Cloud CISO の視点: Reptar への Google の対応にみる経営層への教訓
Google Cloud Japan Team
※この投稿は米国時間 2024 年 2 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。
2024 年 1 月、2 回目の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。今回は、Yousif Hussin にマイクを渡します。Google の Vulnerability Coordination Center のメンバーとして、最近確認された Reptar という CPU の重大なゼロデイ脆弱性への対応を指揮した人です。この重大なゼロデイ脆弱性への Google の対応から、経営層がどのような重要な教訓を学びとれるかを語ってもらいます。
これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。
--Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables
重大なゼロデイ脆弱性への対応について、経営者として Reptar から何を学ぶか
サイバーセキュリティ エキスパート Yousif Hussin
セキュリティ脆弱性の研究は Google にとって本質的に重要な分野の一つですが、重大な脆弱性の処理や修正を実施する場面である、実効的な脆弱性対応へのコミットメントもきわめて重要です。それは、サービスと利用者を保護することを主眼としており、インターネットに接続される無数のデバイスの保護において不可欠な役割を果たします。
Alphabet に影響を及ぼす重大な脆弱性への対応を主導している Google の Vulnerability Coordination Center チームの一員として、Reptar への対応を指揮しました。Reptar は、最近確認された CPU についての複雑で重大な脆弱性です。すでに、Reptar への対応の詳細と概要の説明を発表しています。
Reptar への対応
Reptar は CPU のアーキテクチャ上の脆弱性で、Google のセキュリティ研究者が発見し、セキュリティ チームとして責任をもって Intel に報告しました。Intel を含む業界パートナーと連携して、この脆弱性の対策に成功し、これによって Google Cloud や ChromeOS デバイスなどの Google のサービスやプロダクトのセキュリティは保証されています。さらに Intel との協同で、脆弱性緩和策の情報を業界の主要企業と確実に共有し、そうした企業でも(Google の利用者にとどまらず)世界中のすべての利用者を保護するための対応を取れるようにしました。影響を受ける Google サービスの中で、Reptar によるリスクが最も高いのは Google Cloud でした。
重大な脆弱性への対応は、Google でのインシデント管理(IMAG)のフレームワークに沿って実施します。IMAG フレームワークは、消防や救急で使用されるインシデント コマンド システム(ICS)に基づいていて、指揮官(IC)を任命して対応チームの階層的な構造を確立し、指揮官の主導の下で対応活動に当たるチームメンバーの役割と責任を明確に定義する方法を示しています。一刻の猶予もない状況下では間違いはほとんど許されないので、IMAG フレームワークに従うことが、複雑な Reptar 対応を効果的に管理するうえで重要でした。これは、複雑な対応が迫られる重大な脆弱性であれば、どの場合でも同じです。
脆弱性に関する機密情報へのアクセスについて、厳密な管理を維持するため、業界パートナーと合わせて、協定開示禁止期間を設けました。この開示禁止期間中は、対応活動は厳格な必知事項の原則に則って管理されました。対応活動に関する情報の漏洩があれば、攻撃者が使用して Google のユーザーあるいは世界中の人を攻撃する可能性があるからです。
技術的能力は重要だが、それだけでは不足
Google は、脆弱性への対応に役立つ技術能力の向上に努めています。堅牢な技術を使用し、システム全般に脆弱性が及ぼしうる影響を多方面から評価できる厳しいテストを実施します。Google の技術的能力と優れたツールによって、システムの全域にわたる脆弱性に対する修復を莫大な規模で展開でき、ユーザー エクスペリエンスに影響を及ぼすことはありませんでした。
Reptar への対応では、確立していた連絡経路によって業界横断の共同作業が実現しました。この共同作業により、緩和戦略の開発と実行に全体で取り組むことが可能となり、Google、利用者、そして Google エコシステム外の全世界のテクノロジー ユーザーの保護が可能になりました。
しかし、組織内に脆弱性対応管理の適切なツールがあるだけでは不十分です。対応で成功を収めるためには、重大な脆弱性への対応用にカスタマイズされたインシデント対応の方法論の確立、確認、実行と、経営上位層のサポートが何よりも重要です。Reptar のような高優先度の脆弱性事例では、特にこれがあてはまります。
企業の経営者としては、パートナーを組むセキュリティ チーム間の内部連携を促進するべきです。対応チームが緩和プロセスを管理する間、場合によっては、脆弱性の悪用の可能性を示す活動があったときにいち早く特定するための適切なモニタリング メカニズムの実装が重要になります。
Reptar のようなプロジェクトでは、適切なインシデント管理とコミュニケーションが組織間の壁を超えて行われます。Intel のような鍵となる業界パートナーとは、起こり得る重大な脆弱性に備えて、前もって連絡手段を設定していました。
Reptar への対応では、確立していた連絡経路によって業界横断の共同作業が実現しました。この共同作業により、緩和戦略の開発と実行に全体で取り組むことが可能となり、Google、利用者、そして Google エコシステム外の全世界のテクノロジー ユーザーの保護が可能になりました。
重要ポイント
Reptar に対する Google の対応から、脆弱性への対応での良質なオーケストレーションのためには、実績のある反復可能な手順によるべきだとわかります。組織は、効果的でスケーラブルな技術を使用し、IMAG のような確立した方法論やフレームワークに則り、社内外の連携を確保し促進するための連絡系統を準備しておくことが求められます。
脆弱性対応チームの構築と指揮の方法には決まった 1 つの形はありませんが、有事への備えと確認、インターネットや情報技術を使用するユーザー全員を保護するという強い意志が、重大なゼロデイ脆弱性の緩和を高速かつ大規模に実施するためには必要です。お客様の組織で重大な脆弱性への対応計画についてご興味があれば、Google の CISO オフィスにお問い合わせください。
その他の最新情報
セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。
- IDC による調査: Chronicle Security Operations によって投資収益率が 407% 向上: IDC による調査で、Google Cloud の SecOps プラットフォームは 3 年間で 407% の ROI を実現し、7 か月未満で投資を回収できることがわかりました。詳細はこちら。
- リソース ガードレールの調整を高い信頼性で支援するカスタム組織ポリシーのお知らせ: カスタム組織ポリシーの一般提供を開始しました。組織のポリシーについての今回の拡張版によって、クラウドのガバナンス要件に対応するためのきめ細かなリソース ポリシーの作成が可能になります。詳細はこちら。
- Trust & Safety Research Awards の初の受賞者を決定: Trust & Safety Research Awards の受賞者を発表します。この賞は、技術を通じて社会に良い影響をもたらそうとする学術的な活動を支援するものです。詳細はこちら。
シャドー AI に焦点を当てる: リスクの高い AI の実践から守る方法: 消費者向けの AI をビジネスで使用するシャドー AI という新たなトレンドは、組織にリスクをもたらします。この記事では、エンタープライズ グレードの AI を利用すべき理由をご紹介します。詳細はこちら。
Mandiant からのニュース
- 中国のスパイ集団が 2 年間にわたって重大な脆弱性を悪用していたことが判明: Mandiant と VMware Product Security によって、UNC3886 という中国と結びつき高度な技術を備えたスパイ集団が、2023 年 10 月に公式に報告されパッチ対策された重大な脆弱性を、早ければ 2021 年後半から悪用していたことがわかりました。詳細はこちら。
- APT と疑われるグループが新たなゼロデイ悪用で Ivanti VPN を標的に: VPN プロバイダである Ivanti は、Mandiant と連携して、積極的に悪用されている Ivanti アプライアンスの 2 つの新しい脆弱性を緩和しています。世界中の 10,000 を超える導入組織のうち、数百もの組織が影響を受けたことが特定されました。Ivanti が提供する推奨緩和手順を組織で行っていただく必要があります。詳細はこちら。
Google Cloud セキュリティおよび Mandiant のポッドキャスト
- 新たな組み合わせ: SecOps とクラウドの出会いで起こること: Cloud Detection and Response(CDR)は、従来型のオンプレミスの検知と対応とはどのように異なるのでしょうか。Gartner から最近提案された新しい CIRA とは何でしょうか。Gem Security の共同創業者 / CEO である Arie Zilberstein 氏が、Cloud Security podcast のホスト Anton Chuvakin および Tim Peacock とともに、CDR や CIRA について、そしてこれらが SecOps において持つ意味について語ります。ポッドキャストを聴く。
- 環境寄生型の重要インフラストラクチャ攻撃: 最近発生した電力供給障害の事例では、ハッキングされたシステム内での既存のツールを使用したサイバー攻撃や、運用テクノロジーに対する攻撃が発生していました。Mandiant Intelligence のバイス プレジデントである Sandra Joyce 氏が、Anton と Tim とともに、この事件についてわかっていることや、クラウド セキュリティにどのように影響するかを説明します。ポッドキャストを聴く。
- DDoS を利用し続けるハクティビスト: 2024 年の最初の脅威トレンドのエピソードでは、ホストの Luke McNamara が Mandiant のシニア テクニカル ディレクターである Jose Nazario 氏、主席アナリストである Alden Wahlstrom 氏と Josh Palatucci 氏とともに、昨年追跡したハクティビストによる分散型サービス拒否攻撃について詳しく掘り下げます。ポッドキャストを聴く。
- 2023 年の最前線からの事例: Mandiant Consulting の地域リーダーである Doug Bienstock 氏と Josh Madelay 氏がホストの Luke とともに、2023 年の侵害への対応で目撃したトレンドをいくつか取り上げて説明します。Madelay 氏と Bienstock 氏が、ビジネスメール詐欺(BEC)、一般的な最初の感染経路、ソーシャル エンジニアリング戦術などの現状を取り上げます。ポッドキャストを聴く。
月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。
-Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables
-サイバーセキュリティ エキスパート Yousif Hussin
