Cloud CISO の視点: 2022 年 1 月

※この投稿は米国時間 2022 年 2 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

2022 年初の投稿となる Cloud CISO の視点をお届けいたします。今年に入ってまだひと月あまりですが、業界にとって波乱に富んだ 1 年になりそうです。今回の投稿では、オープンソース ソフトウェアのセキュリティやゼロトラスト アーキテクチャといった重要なセキュリティ問題に対処するための米国政府の最近の取り組みをはじめ、さまざまなトピックをご紹介します。また、Google サイバーセキュリティ対応チームからクラウド セキュリティのメガトレンドやクラウドリスク ガバナンスに関する取締役会のホワイトペーパーも公開しています。

クラウド セキュリティのメガトレンド

クラウドがオンプレミスより安全かどうか（とその理由）について質問がよく寄せられますので、最近のブログ投稿に Google からの回答を記載しました。Google Cloud では、安全性を重視した設計を優先しています。ベースライン セキュリティ アーキテクチャとしてゼロトラストの原則を長い間採用しており、多層防御のグローバル ネットワークを構築して構成エラーや攻撃から保護しています。しかし、セキュリティ機能は常に進化しているため、次のようなメガトレンドも活用しています。

1. 規模の経済性: セキュリティの限界費用の低減により、セキュリティのベースライン レベルが向上します。

2. 運命の共有: 信頼性向上のフライホイール効果で、クラウドへの移行が促進されます。これにより、クラウド プロバイダはセキュリティをさらに向上させ、より多くの投資を行います。

3. 健全な競争: 潤沢な資金を持つクラウド プロバイダが、業界をリードするセキュリティ技術の開発と実装を目指して競争することで、イノベーションが促進されます。

4. デジタル免疫系としてのクラウド: クラウドからお客様に提供されるセキュリティ アップデートは、すべてなんらかの脅威、脆弱性、または新たな攻撃手法についての知見に基づいたものですが、こうした知見は多くの場合、他のユーザーや第三者の経験によって特定されたものです。企業の IT リーダーはこの効果的なフィードバック ループを利用して、より適切な保護を適用できます。

5. ソフトウェア定義型インフラストラクチャ: クラウドはソフトウェアで定義されているため、お客様はハードウェアの配置を管理したり、管理上の手間をかけたりすることなく、動的に構成を行うことができます。セキュリティの観点から見た場合、これはセキュリティ ポリシーをコードとして指定し、その有効性を継続的にモニタリングすることを意味します。

6. デプロイ速度の向上: クラウドは規模が大きいため、プロバイダは通常、自動化された継続的インテグレーション / 継続的デプロイ（CI / CD）システムを使用して、ソフトウェアのデプロイとアップデートを自動化する必要があります。この自動化の仕組みをセキュリティ強化にも応用することで、より頻繁にセキュリティ アップデートを提供することが可能になります。

7. シンプルさ: クラウドが抽象化機構として働くことにより、よりシンプルなデフォルト モードの特定、作成、デプロイを行い、自動化された安全な運用を実現します。

8. 主権とサステナビリティの合流: クラウドは、グローバルな規模を備えていると同時に、地域限定型の運用と分散型の運用を両立できることから、主権についての 3 本の柱を生み出します。クラウドのグローバルな規模を利用することで、エネルギー効率も改善できます。

皆さんが IT 関連の意思決定者である場合は、このようなメガトレンドに注目しておいてください。こうした潮流がクラウド セキュリティを推進および強化し続け、将来的にはオンプレミス インフラストラクチャのセキュリティ強度を上回るでしょう。

米国連邦政府のサイバーセキュリティ動向

• オープンソース ソフトウェアのセキュリティ: 今月初め、Google はオープンソース ソフトウェアのセキュリティに関するホワイトハウス サミットに参加しました。この会議は、12 月に公表された Log4j の脆弱性を受け、業界にとって重要な時期に開催されたものであり、この課題を認識し対処するための重要な第一歩を踏み出すものでした。多くの場合、業界はこのような検討や対応を行っていますが、オープンソース ソフトウェアのエコシステムは一様ではありません。重要なソフトウェアのなかには、Linux のように高度にキュレートされているものもあれば、テクノロジー企業やその他の利害関係者を含む広範なコミュニティを通じてサポートされているものもあります。他にも、Google 社員をはじめとする世界中の献身的なメンテナのコミュニティによって推進されている重要なロングテール プロジェクトも数多くあります。このような現状を踏まえて、Google はオープンソース ソフトウェアのセキュリティの未来を前進させるための提案を機会あるごとに共有してきました。すでに、Open Source Security Foundation の設立などの複数の取り組みを通じて、セキュリティの向上に貢献してします。また、セキュリティ スコアカード、オープンソース パッケージのセキュリティと整合性を向上させる SLSA フレームワーク、重要なオープンソース セキュリティのプロジェクト改善に金銭的なインセンティブを提供する Secure Open Source Rewards など、オープンソース コミュニティ内の多くの主要なセキュリティ イニシアチブの推進を支援してきました。  

• 行政管理予算局（OMB）の米国連邦政府ゼロトラスト戦略: OMB のゼロトラスト アーキテクチャ戦略の公表は、大統領令第 14028 号に基づいてモダナイズを行う米国連邦政府の取り組みにとって重要な一歩となります。Google Cloud は、現代のコンピューティング アーキテクチャによってもたらされる膨大なセキュリティ上のメリットを認識するこのアプローチをサポートしています。過去 10 年間、Google は、エンドユーザー アクセスを提供し、クラウド ワークロードを保護するために、BeyondCorp および BeyondProd のフレームワークを使用してゼロトラスト原則の適用を成功させてきました。そして、BeyondCorp Enterprise のようなソリューションと Binary Authorization や Anthos Service Mesh などの機能を通じて、Google 独自のジャーニーから得られたこれらのベストプラクティスを、あらゆる規模のグローバルな政府や企業に提供してきました。こうしたソリューションや機能は、マネージド アプリケーション プラットフォームである Anthos に組み込まれています。このゼロトラストの移行に乗り出す連邦政府機関のために、 Google サイバーセキュリティ対応チームは、ゼロトラストの基盤戦略ワークショップを実施して専門知識を提供します。これは、公共部門と民間部門の組織が、ゼロトラストの実装に関して実行可能で達成可能な戦略と計画を策定するのに役立ちます。

Google サイバーセキュリティ対応チームのハイライト

今月のセキュリティ チームの最新のアップデート、プロダクト、サービス、リソースは以下のとおりです。

セキュリティ

• セキュリティ運用の民主化: Google は、SOAR（Security Orchestration, Automation and Response）の優れたプロバイダである Siemplify が、脅威への対応をより適切に管理したいと考えている企業を Google Cloud とともに支援することになったと最近発表しました。Chronicle のセキュリティ分析アプローチと合わせて、優れた実績を持つ SOAR 機能を提供することは、「見えないセキュリティ」を推進し、あらゆる組織のセキュリティ運用を民主化するという Google のビジョンを実現するうえで大きな一歩となります。

• 安全性を重視した設計: Highmark Health のセキュリティ チームは、「安全性を重視した設計」技術を使用して、Google Cloud の Professional Services Organization（PSO）と Living Health ソリューションのセキュリティ、プライバシー、コンプライアンスについて取り組んでいます。Google は長い間、安全性を重視した設計の原則を提唱および遵守してきました。そのため、Google Cloud のプロダクトとサービスには強化されたセキュリティ、コントロール、復元性などを継続的に組み込んでいます。

• ハイブリッドな業務環境での安全なコラボレーション: Google Workspace チームは、未来の働き方に備えて、ビジネス向けの最適化案を共有しました。 今後は、ハイブリッドかつ柔軟な働き方のモデルが標準的になりつつあり、セキュリティに対する新しいアプローチが不可欠となります。

• Anthos Policy Controller の CIS ベンチマークの適用: 私たちの共通の運命哲学の大きな割合を占めているのは、単なるセキュリティ プロダクトではなく、安全なプロダクトを作ることです。この活動の最近の例として、Anthos Policy Controller への CIS ベンチマーク ポリシー遵守の組み込みが挙げられます。このようなアプローチをプロダクトに多く組み込むほど、より多くのアプリケーション チームやインフラストラクチャ チームがセキュリティを最初から本質的に組み込むことができ、セキュリティ チームの負担を軽減できると考えています。

• テクノロジー主導の組織とスタートアップのための DevOps: 多くのセキュリティ プログラムの重要な成功要因は、開発チームとのパートナーシップと統合であり、DORA の調査にはいくつかの優れたリソースと教訓があります。

• Chrome OS による安全性を重視した設計: ABN AMRO のアジア太平洋地域チームは最近、Chrome OS と CloudReady を使用して、クラウドで安全に作業し、総所有コストを削減し、従業員の柔軟性を高める方法を共有しました。これは、Chromium を使用する際に安全性を重視した設計の原則を適用した優れた一例です。

リスクとコンプライアンス

• 取締役会によるクラウドリスク ガバナンスの概要ガイド: Google サイバーセキュリティ対応チームの最新のホワイトペーパーでは、取締役会が組織内のクラウド テクノロジーのコンプライアンスを維持した安全かつ堅牢な採用プロセスに優先順位を付ける方法について概説しています。  

• Google Cloud の TruSight リスク評価:  TruSight は最近、Google Cloud に関する包括的な
  リスク評価レポートをリリースしました。Google のエンタープライズ トラスト チームは、Google Cloud サービスに関するこの堅調な評価に協力して、コントロールの設計と実装を検証しました。TruSight による Google のセキュリティ管理のリスク評価で、お客様のリスク管理のデュー デリジェンスの迅速化と完了をサポートします。

• データ ガバナンス: データ ガバナンスに関する新しいブログシリーズをご覧ください。ここでは、Google のチームがデータ ガバナンスの役割、重要性、および効果的なデータ ガバナンス プログラムを実行するために必要なプロセスについて説明しています。データ ガバナンスを実装すると、ビジネスデータから得られる価値の最大化、ユーザーとの信頼の構築、必要なセキュリティ対策の確実な遵守が可能になります。

管理策とプロダクト

• Data Fusion の暗号化: 金融や公共部門といった規制対象業界において顧客のセキュリティ、プライバシー、コンプライアンスの各要件を満たすために、Cloud Data Fusion の顧客管理の暗号鍵（CMEK）インテグレーションの一般提供を発表しました。これにより、お客様が Cloud Key Management Service（KMS）を介して制御できる鍵を使用して、保存されているユーザーデータとメタデータの両方を暗号化することが可能になります。

Cloud CISO の視点の投稿を毎月メールで受け取ることをご希望の方は、ぜひニュースレターに登録してください。来月も最新アップデートとセキュリティ関連のニュースをお届けします