Cloud CISO の視点: 2023 年 2 月
Google Cloud Japan Team
※この投稿は米国時間 2023 年 3 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。
2 月の「Cloud CISO の視点」をご覧いただきありがとうございます。今月は、私たちの業界にとって現在最も重要な課題である、ソフトウェア サプライ チェーンの保護を取り上げます。Google Cloud は、複数の異なる対策を重ねることでソフトウェア サプライ チェーンの安全性確保に多大な投資をしてきました。本コラムで詳しくご説明します。
その前にまず、ロシアがウクライナに侵攻してから 1 年が経過したことに触れておきたいと思います。現地の人々の命や生活が甚大な被害を受けたことに加え、世界紛争においてサイバー攻撃が顕著な役割を果たした初めての事態となりました。侵攻前の 8 年間に行われたサイバー攻撃の合算よりも多くのサイバー攻撃が、1 月から 4 月の間にウクライナに対して行われました。
詳しくは、Google の Threat Analysis Group(TAG)と Mandiant による新しいレポート「Fog of War(戦場の霧)」でご説明しています。これは Munich Cyber Security Conference においても主要な議題でした。この会議では、政策立案者、ビジネス リーダー、テクノロジーの専門家が、サイバー防御の復元力を高めるために、革新的テクノロジーに何ができるのかを話し合いました。Google は引き続き、ウクライナ政府に援助を提供し、セキュリティ イベントの発生前、発生時、発生後の組織の対応を支援します。
他の「Cloud CISO の視点」と同様に、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このブログをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。
SBOM + SLSA = より安全なソフトウェア
現在のソフトウェアはますます複雑化し、ビジネスで果たす役割の重要性がかつてなく高まっています。それに伴い、ソフトウェア サプライ チェーンの安全性確保の重要性も増しています。Google は、サイバーセキュリティの向上に 100 億ドルを支出し、全世界の公共インフラストラクチャや公共施設に不可欠な重要なオープンソース コンポーネントの保護に取り組んでいます。SolarWinds や Log4j といった重大なセキュリティ インシデントを例示することで、ソフトウェア サプライ チェーンの安全性確保の重要性をビジネス リーダーや行政機関に納得いただくことはできましたが、やるべきことはまだ山積みです。
重要なソフトウェアの安全性確保は、防御者にとっての最優先事項です。Google も組織によるこの取り組みを積極的に支援しています。Google Cloud は、ソフトウェア部品構成表(SBOM)をオープンソースのソフトウェア アーティファクトのためのサプライ チェーンレベル(SLSA)フレームワークと併用することで、より安全で復元力の高いソフトウェア サプライ チェーン エコシステムを構築できると確信しています。
SBOM は、ソフトウェアの構成要素、およびアップデートする必要がある公開済みの脆弱性がないかどうかを示します。これらは重要ですが、サプライ チェーンが不正利用されるリスクは残ります。SBOM では、ソフトウェアがセキュリティと完全性を考えて作成されているかはわからないからです。
SolarWinds のケースでは、SBOM があっても攻撃を阻止できず、データ漏洩を早期に検出することもできませんでした。攻撃ベクトルは、ソフトウェアのビルドシステムに不正アクセスして植え付けられた、悪意のあるソフトウェアを利用していたからです。ソフトウェアが信頼できるかを知るには、そのソフトウェアを作成した組織がどのように管理されているかも理解しなければなりません。
10 年近くかけて開発された SLSA フレームワークを利用すれば、ソフトウェア サプライ チェーンのリスクを隅々まで分析できます。また、監査可能なメタデータを自動的に作成する、段階的かつ強制力のある一連のセキュリティ ガイドラインが作成されます。これは、消費者が使用しているソフトウェアが改ざんされていないことを保証する検証可能な方法です。
組織は、ソフトウェアを構成する部品を把握し、ソフトウェアのビルド方法における完全性を評価するスキルをもつ必要があります。SBOM と SLSA を併用すれば、この対応に必要なフレームワークが手に入ります。パブリック クラウド プロバイダが自社のソフトウェア サプライ チェーンに SBOM と SLSA を取り入れれば、セキュリティが強化され、顧客は何もしなくてもその恩恵を享受できます。
Google は、組織がソフトウェア開発過程でこのフレームワークを利用できるようにするプロダクトの開発にも取り組んでいます。2022 年 10 月の Google Cloud Next で発表されたソフトウェア デリバリー シールド ソリューションは、フルマネージドのソフトウェア サプライ チェーン向けセキュリティ ソリューションです。機能はモジュール型で提供され、デベロッパー、DevOps、セキュリティの各チームがこのソリューションを利用して、安全なアプリケーションを構築できます。ソフトウェア開発に関する成熟度を問わず、あらゆる組織のニーズとセキュリティの優先事項に合わせて活用できるソリューションです。
Assured Open Source Software(Assured OSS)サービスもご利用いただけます。開発チームはこのサービスによって、Google が使用しているのと同じ OSS パッケージを自社の開発者ワークフローに取り入れることができます。Assured OSS サービスによってキュレーションされたソフトウェアに対しては、Google が定期的に脆弱性をスキャンし、アップデートしてテストし、検証可能な形で署名します。さらに、このソフトウェアは SLSA に準拠します。
筆者は以前から、Google Cloud がセキュリティに対する運命共同体的なアプローチの重要性を確信しているとお伝えしています。ユーザーとの間でセキュリティの責任の所在を明らかにしておくことは大切ですが、ソフトウェア サプライ チェーンの安全性確保といった、業界全体の問題に取り組むこともまた大切です。ソフトウェア開発者とセキュリティ リーダーが協力すれば、サイバー攻撃に対する復元力の高いソフトウェアを開発して、テクノロジーに対する全幅の信頼を築き続けることができます。
その他の最新情報
セキュリティ チームからの今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。
3 月 22 日は四半期ごとの Security Talks にぜひご参加ください: 四半期ごとにオンラインで開催される Google Cloud Security Talks では、Google のサイバーセキュリティのリーダーと実務担当者が最新のセキュリティ プロダクト、トレンド、イノベーションを詳しくご紹介します。今年の最初のセッションでは、セキュリティ運用のモダナイズやクラウド トランスフォーメーションを進める過程でセキュリティを組み込むといったトピックに関する短いディスカッションに加え、Mandiant リサーチチームが最新の脅威インテリジェンスのトレンドを詳しく説明します。今すぐご登録ください。
セキュリティに関する重要点(ロシアのウクライナに対するサイバー攻撃に関する Google のレポートから): Google の新しいレポートが示すように、組織はロシアがウクライナに対して行っているような攻撃のリスクにさらされています。経営幹部がこのような脅威を理解していれば、企業のリスクを軽減する対策を講じることができます。詳細はこちら。
セキュリティ リーダーのサバイバル ガイド: チームが正しい道を進んでいることを確認するには: デジタル トランスフォーメーションを正しく進めるのは簡単ではありません。データの互換性、データ主権、復元力、セキュリティに関する懸念や要件のすべてが重要だからです。このシリーズの 3 番目のブログ投稿では、金融サービスのセキュリティ リーダー向けにクラウド セキュリティに関するアドバイスをご提供します。詳細はこちら。
Health-ISAC と Google Cloud が提携し、より復元力のあるヘルスケアの構築を目指す: Google Cloud のセキュリティ エンジニアは、Health-ISAC の Threat Operations Center と協力して、Health-ISAC Indicator Threat Sharing(HITS)フィードを Google Cloud の Chronicle Security Operations 情報およびイベント管理に直接接続しました。HITS は、Health-ISAC のメンバーが、マシンツーマシンの自動化によって簡単につながり、脅威インテリジェンスを迅速に共有できるようにします。詳細はこちら。
黒人歴史月間: Google Cloud を利用した黒人創業者の成功を祝して: F8th: サイバーセキュリティのスタートアップ F8th の共同創設者で最高法務責任者である Vivene Salmon Gagné 氏が、F8th がどのように Google Cloud を活用して会社を成長させ、行動的生体認証アルゴリズムを開発したかを語ります。詳細はこちら。
Google Cloud が Catena-X に参加し、自動車メーカーによるデータ主権エコシステムの構築を支援: Google Cloud は Catena-X Automotive Network Association に、安全な主権データ マネジメント、データ分析、高度な AI テクノロジーのクラウド ファーストなインテグレーション、オープンソースへの取り組みをもたらし、共有サービス エコシステムの作成を支援しました。詳細はこちら。
Broadcom、Google Cloud Armor を使用して DDoS 攻撃をブロック: Broadcom はエンタープライズ セキュリティ ソリューション インフラストラクチャをアマゾン ウェブ サービス(AWS)から Google Cloud に移行するにあたって、環境のネットワーク セキュリティ インフラストラクチャの保護を最優先としていました。DDoS 攻撃に対する Broadcom の防御に Google Cloud がどのように役立ったかを紹介します。詳細はこちら。
今すぐソフトウェア サプライ チェーンを保護するための 3 つのステップ: Google Cloud の新しいレポートでは、ソフトウェア サプライ チェーンに対する最近の重大な攻撃を分析し、ソフトウェア サプライ チェーンの保護を強化するために組織で実施できる 3 つの対策を提案しています。詳細はこちら。
2023 年の全世界におけるデータと AI のトレンドトップ 5: グローバル組織は、構造化データと非構造化データを検出、分類、管理する方法を改善することで、お客様からの信頼を高め、生産性を向上させています。Google の 2023 年のデータと AI のトレンドに関するレポートは、セキュリティ リーダーとセキュリティ チームを対象に、データを理解することが組織にとってなぜ重要なのかを詳しく説明しています。詳細はこちら。
Google Cloud のセキュリティに関するヒント、アドバイスと最新情報
Mandiant、Google Cloud 向けの Attack Surface Management のサポート提供を開始: 攻撃者には自社ネットワークはどのように見えているのでしょうか?Mandiant の Google Cloud 向け Attack Surface Management で攻撃者の視点を理解できます。また、クラウドでホストされている外部アセットを一元的に可視化できるようになります。詳細はこちら。
コンピューティング最適化 C2D VM における Confidential GKE Node の提供開始: Google Kubernetes Engine をご利用の組織は、GKE クラスタやノードプールのセキュリティを強化できます。たとえば、プロセッサで生成、管理される専用のキーを使用して、データを暗号化した状態でメモリに保持できます。詳細はこちら。
Kubernetes クラスタを強化し、ワークロードのコンプライアンスを大規模にモニタリングする: Google Cloud の Policy Controller で、新規アプリケーションと既存アプリケーションの PCI DSS に対するコンプライアンスを評価できます。また、完全にプログラム可能なポリシーをクラスタに対して適用できます。詳細はこちら。
Google Cloud ファイアウォールに新機能を導入: Google 独自の完全分散型アーキテクチャを利用したファイアウォールは、スケーラブルで、高度な保護機能を備えた組み込みサービスです。クラウド ワークロードのセキュリティ体制を強化および簡略化し、ゼロトラストのネットワーキングを導入します。ご利用方法についてはこちらをご覧ください。
Cloud SQL for PostgreSQL または MySQL を認証フローに組み込むには: 複雑なアプリケーション、特に認証スキームの異なる複数のレイヤを持つアプリケーションを強化するのは簡単ではありません。Google の新しい組み込み型 IAM 認証機能を利用すれば、アプリケーションに対するエンドツーエンドの認証を活用しながら、堅牢な監査機能も適用できます。詳細はこちら。
最小権限の原則に従って Cloud Run のデプロイを保護するには: デベロッパーは Cloud Run を使用して、Google Cloud 上で稼働しているサーバーレス環境に本番環境のウェブアプリと API を迅速にデプロイできます。インバウンドとアウトバウンドのシナリオに最小権限の原則を適用して Cloud Run のセキュリティを向上させる方法を紹介します。詳細はこちら。
Anthos を使用してプラットフォームとアプリのガバナンスとセキュリティを向上させるには: Anthos は Google の安全なコンテナ アプリケーション プラットフォームで、オンプレミスとクラウドの両方で動作します。Google Cloud の集中コントロール プレーンに接続され、統合性が高く、運用化が容易なセキュリティ機能を備えています。Anthos を使用することで、分散されたプラットフォームとアプリケーションすべてにセキュリティ ポリシーを適用できます。詳細はこちら。
Document AI Workbench で本番環境ユースケースのドキュメント抽出モデルをトレーニングする: セキュリティにおける AI の活用法は、異常値やマルウェアの検出のみではありません。ワークフローと生産性を大きく向上させることができます。詳細はこちら。
コンプライアンスと管理
Google Cloud の NIS2 への対応と欧州のサイバー エコシステムの強化への貢献: オンライン データの盗難の脅威と闘うために、EU はネットワークと情報システムのセキュリティに関する指令 2.0(NIS2)を可決しました。これは、重要な業界で事業を行う企業に対する新たなセキュリティ要件を定めたものです。Google Cloud は、クラウド プラットフォームとセキュリティ ツールを最高水準のコンプライアンスに対応させるよう取り組みを進めています。詳細はこちら。
カナダのデータ セキュリティ要件に沿った Google Workspace セキュリティ ガイダンスを公開: カナダの政府機関がカナダ政府のコンプライアンス基準を遵守しながら Google Workspace ツールを導入できるように、新たなセキュリティ ガイダンスを公開しました。詳細はこちら。
Google Cloud Security Podcast
2021 年 2 月に、Cloud Security にフォーカスした週に一度のポッドキャストを開始しました。ホストの Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界が今日直面している特に重要で難しいトピックについて話し合います。今月に取り上げたトピックは、次のとおりです。
Google は脆弱性をどのように管理しているか: Google 独自の脆弱性の優先順位付け、影響評価、脆弱性管理プロセスと、これらのプロセスで測定される重要な指標について、Vulnerability Coordination Center のヨーロッパの責任者である Ana Oprea がご説明します。視聴はこちらから。
クラウドでのハンティング: 身をもって学んだ脅威ハンティングの教訓: オンラインでの脅威ハンティングとはどういうものか、また、脅威検出の専門家が脅威ハンターから何を学べるかなど、この誤解を受けやすい世界を Google Cloud の主席セキュリティ戦略担当者である John Stoner と一緒に詳しく探ります。視聴はこちらから。
Google Cloud は使用される大量のリソースをどのように保護しているか: 「セキュリティ チームよ、汝の身の安全を確保せよ」。Google Cloud は、さまざまな方法で使用される大量の自社リソースをどのように保護しているのでしょうか。エンタープライズ インフラストラクチャ保護担当のセキュリティ エンジニアリング マネージャー、Karan Dwivedi が、Google Cloud がお客様や自社のリソースを保護するために、何をどのように行っているかを説明します。視聴はこちらから。
高速検出、非常に複雑な対応: Tim と Anton が最良の検出について大いに語る: 完全にカスタムメイドの自社製ソリューションか、スケーラブルな市販ソリューションか。Robinhood の検出および対応の責任者である David Seidman 氏がこの論争に終止符を打ちます。その他にも、検出スキルとクラウドスキルのどちらがより重要か、チームを構築する際に重視すべき、最も効果的なことは何か、クラウドで検出するテレメトリー データソースの中でお気に入りはどれか、などについても語ります。視聴はこちらから。
「Cloud CISO の視点」を毎月メールで受信するには、ニュースレターに登録してください。来月も引き続きセキュリティ関連の最新情報をお届けします。