完了すると、ダブルの認定資格を取得できます。

また、ヒスパニック系、黒人、女性が少ないサイバーセキュリティ業界の多様性を改善する絶好の機会でもあります。昨年のプログラム卒業生を対象としたアンケートの回答によると、Google Career Certificate の卒業生の 55% がアジア人、黒人、またはラテン系を自認しています。

Google Cybersecurity Certificate の卒業生は、Google Career Certificate の卒業生の雇用を真剣に検討している 150 社以上の雇用主とつながる機会が得られます。米国のプログラム卒業生を対象とした 2022 年の調査で、75% が、Career Certificate 修了から 6 か月以内にキャリアパスにプラスの結果が得られたと報告していることがわかりました。

Cybersecurity Certificate には 2 重の長所があります。第一に、雇用主は高いスキルを持った多様な人材を抱えるパイプラインから採用することで人材不足を解消でき、現在の従業員の再訓練やスキルアップにも役立てられます。第二に、サイバーセキュリティを担当したいと考えている人は、この急成長する分野でキャリアを始めるのに必要なスキルを学んで身につけることができます。

Google では、専門知識を共有し、進化し続けるサイバーリスクに対応できる力を社会に与えながら、サイバーセキュリティの最先端技術の進歩に継続的に取り組むことで、人や組織、行政機関の保護にこれまで以上に注力しています。しかしこれを Google だけでは実現できないこともわかっています。

この分野への道を広げることで、人材プールの規模が拡大し、その中のバックグラウンドやスキルセットの範囲も広がります。進化し続ける脅威ランドスケープに対抗するには、サイバーセキュリティにより高度なスキルを持った人材と多様性が必要です。どうぞ皆様ご周知ください。プログラムの卒業生の雇用や従業員の再教育を検討している組織のお客様は、Google Career Certificates Employer Consortium にぜひご参加ください。

サイバーセキュリティの人材の変革は一夜にして起こるものではありません。しかし、国家（および世界）の安全保障の優先事項として、行政機関や業界を含む私たち全員が自らの役割を果たさなければなりません。Google では、重点的に投資することで、すべての人にとってより安全な世界を構築できる知識を持った、より強固で公平なサイバーセキュリティ人材を生み出すことができると考えています。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• Google Cloud Next の準備が始まる: Google Cloud Next ‘23 の早期割引登録が開始されました。今年の Next は、ジェネレーティブ AI の誕生やサイバーセキュリティのブレークスルーなどのエキサイティングな出来事が続く時期に開催されます。クラウド業界で働くのにこれ以上良いタイミングはありません。今すぐご登録ください。

• 進化する脅威により適切に対応できるよう、取締役会やリーダーへのサポートを強化する: Google Cloud の Mandiant の CEO、Kevin Mandia が、RSA Conference で、外部からの圧力が現在のサイバーセキュリティ状況をどのように形成しているかについて説明しました。詳細はこちら。

• Unity、Orca Security、Google Cloud による IT セキュリティの革新: Orca と Google Cloud のパートナーシップにより、Unity がどのように IT 環境全体で最適な可視性を維持し、信頼性、安全性、動的なパフォーマンスを向上させるのかをご覧ください。詳細はこちら。

• Broadcom、政府機関のお客様のコンプライアンス確保を簡素化: Broadcom は Assured Workloads を使用して連邦政府機関がコンプライアンス義務を容易に果たせるようにしています。その方法をご紹介します。

Google Cloud のセキュリティに関するヒント、アドバイスと最新情報

• Google Kubernetes Engine にセキュリティ パッチを適用する際の課題を解決する方法: 2021 年から 2022 年にかけて収集されたデータを確認したところ、Google Kubernetes Engine（GKE）のお客様でクラスタへのセキュリティ パッチの適用が遅れる場合のあることが判明しました。オペレーションを中断せずにパッチを適用する方法に関するヒントをいくつか紹介します。詳細はこちら。

• 安全な企業向けブラウジング: Chrome に高度な DLP と拡張機能の保護を追加: 新しい機能拡張により、組織はウェブ上で作業する際に、データとユーザーを保護できるようになります。Chrome Enterprise で、データ損失防止（DLP）、セキュリティの分析情報と可視性、拡張機能のセキュリティが利用できるようになりました。詳細はこちら。

• ChromeOS のデータ管理と新しいセキュリティ統合機能でビジネスデータを保護: 新しく拡張された一連の組み込み機能は、新しい Chrome ブラウザ拡張機能管理を基盤として、企業がデータとユーザーを保護できるようにします。詳細はこちら。

• Chrome ブラウザ クラウド管理の利用価値を高める方法: Chrome ブラウザ クラウド管理を使用すると、企業の Chrome ブラウザ全体でユーザー エクスペリエンスを合理化でき、企業セキュリティのレベルも上がります。その方法をご紹介します。

• Cloud Data Loss Prevention の Sensitive Data Intelligence を Security Command Center から利用可能に: Cloud DLP の機密データ検出サービスを Security Command Center と統合して、セキュリティ チームが組織にとって重要な脅威を特定し、迅速に対処できるようにしました。詳細はこちら。

• 新しいアセットクエリで Security Command Center のアセット インベントリ管理を簡素化: 拡大する環境を保護するには、クラウド アセットの検出、モニタリング、保護を支援するツールが必要です。そこで、Security Command Center（SCC）に、新しいアセットクエリ機能を追加しました。この機能により、IT チームとセキュリティ チームは、大規模で複雑な環境でアセットを簡単に識別できます。詳細はこちら。

• Google Cloud モバイルアプリで IAM 権限を管理する: Google Cloud モバイルアプリの強化された権限管理機能の提供を開始しました。この新しい機能を使用すれば、組織のすべてのロールを簡単に表示、割り当て、検索できるようになります。詳細はこちら。

• サイバー攻撃者を排除する新たな機能、組織内アクセス制限のご紹介: 新たに一般提供が開始された Google Cloud セキュリティ管理機能、組織内アクセス制限を利用すると、管理者は明確に承認されている Google Cloud 組織内のリソースとデータのみにユーザーのアクセスを制限できます。詳細はこちら。

• マルチクラウド アプリケーションへのゼロトラスト アクセスの拡張: 管理者が Google Cloud の外部でホストされているアプリケーションの接続と構成を行えるようにするために、BeyondCorp Enterprise オンボーディングを拡張しました。これには、ウェブ アプリケーションを追加し、ロードバランサとバックエンド サービスを自動プロビジョニングするための、新しいワークフローが含まれています。詳細はこちら。

• Cloud Run 上のプライベート ワークロードでユーザーを承認する 3 つの新しい方法: Cloud Run で社内用アプリを構築するのが非常に簡単になります。ここでは、3 つの一般的な設計パターンと、Cloud Run がそれらの実装にどのように役立つかを紹介します。詳細はこちら。

Google Cloud Security Podcast

2021 年 2 月に、Cloud Security にフォーカスした週に一度のポッドキャストを開始しました。このポッドキャストでは、ホストの Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界が昨今直面している特に重要で難しいトピックについて話し合います。今月前半に取り上げたトピックは次のとおりです。

• Confidential Space で起こったことは Confidential Space にとどまる: Confidential Computing とは何でしょうか。Confidential Space が加わることがなぜ重要なのでしょうか。Google Cloud の Nelly Porter と Rene Kolga が、Confidential Space と呼ばれる新しい Confidential Computing ツールについて語ります。ポッドキャストを聴くにはこちらから。

• 安全なプロダクトの構築と安全なクラウドの間で適切なバランスを見つける: Google では、Google Cloud の安全性を高めることに重点を置いていますが、セキュリティ プロダクトの販売にも重点を置いています。Google Cloud Security のプロダクト担当バイス プレジデントである Jeff Reed に、サイバーセキュリティにおける彼の長いキャリアと、Google Cloud がこのバランスをどう取るのかについて話を聞きます。ポッドキャストを聴くにはこちらから。

• RSA 2023 を振り返る: 今年の注目点: プロダクトとビジネス戦略のシニアリードである Connie Fan とともに、展示会場に大きなブースを構えるスタートアップから、Google Cloud がコード生成と複雑なコンテンツの要約について重点的に論じた理由まで、今年の RSA カンファレンスを振り返ります。ポッドキャストを聴くにはこちらから。