Cloud CISO の視点: 安全な構築を支援する Google Cloud セキュリティ チームの取り組み

※この投稿は米国時間 2025 年 5 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

2025 年 5 月最初の「Cloud CISO の視点」をお読みいただきありがとうございます。今回は、セキュリティ エンジニアリング担当シニア ディレクターを務める Iain Mulholland が、セキュリティ エンジニアリングに対する Google Cloud のアプローチについて、また安全性を重視して設計するという考え方を、実際の開発にどう反映しているかについて、説明します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

エンジニアによる安全な構築を支援する Google Cloud のセキュリティ チームの取り組み

セキュリティ エンジニアリング担当シニア ディレクター、Iain Mulholland

Phil Venables と Andy Wen が昨年指摘したように、あまりにも多くの組織が依然としてデスクトップ時代に設計された防御機能を利用しています。最新のセキュリティ ツールに投資をするようビジネス リーダーを説得できているにもかかわらずです。

「昨今のセキュリティ環境において真のレジリエンスを実現するためには、組織が IT の全面的な見直しを検討するとともに、セキュリティ戦略を再考することで、さまざまな脆弱性と攻撃ベクトルを無効化する最新かつ安全性を重視した設計のアーキテクチャを備えたソリューションに対応する必要があります」と 2 人は述べています。

このセキュリティの基本理念を実現するため、Google はこれをチーム構築の指針としました。クラウド セキュリティ エンジニアはプロダクト チームの一員として、組織全体の「シフトレフト」を支援し、エンジニアリングを中心に据えたアプローチでセキュリティに対応します。CISO セキュリティ エンジニアリング チームは、ソフトウェア開発ライフサイクル（SDLC）のすべての段階でプロダクト チームのソフトウェア エンジニアと連携し、安全なソフトウェアをお客様に届ける方法を追求しています。それと同時に、プロダクトのリリース速度を維持し、安全性を重視した設計の原則に準拠しています。

このアプローチを実践した例として脅威モデルがあります。セキュリティ エンジニアとソフトウェア開発チームが緊密に連携して、プロダクトに対する潜在的な脅威を分析し、リスク軽減につながるアクションとプロダクトの機能を特定しました。この作業を設計時に行うことにより、チームは SDLC の初期段階でこのような脅威を排除でき、プロダクトが安全性を重視した設計となるよう徹底できました。

セキュリティ基盤としてエンジニアリングを活用することで、機能を幅広くかつ深く、さらに機能間の関係性を明確にしたうえで構築できるため、そのような機能の全体の力はそれぞれを単に合計したもの以上となります。

このアプローチの効果を示した例として脅威からの保護があります。Google は、さまざまなクラウドの脅威の状況をアウトバウンド ネットワーク攻撃（DDoS、アウトバウンドの侵入の試み、脆弱性スキャンなど）、リソースの不正使用（暗号通貨のマイニング、違法な動画ストリーミング、bot など）、コンテンツベースの脅威（フィッシングやマルウェアなど）という 3 つの領域に分類しています。

そのような状況において、通常脅威アクターは類似の手法を使用して、類似の脆弱性を不正に利用します。このような手法に対抗するため、チームは Google Cloud サービスのリスクがお客様にとって問題となる前に、リスクを防止、検出、軽減するインテリジェンスを生成します。

脅威についても「シフトレフト」を実践しています。このシステミック リスクの特定はソフトウェアやプロダクト開発のライフサイクルに組み込まれています。脅威ベクトルを特定後、セキュリティ エンジニアとプロダクト エンジニアが緊密に連携して、プロダクトの防御を強化し、攻撃の足掛かりができる前に排除します。

Google は AI、高度なデータ サイエンス、分析ソリューションを使って、Google Cloud とお客様を今後発生しうる脅威から守っています。特に、将来のユーザーの行動の予測、リスクの高いセキュリティ パターンの事前の特定、脅威とセキュリティ運用の効率性と測定可能性の向上という 3 つの重要な機能に重点を置いています。

攻撃者よりも先に攻撃パスを見つけ、お客様にプロダクトとサービスの提供を開始する前にその脆弱性を特定して、未知のセキュリティ リスクを軽減することは、Google のミッションにおいて不可欠です。リスクのシミュレーションに加えて、Google は研究者にクラウド全体を攻撃対象領域として捉えるよう促しています。こうした視点で研究者が新たな方法で脆弱性のつながりを見つけることにより、セキュリティ アーキテクチャ全体を改善しています。

脅威への対応は、エンジニアリング環境においてさまざまな関係者と連携する上で重要となる 3 つ目の要素です。Google のセキュリティ対応では、外部関係者から寄せられた修復戦略を評価して実装しています。また、頻繁に業界全体による包括的な対応にも貢献しています。Google Cloud の脆弱性報奨金プログラムと定期的にコラボレーションすることが、この分野における Google の大きな成功要因となっています。

このような分野はすべて非常に複雑ですが、やるべきことの指針となる理念はシンプルです。それはセキュリティをエンジニアリング プロセスに組み込むことで、最後にセキュリティを追加するよりも、より適切かつ早いタイミングでシステムを保護できるという考え方です。幅広いエンジニアリング チームの構築に投資し、開発ライフサイクルのできる限り初期の段階にセキュリティの担当者、プロセス、手順を組み込むことで、組織全体の意思決定の確かさとビジネスのレジリエンスを強化できます。

セキュリティのベスト プラクティスを組織のエンジニアリング環境に組み込む方法について詳しくは、Google Cloud による CISO の分析情報をご覧ください。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• 英国のサイバー規範のアップデートに応じて取締役会が復元力を強化する方法: 組織と取締役会が新しくアップデートされた英国のサイバー規範に適応するうえで、Google Cloud がどのように役に立つかを説明しています。詳細はこちら。
• IAM、アクセスリスク、クラウド ガバナンスの最新情報: Google Cloud は、お客様がポリシー、コンプライアンス、ビジネスの目標を達成できるよう支援することを中核的な使命の一つと考えています。今回は、IAM、アクセスリスク、クラウド ガバナンスに関する最新情報をご紹介します。詳細はこちら。
• セキュリティに関するサポート役として AI を活用する 3 つの新しい方法: 生成 AI はすでに、セキュリティにおいて明確で影響力のある成果を生み出しています。組織が今すぐ採用できる、決定的な例を 3 つご紹介します。詳細はこちら。
• 新しい保険パートナーと AI 保険の追加による Risk Protection Program の拡大: Google とサイバー保険会社とのコラボレーションによる業界初のプログラム、Risk Protection Program のメジャー アップデートについて Google Cloud Next ‘25 で発表いたしました。最新情報をご紹介します。詳細はこちら。
• 分析情報をアクションへ: M-Trends、エージェント AI、防御者を支援する Google の取り組み（RSAC 2025）: 最新の M-Trends レポートから、Google Unified Security、Google のプロダクト ポートフォリオ、AI 機能にわたるアップデートまで、RSAC で発表された Google の最新情報をご紹介します。詳細はこちら。
• セキュリティ運用におけるエージェント AI の導入: エージェント AI は、セキュリティ チームにとって根本的な構造の変化をもたらします。インテリジェント エージェントが人間のアナリストと連携して働くようになるのです。エージェントの未来に関する Google のビジョンをご紹介します。詳細はこちら。
• Android のセキュリティとプライバシーに関する 2025 年の最新情報: 業界をリードする Google の保護機能に新たに追加された、Android での詐欺、不正行為、盗難からユーザーを保護する機能と機能強化について発表しました。詳細はこちら。

今月公開されたその他のセキュリティ関連の記事については、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• COLDRIVER が西側諸国の標的や NGO からのデータ窃取に新しいマルウェアを使用: Google Threat Intelligence グループ（GTIG）は、ロシア政府の支援を受けた脅威グループ COLDRIVER（別名 UNC4057、Star Blizzard、Callisto）が西側諸国の政府、軍隊、ジャーナリスト、シンクタンク、NGO からデータを盗み出すために、新しいマルウェアを使用していると発表しました。こちらから詳細をご覧ください。
• 最前線からのサイバー犯罪対策強化ガイダンス: 米国の小売業界は現在ランサムウェア攻撃の標的となっており、GTIG は UNC3944（別名 Scattered Spider）によるものでないかと考えています。UNC3944 は金銭目的の脅威アクターであり、ソーシャル エンジニアリングを執拗に使用し、大胆な方法で被害者にコンタクトを取ることが特徴です。脅威となるアクティビティに対抗するための予防的なセキュリティ強化策について、最新の推奨事項をご紹介します。詳細をご覧ください。

今月公開されたその他の脅威インテリジェンス関連の記事については、Google Cloud 公式ブログをご覧ください。

注目の Google Cloud ポッドキャスト

• 取締役会はどの程度サイバーセキュリティに精通しているか: Google は長い間、サイバーセキュリティに関する基本的な課題と最先端の課題の両方について、取締役会が最新情報を把握することが重要であると主張してきました。そこで Google は、CISO オフィスの David Homovich、Alicja Cade、Nick Godfrey が担当する月に一度のポッドキャスト「Cyber Savvy Boardroom」を新たに配信開始しました。最初の 3 つのエピソードでは、Karenann Terrell、Christian Karam、Don Callahan といった、直感力、専門知識、優れたガイダンスで知られるセキュリティとビジネスのリーダーが登場します。ポッドキャストを聴く。
• AI エージェントから MLSecOps の起源まで: MLSecOps とは何か、MLSecOps について CISO が知っておくべきことについて、Protect AI の CSO を務める Diana Kelley 氏が、ホストの Anton Chuvakin と Tim Peacock とともに、ML モデルのセキュリティについて詳しく説明します。ポッドキャストを聴く。
• RSAC 2025 での学び: Anton と Tim が今年の RSA Conference を振り返り、現代の情報セキュリティ環境における複雑な状況に対して、どのような対応が見られたのかを共有します。ポッドキャストを聴く。
• 今年の M-Trends の分析: GTIG の Kirstie Failey と Mandiant Incident Response の Scott Runnels が Anton および Tim とともに、今年の M-Trends に掲載されているような全体像を踏まえたレビューを一般的なインシデント レポートから導き出す際の課題について説明します。ポッドキャストを聴く。
• The Defender's Advantage: UNC5221 が Ivanti Connect Secure VPN を標的とした手法: Mandiant の Matt Lin と Ivanti の Daniel Spicer 氏がホストの Luke McNamara とともに、UNC5221 による Ivanti に対するキャンペーンの調査とそれに対する対応について詳しく説明します。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターにご登録ください。次回も Google Cloud からセキュリティ関連の最新情報をお届けします。

ー セキュリティ エンジニアリング担当シニア ディレクター、Iain Mulholland