クラウド CISO の視点: 2022 年 7 月
Google Cloud Japan Team
※この投稿は米国時間 2022 年 7 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。
今月の「クラウド CISO の視点」をご覧いただきありがとうございます。今号からは、業界とお客様から世界的に注目されている最近の話題をさらにご紹介していきます。
今日の焦点は組織の取締役会とサイバーセキュリティの実践の変化し続ける関係性です。この変化は、特にクラウドへのデジタル トランスフォーメーションで顕著です。この話題は、企業が戦略的リスク、競争上のリスク、防御リスクの管理を迫られる中、リスク対応プロセス、今後想定される規制、サイバーセキュリティのリスクをさらに軽減するために現在行われているイニチアチブといった文脈の中で最近よく取り上げられています。
他の「Cloud CISO の視点」と同じく、このニュースレターのコンテンツは今後も Google Cloud 公式ブログに投稿していく予定です。このブログをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。
取締役会からのサイバーセキュリティ
Google Cloud を検討中または利用中のお客様企業と話をする中で、クラウドへのデジタル トランスフォーメーションに関わる部署と取締役会との関係性について、主に次の 3 つのパターンが存在することがわかりました。
最良のシナリオでは、取締役会、事業、リスク、IT、セキュリティの各チーム間の連絡と連携が密で、組織的な整合が実現します。これは努力、実践、形式化の成果です。これについては、Google Cloud の CISO オフィス ディレクターの Nick Godfrey と私が以前に書いた研究論文『クラウドリスク ガバナンスに関する取締役会向けハンドブック』にまとめています。
取締役会が IT やセキュリティ担当チームより慎重。このパターンは、ビジネス リーダー、IT チーム、セキュリティ チームがインフラストラクチャ、アプリケーション、データ環境のモダナイゼーションを推進するための手段としてクラウドを完全に後押ししている場合によく見られます。こうした担当者は、クラウドがリスクを軽減するためのものであり、クラウド内での管理やクラウド自体の管理におけるリスクは別物であると考えています。一方で取締役会はまだこのような考え方ではないため、取締役会を納得させ、懸念を払しょくして、デジタル トランスフォーメーションにおいても組織を安全に管理できる適切な制御フレームワークが存在することを示す必要があります。
デジタル トランスフォーメーションの加速とアジリティ向上を呼び掛けるのが、IT やセキュリティの担当者ではなく取締役会。このような状況では、取締役会と事業、IT、セキュリティ、リスクの各チーム間との整合を確保するため、取締役会や特定の主要役員などとの継続的な連携や知識共有が必要です。一方で、このパターンでは、IT チームやセキュリティ チームが適度にリスク緩和しつつトランスフォーメーション加速のための適切な道筋を示せるように、IT チームやセキュリティ チームの優先順位をより高くする必要性も示されています。
上述 3 つのいずれのパターンであっても、組織は、取締役会による企業全体におけるサイバーセキュリティの実践への関与を強化する必要があります。つまり、サイバーセキュリティ担当責任者がリスクを確実に軽減してパフォーマンスを向上させるには、組織の承認と関与が必要です。当然のことながら、これには経営幹部だけでなく取締役会も含まれます。それでも、多くの組織にとってまだ大きな課題が残ります。
取締役会が幹部に期待するサイバーセキュリティ目標に関する詳細なチェックリストは多数あり、その多くが、サイバーセキュリティ担当責任者にとっては開始点として最適です。私の個人のブログにも書きましたが、米国の National Association of Corporate Directors(NACD)と英国の Institute of Directors(IoD)が実務担当者とパートナーシップを結び、優れたリーダーシップを発揮しています。また、取締役会と密接に連携している人々からの定期的なコメントも数多くあります。
ただし、ガイダンスが詳細すぎることは、非生産的な場合もあります。質問に適切な回答が返ってくるのであればすべてうまく行くと取締役が考えてしまう可能性もあります。取締役と協力したり取締役会に出席する中で、豊富な経験や戦略的リスクと企業リスクの判断を活用することより基本的な質問をすることの方が、取締役には有効であることがわかりました。このような質問は表面的には基本的な質問に見えますが、実際に回答することは多くの企業における幹部チームにとって困難です。
私の見解では、提供できる数多くのヒントの中で、次の 4 つは最適な開始点だと思います。最も重要なのは、組織の完全性を実現しミッションと企業文化に沿った、組織にとって効果的なアプローチを開発することです。
1. リスクに焦点を当てる。直面しているリスクを組織が把握するうえで役立つ質問は、最も重要な資産とビジネス サービスにとって最重要リスクは何か、そのリスクを軽減できるのはどのような制御か、制御が適切に行われ効果を発揮しているかについて誰が継続的に評価するか、どのようなリスクが残っているか、そのリスクは許容範囲だと考えているのは誰か、どのような相殺要因やリスク移転があれば許容範囲と判断するか、どの経営管理グループがこのプロセスの測定結果を定期的にモニタリングするか、です。
ご注意いただきたいのは、これらの質問に「サイバーセキュリティ」や「テクノロジー」という言葉が一切含まれていないことです。リスクに焦点を当てることで、意図していることと組織が直面していることが明確になります。また、このような質問は問うのは簡単ですが、的確に答えるのは容易ではありません。リスク分類と資産、サービスのインベントリを作成し、リスクと継続的管理をモニタリングして、リスク統制システムを進化させるには多大な労力が必要です。
2. サイバーを越えた視点を持つ。サイバーセキュリティは多くのテクノロジー リスク、情報リスクの一つにすぎず、単独で語られるべきではありません。最善のサイバーセキュリティ リスク軽減策の多くは、ソフトウェアとサービスのライフサイクル管理、ID とアクセスの管理、データ ガバナンス、ゼロトラスト アーキテクチャ、レジリエンスが高くモニタリングされている本番環境サービスといった制御を提供する、優れたテクノロジー プラットフォームです。
3. ビジネスの視点で考える。顧客への潜在的な影響も考慮に入れて、すべてのサイバーセキュリティ リスクとテクノロジー リスクをビジネスの視点からコンテキスト化します。これは、リスク = 危険要因 + 不満の式が組織に与える影響について考える際の出発点として最適です。風評リスクとブランドへの影響、さらに直接的損失の可能性は必ず考慮する必要があります。
4. ビジネス イニシアチブにサイバーを盛り込む。取締役会における議論は実に多様で、ビジネス イニシアチブ、リスクおよび制御のレビュー、戦略議論、財務レビュー、認証などのまったく異なる話題が扱われます。複数の事業部門や制御部門の同僚責任者と協力して、サイバーセキュリティとテクノロジーのリスクが取締役の議題に上るようにします。このような責任者と連携し、自分の経験に基づく質問が取締役会で出るように責任者に準備させます。
これにより、企業全体のリスク緩和を実現するための運命共同体が生まれます。アクティビティやビジネス プロセスでサイバーセキュリティの管理状況について取締役が CISO(最高情報セキュリティ責任者)のみに質問するのではなく、あらゆる関係者に問いかけることでトランスフォーメーションが推進される可能性があります。
サイバーセキュリティ リスクを管理するために取締役と連携するということは、単に適切なプレゼンテーション資料や指標を準備するということではありません。企業全体のリスク管理とビジネスという俯瞰的な視点からサイバーセキュリティをコンテキスト化し、組織がリスク許容性を高められるようにすることです。
取締役会にとってサイバーセキュリティの課題は簡単なものではありませんが、その解消に向けて取り組むことで取締役会と組織の関係性がより健全なものになり、さらには組織全体の健全性も高めることができます。このような重要な問題に関する理解を深めていただくため、CISO のクラウド セキュリティ トランスフォーメーション ガイドとクラウドにおけるデジタル トランスフォーメーションのリスク ガバナンスについてのガイドブックを公開しました。前述の取締役会のサイバーセキュリティガイドで発表した研究と合わせて、上記ガイドブックも、リスク管理と適切なガバナンスを行いながらデジタル トランスフォーメーションのアジリティと迅速性を維持するためにぜひお役立てください。
Google サイバーセキュリティ対応チームのハイライト
Cloud Security チームからの今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。
セキュリティ
クラウドにおける脅威の検出についての考え方: 組織がオンプレミスからハイブリッド クラウドもしくは純粋なクラウドに移行するにあたり、脅威の検出についての考え方も同時に進化させる必要があります。多くのクラウド環境にまたがる脅威に直面している場合は、特にその必要があります。こちらでは、デジタル トランスフォーメーションの安全性を高めるための新しい基礎的フレームワークを提案しています。詳細はこちら。
セキュリティのシフトレフトで最終的な収益を向上: ソフトウェア開発のライフサイクルでは、「シフトレフト」というコンセプトが広く推奨されています。開発サイクルの早期に(「工程の左側で」)ソフトウェア関連のセキュリティの欠陥を減らし潜在的な構成ミスを特定することで、ポスト プロダクションの欠陥を減らすことができます。その方法をご紹介します。
Google によるポスト量子世界に向けた準備: ポスト量子暗号(PQC)標準化プロセスの第 3 ラウンドの終了に関する NIST による 7 月の発表と、Google が参加した提出物が標準化に選定されたことを受け、Google の PQC 作業が焦点を当てている 4 つの領域について説明しています。詳細はこちら。
自律型のセキュリティ運用を向上させるための指標に注目する: セキュリティ オペレーション センターは、サイト信頼性エンジニアリングの変革において IT オペレーションが経験したことから多くを学べます。SOC が脅威に先手を打つためには、学んだ事柄をどのように採り入れて、サービスレベル目標にどのように関連付けるかが重要です。詳細はこちら。
セキュリティ運用において共感がいかにして重要な役割を果たすか(そしてその理由): SecOps における課題は、多くの場合、アラート疲れ、スキル不足、可視性の欠如の 3 つにまとめられます。そしてこれと同様に重大な課題がもう 1 つあります。それは、謙虚さと思いやりを、ユーザー、お客様、サードパーティ、同僚、さらには競合先にまで拡大することです。幸いなことに、この課題に対処するためにテクノロジーは必要なく、成果として、生産性の向上、効果的な関係、多様な考え方、より強力でレジリエンスに優れたセキュリティ対策がもたらされます。詳細はこちら。
Apigee Advanced API Security が Google Cloud に登場: 増大する API セキュリティのニーズに対処しやすくするために、Google Cloud は Advanced API Security のプレビュー版を発表しました。Advanced API Security は、Google の API 管理プラットフォームである Apigee 上に構築され、API セキュリティ機能を包括的に備えています。ここでは、今回のリリースに含まれる 2 つの主要な機能を紹介しています。API の構成ミスの特定とbot 検出です。詳細はこちら。
MSSP が抱える主な課題を Google Cloud SecOps で解決: COVID-19(新型コロナウイルス感染症)の感染拡大にともない、クラウドに移行した組織のセキュリティ チームは数多くの大きな課題に直面しています。たとえば、大量のアラート、検出ツールを追加する必要性、セキュリティ スキルの不足などです。6 つのよくある問題と、その解決方法をご紹介します。
SecOps のよくある課題を解決: SecOps はやりがいのある仕事ですが、同時に非常に消耗する仕事でもあります。離職率を抑えるには、SecOps が以前から抱えている、新しい方法には適合しないと思われるような大きな課題について検討する必要があります。SecOps の負担を低減するための 5 つの優れた戦略をご紹介します。
業界の最新情報
Health-ISAC と連携し、レジリエンスを有するヘルスケア エコシステムを構築: 2021 年 8 月に、Google はサイバーセキュリティ分野の強化を目的に今後 5 年間で 100 億ドル以上の投資を実施することを発表しました。この取り組みの一環として、Google Cloud は、主要なクラウド プロバイダとしては初めて Health Information Sharing and Analysis Center(Health-ISAC)と提携を結びました。Google Cloud は Threat Horizons レポートや Google サイバーセキュリティ対応チームなどのリソースおよび専門家を提供し、ヘルスケア コミュニティ全体やコミュニティのリーダーとの連携を図っていく計画です。詳細はこちら。
Google、オープンソース セキュリティの改善を求める CSRB の呼びかけを支持: ソフトウェア ライブラリ log4j の脆弱性に関する最初のレポート結果が米国の Cyber Safety Review Board によって発表されました。そして Google は、CSRB レポートの作成に参加するという機会を得ました。log4j レポートの勧告に対する Google のアプローチをご紹介します。詳細はこちら。
コンプライアンスと制御
Google Workspace が米国国防総省 IL4 認定を取得: Google Workspace は米国国防総省の影響レベル 4(IL4)の認定を獲得しました。これは、最近設立された Google の子会社である Google Public Sector を通じた、連邦政府、州政府、地方自治体、教育機関のニーズに対応するための継続的な取り組みにおける重要なマイルストーンとなりました。詳細はこちら。
IAM Conditions とタグを使って Cloud Bigtable を活用する: データの安全な公開は、Google の低レイテンシ、高スループットの NoSQL データベースである Cloud Bigtable のコア機能の一つです。Bigtable リソースのアクセス制御オプションを IT チームとセキュリティ チームがどのように構成できるかについてご紹介します。詳細はこちら。
GKE ユーザーが Kubernetes の新しいサービス アカウント トークンについて知っておかなければならないこと: Kubernetes にデプロイしたアプリケーションは、サービス アカウントとして実行されます。サービス アカウントとは、Kubernetes コントロール プレーンによって理解されるシステム ユーザーです。Kubernetes サービス アカウント トークンは鍵として機能するため、Kubernetes クラスタを安全に構成できます。その仕組みをご紹介します。
セキュリティ チームが共有すべきヒント
7 月には、Google Cloud のセキュリティ アーキテクチャに役立つ 4 つのガイドが公開されました。これらのガイドは、Google のリード デベロッパー アドボケイトである Priyanka Vergadia によるもので、IT スタッフ間ですぐに共有可能です。セキュリティの仕組みを説明するカラフルな図解もあるので、ぜひご活用ください。
ネットワークとアプリケーションのセキュリティ: この入門ガイドは、ネットワークとアプリケーションのセキュリティの設定方法を詳細に説明しています。
データ セキュリティ: このガイドは、Google Cloud のデータ セキュリティ アーキテクチャと、組織の安全性を高めるための活用方法に焦点を当てています。
セキュリティ モニタリング: クラウドへの移行には、セキュリティ対策とリスク体制をどのように効果的に管理するかという基本的な問題が伴います。この Security Command Center ガイドは、Google のネイティブのセキュリティおよびリスク管理プラットフォームによるセキュリティ対策とリスク体制の効果的な管理方法を紹介しています。
Cloud Data Loss Prevention: Cloud Data Loss Prevention は、データベース、テキストベースのコンテンツ、さらには画像の中のセンシティブ データを検出、分類、保護できるように設計されたフルマネージド サービスです。Google Cloud DLP の仕組みはこちらでご覧いただけます。
Cloud Identity and Access Management: このガイドでは、組織が Identity and Access Management を活用して、組織内の人間のユーザーとサービス アカウントがアクセスできるリソースを定義する方法について詳細に説明しています。Cloud IAM の詳細をご覧ください。
お客様のイノベーション
Ocado Technology は食料品の安全なオンライン ショッピングを Google Cloud でどのように実現したか: Ocado Smart Platform は、これまでの食料品の買いもののあり方に大きな一石を投じました。このプラットフォームのおかげで、世界で最も先進的な考えを持つ食料品小売業者の一部では、オンライン運用が可能になりました。セキュリティの脆弱性を事前に特定して対処するために、Ocado は Google Cloud の Security Command Center Premium を使用して脆弱性および脅威のレポートを一元化しています。詳細はこちら。
Nordic Choice Hotels は ChromeOS Flex でどのようにランサムウェアを解決したか: Nordic Choice Hotels のテクノロジー担当バイス プレジデントの Kari Anna Fiskvik 氏が、ランサムウェアの攻撃を受けてデジタル ルームキー カードが無効化されてしまうという最悪な状況から、ChromeOS Flex を使用してどのように回復したかについて語ります。詳細はこちら。
Exabeam がペタバイト規模のサイバーセキュリティ ソリューションを実現する方法: SIEM と XDR の Exabeam は Google Cloud と提携を結び、BigQuery、Dataflow、Looker、Spanner、Bigtable を使用して、500 を超えるセキュリティ ベンダーからのデータの取り込みを改善し、構造化されていないデータをセキュリティ イベントに変換して、費用対効果の高い方法でそれらのデータを保存する共有プラットフォームを作成できるようにしました。その理由をご覧ください。
Google Cloud Security Podcast
2021 年 2 月に、Cloud Security に焦点を当てたポッドキャストを新たに配信開始しました。視聴したことがない方は、月に 4~5 本のポッドキャストを公開していますのでご確認ください。ホスト役の Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界が今日直面している特に重要で困難なトピックについて話し合います。今月に取り上げたトピックは、次のとおりです。
Google は検出と対応をどのように調整しているか。ゲスト: Tim Nguyen(Google、検出および対応担当ディレクター)。視聴はこちらから。
SOC を出力ベースの検出と対応にいかに進化させるか。ゲスト: Erik Bloch 氏(Sprinklr、検出および対応担当シニア ディレクター)。視聴はこちらから。
クラウド セキュリティの向上における投資の役割について。ゲスト: James Luo 氏(CapitalG、パートナー)。視聴はこちらから。
安全な SaaS(ただし、クラウド アクセス セキュリティ ブローカーによらない)の強化。ゲスト: Ben Johnson 氏(Obsidian Security、CTO 兼共同創設者)。視聴はこちらから。
Cloud CISO の視点を毎月メールで受信するには、ニュースレターに登録してください。来月も引き続きセキュリティ関連の最新情報をお届けします。
- Google Cloud、バイス プレジデント兼 CISO Phil Venables