Cloud CISO の視点: 最新の Threat Horizons レポートに基づくアドバイス
Google Cloud Japan Team
※この投稿は米国時間 2024 年 2 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。
2024 年 2 月最初の「Cloud CISO の視点」をお読みいただきありがとうございます。今回は、最新の Threat Horizons レポートについて紹介します。このレポートは、Google のセキュリティ専門家が最新の脅威に関する知見や具体的な推奨事項を織り交ぜながら、クラウド セキュリティに関する先進的な見解を示すものです。
これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。
-- Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables
最新の Threat Horizons レポート: 新たな脅威、具体的な推奨事項
Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables
Google Cloud が提供する最新の Threat Horizons レポート(2024 年上半期版)では、2023 年の総括として、オンプレミスやモバイル、運用テクノロジー、クラウドなど、IT 環境全般で脅威が増加したことが報告されました。一部のセクターでは潜在的な脆弱性が問題となっている一方で、クラウド プロバイダにとっては、基本的なセキュリティ対策の不足や構成ミスが主な悩みの種となっているなど、状況はさまざまです。レポートによると、こうした傾向が 2024 年も続くとみられており、組織は今後 1 年間で、直面する脅威の種類(および対策の仕方)について理解を深めることができると予想されます。
最新型の脅威への対策として Google がアドバイスしているのは、認証情報関連の問題に集中的に取り組みクラウド ファーストの機能(書き込み 1 回 / 読み取り専用のバックアップ、ロギング、保存データの暗号化など)を使用すること、多要素認証をまだ使用していない場合は導入すること、クラウド セキュリティのガバナンスを強化することです。
レポートによると、Google Cloud のお客様の事例で最も目立つのが、認証情報関連の見落としです。クラウド プラットフォームには、セキュリティはもちろん、不正行為の検出、リスク軽減のための仕組みが盛り込まれていますが、組織側でも、クラウド コンピューティングのリソースを監視して不審なアクティビティに注意する必要があります。
Google Cloud では認証情報の不正使用を深刻に受け止めており、2 要素認証や、安全なパスワード ポリシー、Identity and Access Management(IAM)ポリシー、クラウドの監査ログ、Security Command Center での脅威および脆弱性の一括表示など、さまざまなセキュリティ機能を提供してお客様およびその環境を保護しています。さらに、Mandiant Digital Threat Monitoring を通じて認証情報の流出監視サービスも提供を開始しました。
各種業界や組織においてクラウドへの移行が進むなかで、クラウドは格好のターゲットとなりつつあります。
レポートではさらに、クラウドを利用するお客様にとってデータ窃盗全般やランサムウェアが引き続き課題であるとしています。2023 年には、クラウド環境を狙う脅威アクターの主な手口が、データの暗号化や盗んだデータの公開から、データの引き出しへと移ってきています。これは、攻撃が金銭目的であることを示している可能性がありますが、「復号鍵と引き換えに身代金の支払いを要求するよりも、データ(またはデータへのアクセス権)を売買することによって利益を得ようとする動きが強まっている」とレポートでは述べています。
クラウド インスタンスを確実に保護するために、Google Cloud は、保存アセットの構成やテンプレートをテストすることを含めて、クラウド専用のバックアップ戦略を導入することを推奨しています。具体的には、Google Cloud の WORM(Write Once Read Many)や バケットロック機能などのテクノロジーを使ってポリシーに沿った変更不可のバックアップ ストレージを提供することや、マルチリージョン クラウドやバックアップ ミラーリングなどのレジリエンスの高いアーキテクチャを実装してデータ損失やアクセス不能のリスクを軽減することを提案しています。
セキュリティ ログには、ある程度の背景情報や履歴データが記録されていることが多く、脅威アクターの行動を可視化するために役立ちます。関連するログをエクスポートして、一元的なリポジトリにまとめて適切に管理することで、ネットワークやシステム上で脅威アクティビティを監視することが可能となります。
各種業界や組織においてクラウドへの移行が進むなかで、クラウドは格好のターゲットとなりつつあります。レポートでは、ここでご紹介したトピックの詳細をはじめとして、国家規模の脅威アクティビティや、ランサムウェア、セキュリティ パートナーシップの効果までを取り上げています。レポート全文はこちらからお読みください。過去の Threat Horizons レポートはこちらからお読みになれます。
その他の最新情報
セキュリティ チームから届いたアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。
- 生成 AI のガバナンス: AI プログラムをレベルアップするための 10 のヒント: 組織が AI ガバナンスの課題に対処するために役立つ 10 のベスト プラクティスをまとめました。AI 実装を効率化、運用化し、広い範囲で取り入れていくためにご活用ください。詳細はこちら。
- AI でセキュリティをスケーリングする - 検出からソリューションまで: Google Cloud では Google のセキュア AI フレームワーク(SAIF)に準拠しながら、セキュリティ関連の繰り返し作業や手作業(セキュリティ バグの修正など)の AI による自動化および効率化に取り組んでいます。昨年、LLM による脆弱性テストの対象範囲の拡張について投稿しましたが、この件について最新情報をお伝えします。詳細はこちら。
- 国連サイバー犯罪条約によってもたらされるウェブ セキュリティの危機: 今月初め、国連は国連サイバー犯罪条約に関する長年の議論を続行するため、加盟国を招集しました。Google はサイバー犯罪の脅威を深刻に受け止めており、その対策に甚大なリソースを投資しています。Google は加盟国に対して、市民団体の声に耳を傾け、サイバー犯罪条約に潜む重大な欠陥に対処し、文面を改訂してユーザーおよびセキュリティ業務担当者を守るように呼びかけています。詳細はこちら。
- Google Cloud の契約条項の更新により、DORA への準拠が容易に: Google Cloud は、お客様が EU DORA に準拠できるようサポートしています。DORA のサポートについての最新情報をお届けします。詳細はこちら。
- セキュリティをスケーリングするコツ: 2023 年、Google はコードを大幅にモダナイズし、改善しました。Google サービスの幅広いポートフォリオを考えると、これは並大抵のことではありません。Google では、この変更を行った具体的な方法や、それによってユーザーにセキュリティ面でどのようなメリットがもたらされたのか、そして、このような変更に興味をもつ組織が同じような戦略を取り入れるにはどうすればよいのか、といった情報を共有することが重要だと考えています。詳細はこちら。
- Policy Analyzer の導入: このたび、組織ポリシーやカスタム組織ポリシーの Policy Analyzer の一般提供を開始することになりました。これにより、どのリソースがどの組織ポリシーの制約によって管理されているのかを確認でき、セキュリティ対策を把握、強化したり、認証や監査の要件を満たしたりすることが容易になります。詳細はこちら。
- Synthesized が生成 AI を活用して BigQuery データセット スナップショットのコンプライアンスを徹底: Synthesized が生成 AI を活用して、プライバシーを保護しながら BigQuery データセットのスナップショットを作成している方法を紹介します。詳細はこちら。
Mandiant からのニュース
- Ivanti Connect Secure VPN に対するゼロデイ攻撃に関する最新調査: VPN プロバイダの Ivanti に影響を及ぼした 2 つのゼロデイに関する最初のブログに続き、UNC5221 および他の脅威グループが Ivanti のお客様に対して使った戦術、技術、手順について続報をお伝えします。また、UNC5221 が使用した新たなマルウェア ファミリーや、すでに特定済みのマルウェア ファミリーの亜種についても詳しく解説します。詳細はこちら。
- USB マルウェアの知られざる深層を明らかにする: Mandiant Managed Defense は、初期感染に主に USB デバイスを使う脅威アクター、UNC4990 を追跡しています。少なくとも 2020 年から活動しているこのグループは、主にイタリアのユーザーをターゲットとしており、金銭目的である可能性が高いと見られています。詳細はこちら。
- Mandiant の認証情報流出監視サービスのご紹介: Mandiant Digital Threat Monitoring に、ディープウェブやダークウェブへの認証情報流出を監視する機能が加わりました。Mandiant の漏洩認証情報データ内から従業員のアカウント情報が見つかった場合、自動的にアラートが送信されます。詳細はこちら。
- capa の動的分析: 実行プログラムのランタイム動作を CAPE サンドボックスで調べる: capa v7.0 では、これまでの静的な分析機能が拡張され、CAPE サンドボックスで生成した動的な分析レポートからプログラムの機能を特定できるようになりました。詳細はこちら。
Google Cloud セキュリティおよび Mandiant のポッドキャスト
- クラウド ゴーストバスターズ: クラウド フォレンジックを誰に依頼するか: サイバーセキュリティのフォレンジックは、クラウドではどのように行われるのでしょうか。Google のセキュリティ エンジニアである Jason Solomon が、Cloud Security Podcast 司会者の Anton Chuvakin と Tim Peacock を相手に、クラウド環境で不審な兆候が見られたときの対処手順について語ります。ポッドキャストを聴く。
- 最新の脅威に対抗する Google Workspace のセキュリティの仕組みについて学ぶ: Workspace は、他の生産性向上スイートと異なり、脅威の最新動向を想定した作りになっているのが特徴です。Google がそのように主張する根拠はどこにあるのでしょうか?エンジニアリング マネージャーの Emre Kanlikilicer と Sophia Gu が、Anton と Tim を相手に、Google Workspace が他と一線を画している点についてセキュリティの観点から語ります。ポッドキャストを聴く。
- サイバーセキュリティの健全な未来に向けた処方箋: 残念ながら、2023 年は医療およびライフ サイエンス分野におけるサイバーセキュリティ インシデントの当たり年でした。Google Cloud の CISO オフィスでディレクターを務める Taylor Lehmann と、セキュリティ アーキテクトの Bill Reid が、司会の Luke McNamara を相手に、医療やライフ サイエンス界の企業で昨年見つかった脅威アクティビティから得た教訓について語ります。ポッドキャストを聴く。
- CTI ライフサイクルはアップデートの時期にきているのか: Mandiant のインテリジェンス アドバイザーである Renze Jongman が Luke を相手に、CTI プロセス ハイパーループに関する自身のブログ投稿を取り上げながら、脅威インテリジェンスをセキュリティ組織や大規模企業のニーズに合わせて的確に応用する方法について語ります。ポッドキャストを聴く。
月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。
ー Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables
