Cloud CISO の視点: 2023 年 1 月

※この投稿は米国時間 2023 年 2 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。

1 月の「Cloud CISO の視点」をご覧いただきありがとうございます。今月は、私が 1 年前に紹介した、クラウド セキュリティに関するメガトレンドの最新情報をいくつか紹介したいと思います。これらのメガトレンドやクラウド セキュリティの状況がどのように進展したかを見てみましょう。

他の「Cloud CISO の視点」と同様に、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このブログをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

2 つのメガトレンドについて

2022 年 1 月、技術的イノベーションの原動力となり、クラウド プロバイダやお客様の全体としてのセキュリティ体制を改善する、セキュリティに関する 8 つの「メガトレンド」を紹介しました。私は、（多大な労力とリソースを投じれば）オンプレミスのコンピューティング環境でもクラウド環境と同程度のセキュリティを実現できることは間違いないが、適切に保護された顧客構成を利用するクラウドのベース セキュリティのほうが、ほとんどのオンプレミス環境よりも強力である、と説明しました。

これらのメガトレンドはユニークなものです。というのも、このメガトレンドは、従来のトレンド サイクルよりもはるかに長期間にわたってセキュリティおよびテクノロジーの開発の指針となるものであり、そのため「メガ」と呼ばれています。元のブログ記事では、規模の経済、運命の共有、健全な競争の価値、デプロイ速度の加速、シンプルさ、持続可能な主権について説明しましたが、今回は、最も重要なメガトレンドのうちの 2 つ、デジタル免疫系としてのクラウドと、ソフトウェア定義のインフラストラクチャに着目します。

これらのメガトレンドはすべて、何かしらの形で相互につながっています。デジタル免疫系としてのクラウドという考え方では、クラウド内のセキュリティを改善することで、あらゆる面で有益であるということ、クラウドで運用していない組織のためにもなることが強調されています。脅威アクターによるイノベーションを防御側が抑制できるようにするためには、防御側の Observe-Orient-Decide-Act（OODA）ループのペースを攻撃者の OODA ループよりも速くする必要があります。グローバルな攻撃のオブザーバビリティと迅速なクラウド対応の高速フィードバック ループで、防御側にとって有利な状況を作ることができます。

免疫系としてのクラウドの利点は、能動的なアクションをほとんど行わずに得ることができます。Google Cloud などのクラウド プロバイダが新しいセキュリティ機能やより強力なデフォルト構成で製品をアップデートする際に、その新機能を利用するためにお客様の組織が行う必要のあるアクションが生じることはあまりありません。

2022 年、Google Cloud は数多くのステップを踏んで免疫系としてのクラウドを進化させてきました。Google は、これまで 13,000 以上の提出サンプルに 3,800 万ドル以上の報酬を支払った実績のある脆弱性報奨金プログラムを拡張して、Google のオープンソース ソフトウェアも対象となるようにしました。また、AMD と提携して同社の半導体技術を活用し、暗号的にセキュアな隔離を強化しました。さらに、Google Threat Analysis Group のメンバーが、スパム行為のあるインフルエンス ネットワークの Dragonbridge による 50,000 以上の事案に対応して阻止しました。

Google はこのようなイノベーションに加え、数百単位のセキュリティ拡張機能を毎月お客様に提供しています。このような拡張機能には、デフォルト設定の機能強化や脆弱性パッチなどがありますが、このような拡張は突き詰めていけば、実際の脅威や潜在的な脅威、あるいはお客様が教えてくれた懸念事項に関する情報に基づいています。ただ、IT チームで何かしらのセキュリティの問題を直接経験していないからといって、その問題を除去できる、あるいはその問題に対抗できるセキュリティ アップデートを利用できるようになるまで待つ必要がある、というわけではありません。

ますます多くの組織がクラウドに移行しており、デジタル トランスフォーメーションを推進しています。そのため、クラウドをデジタル免疫系として機能させることができれば、セキュリティの脅威の低減、さらには排除に役立つはずです。これにより、2023 年以降の組織を保護できるようになるはずです。

コードとしてのインフラストラクチャに向けた全体的なシフトの一環であるソフトウェア定義のインフラストラクチャのメガトレンドもまた、オンプレミスにはないクラウドの利点を推進するものです。これはつまり、クラウドの構成は本質的に宣言型であり、プログラマティックに構成されるということです。また、構成コードは組み込みのポリシー インテントでオーバーレイできます（コードとしてのポリシー、コードとしての統制）。

これにより、IT チームが使用している構成が具体的なセキュリティ要件と正確に一致しているかを検証できるため、クラウド セキュリティにとって非常に重要なものとなります。コードとしてのポリシーおよびコードとしての統制で、制御が適用されるべき場面で適用されていないために発生する侵害を防止できます。

Google Cloud のセキュリティ ブループリントと Anthos Configuration Management は、ソフトウェア定義のインフラストラクチャを使用して復元性の高いセキュリティ製品や Google Cloud インスタンスを構築する方法の実例です。Google のセキュリティ基盤のブループリントは、Infrastructure-as-Code の自動化を使用してクラウド インフラストラクチャをデプロイするための Google Cloud 独自のベスト プラクティスを体系化したものです。このようなブループリントは、組織で Google Cloud を使用する初日から、セキュアなベースライン基盤を迅速にデプロイするうえで役立てることができます。昨年には、セキュリティ ブループリントを使用して安全性に優れたデータ ウェアハウスを構築する方法、HashiCorp Terraform でコードとしての Identity and Access Management を実装する方法を紹介しました。

また、Anthos Configuration Management であれば、デプロイされるクラウド リソースを定義されたポリシー ベースラインに確実に収めることが可能で、ベースラインからずれることはありません。コードとしてのインフラストラクチャも運用チームの間で一般的ですが、これもまた、今後のセキュリティ運用で重要になっていくと予測しています。

これらのメガトレンドが、コスト削減やセキュリティ イニシアチブの加速に貢献するセキュリティ イノベーションのフライホイールをこれからも作り出すこととなるでしょう。メガトレンドがこの業界をどのように形作るかを常に意識することで、誰にとってもより安全なクラウド環境を構築できるようになります。

その他の最新情報

セキュリティ チームからの今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

より安全なクラウド変革のための Threat Ready with Mandiant の紹介: Threat Ready は、オンプレミスおよびマルチクラウド環境の脅威を軽減してリスクを低減するための、新しい 3 パートの戦略です。一つずつ詳しく見ていきましょう。

CISO サバイバル ガイド: 変革を成功に導くために重要となる質問: デジタル トランスフォーメーションに取り組む組織のセキュリティ リーダーとなるためには、トランスフォーメーション戦略の実装方法に関する難しい質問や複雑な回答に備える必要があります。組織の変革を良い成果に導く会話集を作成するうえで役立つ、適切な質問の方法に関するヒントをご紹介します。詳細はこちら。

とっておきのセキュリティの秘密: VPC Service Controls が多層防御の構築にどのように役立つか: クラウド セキュリティに懐疑的な人たちは、クラウド内のデータはアクセス構成のミスが 1 つでもあると情報漏えいにつながると考えるかもしれませんが、実際には、適切に設計された多層防御の制御により、構成ミスなどのセキュリティに関する問題のリスク最小化できます。Virtual Private Cloud Service Controls は、追加セキュリティ レイヤの作成時に重要な役割を果たし、大半の現行クラウド サービスではできない方法でデータを簡単に管理できます。詳細はこちら。

Confidential Space と分散型計算をデジタル アセットの安全かつ効率的な管理に活用する方法: デジタル アセット トランザクションや、競合することの多いその要件を安全かつタイムリーに管理することが、非常に困難になることがあります。Google Cloud の新しい Confidential Space を使用して、そのようなリスクを低減する分散型計算（MPC）ソリューションをデプロイできます。詳細はこちら。

Iron Mountain が Assured Workloads をどのように使用して顧客のコンプライアンス関連のニーズに対応しているか: データ ストレージのエキスパートの Iron Mountain がデジタル ビジネスの拡大に Google Cloud を活用しました。Iron Mountain のクラウド マネージャーである David Williams 氏は、Iron Mountain の InSight プロダクトが政府の基準への準拠を達成および維持し、より優れた顧客データの保護を実現するにあたり、Assured Workloads がどのように役立ったかについて説明しています。詳細はこちら。  

Palo Alto Networks と Google Cloud が支えるオムニチャネル小売業の未来のセキュリティ: 小売業界における劇的な変革に伴い、セキュリティ上の課題が大量に発生しました。Palo Alto Networks のグローバル小売業界担当ディレクター Amit Chetal 氏が、店舗のモダナイズでとてつもなく大きなチャンスがもたらされるものの、究極的にはセキュリティに対するまったく新しい手法が必要になることについて解説します。詳細はこちら。

ライフ サイエンス データをゼロから保護する: 利用可能なヘルスケア データの量が急激に増大したため、組織での詳細な分析情報の獲得、イノベーションの推進、試験的取り組みの強化が可能となりました。Google Cloud は、USDM Life Sciences などの業界パートナーと協力して、お客様がコンプライアンスとデュー デリジェンスの要件を持続的に満たし、その規模を拡大し、加速できるよう支援しています。詳細はこちら。

Google Cloud のセキュリティに関するヒント、アドバイスと最新情報

Security Command Center のプロジェクト レベルである従量課金制オプションの紹介: お客様が保護機能を迅速に適用できるようにするために、Security Command Center で 2 つの新しい機能と新しい料金モデルを導入します。SCC とは、Google Cloud に搭載されているセキュリティおよびリスク管理ソリューションであり、セキュリティおよびガバナンス部門が Google Cloud 環境内の構成ミスや、脆弱性、脅威を特定できるようにし、安全な状態を維持するのに役立ちます。詳細はこちら。

Tink でオンプレミスとクラウドで BigQuery 暗号化を導入: ハイブリット クラウド環境を使用する Google Cloud のお客様は、Google 開発のオープンソース暗号ライブラリの Tink を使用して、BigQuery 対応の暗号化をオンプレミスで実現できます。その方法をご紹介します。

GKE、Cloud Run、App Engine、Cloud Functions のための gVisor ファイル システムのパフォーマンス改善: 防御レイヤを追加することで、新たなパフォーマンスの課題が発生することがよくあります。Google は、gVisor のユーザー空間カーネルでファイル システムのパスをたどるのに、いくつかの操作が必要となったときに、そのような課題を 1 つ発見しました。Google は、この課題に対処し、gVisor のパフォーマンスを大幅に向上させるため、同レベルのセキュリティを維持しながら、パフォーマンスを考慮したまったく新しいファイル システム層を記述しました。詳細はこちら。

[インフォグラフィック] 金融サービスにおけるセキュアなデジタル トランスフォーメーションの 4 つのフェーズ: 金融サービス機関はクラウド コンピューティング テクノロジーやサービスを導入することで、セキュリティのさまざまなリスクに新しく、革新的で、より効果的な手法で対応できるようになります。Google は、このプロセスに 4 つのステージを定義しました。詳細はこちら。

安全なクラウド内アクセスのための 2 つのネットワーキング パターン: クラウド内通信では、お客様の Virtual Private Cloud 内に存在するさまざまなワークロードを扱います。安全なクラウド内アクセスのための 2 つのシンプルなネットワーキングの手法について取り上げます。詳細はこちら。

コンプライアンスと管理

Google Cloud が影響レベル 5（IL5）のワークロードに対応: Google Cloud は、複数の Google Cloud サービスが国防総省の影響レベル 5（IL5）暫定認可（PA）を受けたことをお知らせいたします。これは、Google が米国の公共部門のお客様向けに追加のワークロードをサポートできるようになったことを示す重要なマイルストーンです。詳細はこちら。

Google Cloud が DORA に向けてどのように備えを進めているか: Google Cloud は、新しい DORA のルールが欧州の金融サービス部門におけるデジタル イノベーションを加速するうえできわめて重要になることが間違いないと考えています。これを実装するために Google が何を行っているか、また、このことが既存および未来のお客様にとってどのように役立つかを紹介します。詳細はこちら。

Google Cloud Security Podcast

2021 年 2 月に、Cloud Security に焦点を当てた週に一度のポッドキャストを開始しました。ホストの Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界が今日直面している特に重要で困難なトピックについて話し合います。今月に取り上げたトピックは、次のとおりです。

セキュリティ アーキテクトの立場からの視点: Google Cloud のシニア クラウド セキュリティ アドボケイトの Michele Chubirka が、クラウド移行の優れた成功事例と、移行の失敗事例についてお話します。彼女が、クラウドの失敗から学べる重要な教訓と、そのような失敗から学ぶことでクラウド セキュリティをどのように改善できるかを説明します。視聴はこちらから。

Softbank の移行と CISO の進展: Softbank の CISO の Gary Hayslip 氏が、彼の組織におけるクラウド移行、直面した課題、チームでセキュリティ制御をどのように設計したか、CISO の役割がどのように変化しているかを説明します。視聴はこちらから。

セキュリティ インシデント対応における Mandiant の視点: 現在は Google Cloud の一部である Mandiant の IR および修復担当のシニア マネージャーの Nader Zaveri が、クラウド セキュリティ インシデント対応においてすべきこと、してはいけないこと、推奨されることを説明します。視聴はこちらから。

ゼロトラストでワークロードを信頼するにはどうすればよいでしょうか？ Google Cloud の元プロダクト マネージャーの Anoosh Saboori が、BeyondProd の詳細、BeyondCorp との違い、ゼロトラストの話題で話していることは何かについて解説します。視聴はこちらから。

「Cloud CISO の視点」を毎月メールで受信するには、ニュースレターに登録してください。来月も引き続きセキュリティ関連の最新情報をお届けします。

- Google Cloud バイス プレジデント兼最高情報セキュリティ責任者 Phil Venables