クラウド CISO の視点: 2021 年 7 月

※この投稿は米国時間 2021 年 7 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud はこの 1 か月間、全世界の企業や政府が増大するサイバー セキュリティ関連の問題に対処するのを支援しながら、慌ただしく過ごしました。セキュリティ業界では非常に多くの出来事が発生しているため、バイデン政権の米国大統領令「国家サイバーセキュリティの向上」などの重要な取り組みに対処するのに役立ち、同時に IT 部門のセキュリティ運用を簡素化するソリューションを今後も提供していくことが不可欠です。こうした支援によって、IT 部門は最も重要なデータとサービスのセキュリティ保護に注力することが可能になります。

このような状況のため、今月は振り返るべきニュースがたくさんあります。Google のセキュリティ サミットと Government Security Summit の主な内容とそこから得られた教訓、オンラインでの脅威からユーザーを保護するための Google 全社での取り組み、そしてソフトウェアのサプライ チェーンとオープンソース ソフトウェアのセキュリティ保護の継続的な強化について、以下にご紹介します。

Google Cloud のセキュリティ サミットと Government Summit

Google は 7 月下旬に、セキュリティ サミットをはじめてデジタルで主催しました。このサミットでは、Google Cloud のセキュリティ専門家と業界リーダーが対話式セッションを行いました（オンデマンドで閲覧できます）。セッションの内容は、全世界の企業と政府が、今日の重要なセキュリティに関する問題の解決に取り組む際に役立てられるものとなっています。

このイベントの中で、Google はいくつかの新しいプロダクトとソリューション サービスを発表しました。

• Cloud IDS は、クラウドネイティブなマネージドの侵入検知システムです。マルウェア、スパイウェア、コマンド＆コントロール攻撃、その他のネットワークベースの脅威を検出します。Palo Alto Networks の高度な脅威検出テクノロジーを基礎として構築されたもので、迅速にデプロイできます。Google がスケーリング、可用性、脅威検出の更新を行うため、運用も簡単です。

• Google Cloud の業界最先端の分析プラットフォームである Looker および BigQuery が、Google のクラウドネイティブのセキュリティ分析プラットフォームである Chronicle と統合されました。これらの統合により、レポート、コンプライアンス、視覚的なセキュリティ ワークフロー、データ探索、セキュリティ主導のデータ サイエンスに関する Chronicle の能力が向上しています。先月の投稿では、セキュリティ チームの役割がセキュリティ製品の使用だけに限定されるべきではないことについて解説しました。優れたツールのいくつかは大規模なデータツールで、Google はこれらのツールをセキュリティ製品と接続して使用しており、驚くほど強力です。

• 自律型のセキュリティ運用は、組織が自社のセキュリティ運用プログラムを現代化する処理を手引きするための規範的なソリューションです。自律型のセキュリティ運用は製品、統合、ブループリント、技術コンテンツ、アクセラレータ プログラムを組み合わせたもので、お客様は Chronicle 上に構築された Google のクラス最高水準の技術スタックと、Google のセキュリティ運用に関する深い専門的技術を活用できます。また Google は、新しいドキュメント「自律型のセキュリティ運用: セキュリティ運用センターの 10X 変換」をリリースしました。

イベントの一部として、公共部門のサイバー セキュリティのリーダーが Google Cloud Government Security Summit にバーチャルで集合しました。Google はこのサミットで、米国連邦政府機関がバイデン政権の米国大統領令「国家サイバーセキュリティの向上」に従い、かつ米国標準技術局（NIST）標準に沿ったゼロトラスト アーキテクチャを実装するのに役立つ、一連のサービスを発表しました。

私自身はさらに、イベントに付随するプログラムの一部として、3 つのエグゼクティブ意見交換会に参加する機会がありました。私たちは公共部門の最上位のセキュリティ リーダーとともに、現在の脅威の状況、ゼロトラスト、セキュリティ分析、ソフトウェアのサプライ チェーンのセキュリティに関係する話題について話し合いました。すべての基調講演とセッションは、こちらから登録して、オンデマンドでご覧いただけます。

今月の他の Google Cloud セキュリティ ニュースには次のものがあります。

• 6 月 21 日、欧州データ保護会議（EDPB）は、EU-U.S. Privacy Shield（EU-US プライバシー シールド）フレームワークの無効化に伴い、補助的な施策に関する最終的な推奨事項を発表しました。EDPB の提案は、組織が国際的なデータ移転に対処できるようにするため重要であり、推奨事項の多くは、Google が長年にわたり実践してきた慣行と一致しています。これに応じて、EC は欧州の個人データを安全に保護するよう設計された新しい標準契約条項を発表しました。Google Cloud は、お客様のデータを保護し、欧州のプライバシー関連法の要件を満たすため、新しい SCC の実装を計画しています。

• メールは、Google が投資と保護のための取り組みを継続して行っている、大規模で複雑な、相互接続されたエコシステムの一部として機能しています。昨年 Gmail の Brand Indicators for Message Identification（BIMI）のパイロット版を初めて発表した後、Google は Gmail での BIMI の一般サポートのロールアウトを発表しました。BIMI は、メールのエコシステム全体で強力な送信者認証の採用を促進することを目的とした業界標準です。

• Google は、Certificate Authority Service の一般向けリリースを発表しました。Google Cloud CAS は、スケーラブルで可用性の高い非公開 CA を提供します。これは、クラウド コンピューティングの増大、コンテナへの移行、モノのインターネット（IoT）とスマート デバイス（このトピックについては Google のホワイトペーパーをご覧ください）の急増により生じた、デジタル証明書の前例のない成長に対応するためのものです。10 月に公開プレビュー版を発表して以来、このサービスは市場で非常に高く評価されており、お客様は革新的なユースケースで利用されています。

• また、Google は新しいドキュメント「クラウドでのコンプライアンス保証」もリリースします。これは Google Cloud の CISO オフィスにより作成されたもので、最新のコンプライアンスに関する手法を主に取り上げています。組織はこのドキュメントを利用して、クラウド技術を安全に使用するためのより優れた計画を作成できるとともに、パブリック クラウド サービスの使用に伴うリスクを低減できます。これは、Google が以前に発表したホワイトペーパー「クラウドにおけるデジタル トランスフォーメーションのリスク ガバナンス」を補完するものです。このホワイトペーパーでは、最高リスク責任者、内部監査責任者、コンプライアンス責任者向けに、リスク、コンプライアンス、監査のための機能について、およびクラウドの世界における成功のためにこれらの機能をどのように位置付けるのが最良かについて解説しました。

Safer with Google Spotlight

Google の大きな差別化要因の 1 つは、「デフォルトで安全を確保する」というサイバーセキュリティへのアプローチです。Google は、脅威を自動的に検出してブロックする業界最先端の高度なセキュリティにより、すべてのユーザーを保護します。また、デベロッパー、企業、消費者がセキュリティに関する正しい取り組みをいっそう簡単に行えるようにするべく努力しています。 

このような努力の例として、Google の Threat Analysis Group（TAG: 脅威分析グループ）が挙げられます。このチームは、ハッキングの試みを検出する取り組みを積極的に行い、検出結果をクラウドの動作に反映させてデジタル攻撃からユーザーを保護できるようにします。こうした取り組みには、悪用が可能な脆弱性を探し出すといったものも含まれます。

TAG は今月、発見された 4 つの野放し状態のゼロデイ キャンペーンの詳細を発表しました。これらは、それぞれ異なる 4 つの脆弱性をターゲットとしたものです。TAG はこれらのゼロデイを発見したあとで直ちにベンダーに報告し、それらの攻撃からユーザーを保護するためのパッチがリリースされました。このチームは、各ゼロデイについて、根本原因分析（RCA）も発表しました。

2021 年はまだ半ばですが、今年公開された攻撃に使用されたゼロデイ エクスプロイトの数は 33 に上っています。これは、2020 年全体で使用された数を 11 も上回っています。このため、デジタルの脅威から組織や個人を保護するために TAG や Project Zero などのグループが不可欠なものとなっています。

セキュリティに関する必読のストーリーと必聴のポッドキャスト

サイバーセキュリティは、現在あらゆる出版物の見出しを独占しているかのようであり、業界に関連するポッドキャストでも定期的に取り上げられるトピックとなっています。そのため、Google は最新の注目トピックを紹介するための「必読」シリーズに新しいセクションを追加します。このセクションでは、Google Cloud の専門家をはじめとする、ポッドキャストの出演者の声も紹介します。

• Cloud Security Podcast: 今年初めに、Google Cloud の Anton Chuvakin と Timothy Peacock は Cloud Security Podcast を開始しました。2 人はここで、クラウドによりセキュリティを提供する個人や会社の視点から、クラウドでのセキュリティに関するストーリーと見識を紹介します。もちろん、顧客データを安全に管理し、ワークロードをセキュアに保つために Google が行っている取り組みについても説明します。最新のハイライト エピソードのいくつかを紹介しましょう。

• CISO の視点から見たマルチクラウドのセキュリティ保護（パート 3） 

• Google での最新の脅威の検出

• データ セキュリティに関する最新の手法: クラウドのセキュリティは堅牢か？

• CISO の視点から見たクラウド移行の準備（パート 2）

• PwC UK からのサイバーセキュリティ ポッドキャスト: 私は最近、PwC のグローバル CTO 兼英国最高情報セキュリティ責任者である Kevin Storli さんと、CISO の役割の変化についてポッドキャストで話し合う機会がありました。キャリアにおけるいくつかのマイルストーン、組織がセキュリティ リスクを軽減しながら目標を達成できるようにするために CISO ができること、サプライ チェーンのリスクやクラウドのセキュリティ保護などの CISO にとっての最近の懸念事項、今後数年間に採用される人材に CISO が求めるスキルといったことについて語り合いました。エピソードの全文は、ここでお聞きになれます。

• Wall Street Journal Cybersecurity Pro: 私は企業役員会によるサイバーセキュリティの監督の重要性と課題の両方について、広範に記述しました。Wall Street Journal Cybersecurity Pro との間で最近行われた対談では、私自身と他のセキュリティ リーダーとの間で、役員会が技術投資を監督することで、組織内でのサイバーリスクを最小化するためどのように役立つかについて話し合いました。

• セキュリティに関する対談: Google の情報セキュリティ担当上級ディレクターである Heather Adkins は最近、Ryan Narraine とともにセキュリティに関する対談のポッドキャストに出演し、ソフトウェアのサプライ チェーン、ゼロトラスト アーキテクチャ、現代のデスクトップ コンピューティングが今後どうなっていくかについて話し合いました。両名は、セキュリティの原則を組織の基盤に組み入れることの重要性についても議論しました。この論点は、Google の新しい SRE ブックである「安全で信頼性の高いシステムを構築する」でも詳しく取り上げています。こちらから無料でダウンロードできますので、ぜひご覧ください。

• クラウド セキュリティの将来について CSO が語る: 今年初めに Google Cloud は、大手保険会社の Allianz および Munich Re の協力のもと、他に類を見ないプログラム Risk Protection Program を開始しました。このプログラムにより、Google のクラウドのお客様は、セキュリティのリスクを低減できると同時に、Cloud Protection + という Google Cloud のお客様専用のサイバー保険をご利用いただけます。私は、このプログラムとそのツール Risk Manager の重要性について、CSO との最近の Q&A で詳しく説明しました。この Q&A では、コンプライアンス レポートや、クラウドのスケール メリットによりセキュリティの情勢が根本的に変化するという予測も取り上げています。

• IDC による最近の調査で、クラウド インフラストラクチャのセキュリティへの信頼度が非常に高いことが判明しました。回答者の 85% はオンプレミスのインフラストラクチャよりもクラウドの方が安全だと感じると回答しています。オンプレミスの方が依然として安全だと考えている回答者はわずか 15% です。この結果は励みになります。Google はセキュリティの変革におけるクラウドの利点を広く PR しており、クラウドにおけるセキュリティと IT のモダナイゼーションを今後も推進していくつもりだからです。

ソフトウェアのサプライ チェーンとオープンソース ソフトウェア イニシアチブに対するセキュリティ保護の継続的な強化

今日でも、ソフトウェアのサプライ チェーンは、ユーザーが自分のデプロイするソフトウェアに関連するサプライ チェーンのリスクについて意味のある評価をできるとはとても言えない状態です。Google はこの分野に引き続き多くの投資を行い、影響を生み出していきます。

私は先月、サプライ チェーンの完全性に対する攻撃へのソリューションとして、ソフトウェア アーティファクトのためのサプライ チェーン レベル（SLSA、「サルサ」と発音します）を提案しました。これは、ソフトウェアのサプライ チェーン全体にわたるソフトウェア アーティファクトの完全性を保証するための、エンドツーエンドのフレームワークです。これは、Google の社内で過去 8 年以上にわたって使用されており、Google のすべての本番環境ワークロードで必須とされている「Binary Authorization for Borg」からヒントを得たものです。SLSA の目標は、業界、特にオープンソースの状態を改善し、完全性に対する差し迫った脅威を防ぐことです。SLSA を使用すると、ユーザーは使用するソフトウェアのセキュリティ態勢について、十分な情報に基づく選択を行うことができます。

また Google は、Security Scorecards V2 の開始により、Open Source Security Foundation コミュニティとの連携も継続します。これにより Google は新しいセキュリティ チェックを追加し、スコア対象となるプロジェクトの数を増やし、データを分析に利用しやすくしました。

Google は来週、ソフトウェアのサプライ チェーンとコンテナのセキュリティを対象とした半日の Google Cloud イベントを主催します。このイベントでは Google や社外のソフトウェア サプライ チェーンのセキュリティ コミュニティの代表者が、現在のプロセスに対する信頼を築く方法について議論します。基調講演とセッションにはこちらからご登録いただけます。

今月の考察と重要な情報は以上です。「クラウド CISO の視点」の投稿 (英語) を毎月メールで受け取ることを希望される場合は、こちらをクリックしてご登録ください。

-Google Cloud バイス プレジデント兼 CISO Phil Venables