Cloud CISO の視点: 2022 年 6 月
Google Cloud Japan Team
※この投稿は米国時間 2022 年 6 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。
6 月は、サンフランシスコで対面式の RSA Conference が再開された月となりました。RSA Conference は、世界で最大規模のサイバーセキュリティ エンタープライズ カンファレンスの一つです。Google Cloud の数々のイベント、Cyversity と提携して主催したパネル ディスカッションをはじめ、カンファレンス開催期間において、多くの皆様とお会いでき、大変嬉しく思っています。
RSA において、Google は業界をリードするセキュリティ プロダクトに重点を置いていましたが、セキュリティ プロダクトにとどまらない、より安全性を高めたプロダクトの開発(および業界におけるそうした開発の促進)という目標についても、より重要な点として注力しました。
また、このニュースレターは、Google Cloud ブログとメールでご覧いただけます。こちらでご登録ください。
RSA Conference
Google Cloud から RSA に参加した私たち全員が、業界全体からのお客様、パートナー様、および同僚と対面でつながる機会を持てたことに大変感謝しています。Google Cloud が、カンファレンスでのプレス、アナリスト、行政機関、お客様との会議で協議した主要なテーマは次のとおりです。
デジタル主権: クラウドを使用して、組織がデータ ローカリゼーションに関する要件に対応および管理し、必要な運用とソフトウェアの主権を達成できるようにするクラウドの使い方です。主権は、単に規制要件を満たすだけのものではないと考えています。このような原則は、デジタルの未来を制御する能力を付与するだけでなく、組織の革新性と復元力の向上を促進します。
高度化した脅威に対する防御: 組織は、かつてないほど高度化した脅威が存在する状況で事業運営しているなかで、セキュリティ体制の管理やより広範囲にわたるゼロトラスト機能の導入などの保護の強化に目を向けています。Google Cloud は、脅威管理チームとセキュリティ運用チームの生産性とスキルを向上させるための取り組みにも重点を置きました。
脅威インテリジェンス: お客様サポートでの大きな役割は、さまざまなプロダクトや機能を通じて脅威インテリジェンスをさらにキュレートしてリリースする方法に関心を持ち続けることです。
このようなテーマから、セキュリティおよび技術の意思決定者が求めているもの、つまり、セキュリティ プロダクトにとどまらない、全体として安全なプロダクトが示唆されています。これは、Google Cloud での「運命の共有」哲学の重要要素です。今日の環境では、セキュリティを最優先し、Google のすべてのプロダクトとソリューションに安全な機能を組み込むことで、お客様のトイルを低減および防止できると考えています。
RSA には優れた人や組織が結集していますが、Google でも、より多様性のあるサイバーセキュリティ人材の拡大を目指す業界の取り組みについて検討しました。そうしたなか、Google のサンフランシスコ オフィスで、ともに業界の多様性の推進に熱心に取り組んでいる、Cyversity とカリフォルニア大学バークレー校の Center for Long-Term Cybersecurity とのパネル ディスカッションを主催する機会を得ました。
Google Cloud の CISO オフィスのディレクターである MK Palmore が、多様性とサイバーセキュリティについてのパネル ディスカッションの司会を務めました(ゲストは、カリフォルニア大学バークレー校の Ann Cleaveland 氏、Walmart の Rob Duhart 氏、Cyversity の Larry Whiteside Jr.氏です)。写真提供: MK Palmore
このカンファレンスから学んだ重要なポイントの一つは、サイバーセキュリティ組織がリスク、特にセキュリティ リスクを効果的に管理するには、多様なバックグラウンド、経験、視点が不可欠であるということでした。
同僚の MK Palmore が指摘したように、脅威の状況の多くにおいては、問題解決能力が重要になります。そのため、最も困難な問題に対処するために、さまざまな見解と視点を取り入れることが必要不可欠になります。これを実現する方法の一つに、人材パイプラインを拡張することがあります。業界全体で毎年 100 万を超えるサイバーセキュリティ職で適した人材を見つけられていません。そのため、セキュリティを専攻したわけではないがこの分野への求人に興味を持つ人材を含め、学生や新規求職者にサイバーセキュリティの話題を積極的に持ち掛ける必要があります。
進歩には、民間と公共のパートナーシップの組み合わせが必要であり、Cyversity のような組織は、社会的地位の低いコミュニティの女性や個人に適切なリソースと機会を提供してきた実績があります。Google は企業として、現在および将来に向け多様性の高い人材の育成に取り組んでいます。
セキュリティ プロダクトだけでなく、安全なプロダクト
セキュリティは、すべてのプロダクトに組み込まれるべきです。私たちは皆、すべてのプロダクトにおけるセキュリティの基本レベルを絶え間なく改善することに重点を置く必要があります。
Google におけるこうした取り組みの一例として、ソフトウェアのサプライ チェーンに Google Cloud の新しい Assured Open Source Software サービスを組み込む方法に関するガイドを提供しています。Assured OSS により、信頼しているオープンソース ソフトウェアの安心感をより高めることができます。さらに、Cloud Build、Artifact Registry、Container / Artifact Analysis などのセキュリティ機能を組み込めるよう、あらゆるデベロッパー ツールに対応できるよう作業を続けています。
Google サイバーセキュリティ対応チームのハイライト
今月のクラウド セキュリティ チームの最新のアップデート、プロダクト、サービス、リソースは以下のとおりです。
セキュリティ
MITRE とのセキュリティのマッピング: MITRE Engenuity Center for Threat-Informed Defense との調査提携を通じて、Google Cloud のネイティブ セキュリティ機能を MITRE ATT&CK にマッピングしました。これにより、お客様は Autonomic Security Operations を導入しやすくなります。Autonomic Security Operations には、継続的な検出と継続的なレスポンス(CD / CR)のワークフロー全体で、脅威情報に基づく意思決定力が必要だからです。詳細を読む。
機密データの保護と管理に役立つ BigQuery の 2 つの新機能: データアクセスの管理は、組織や規制当局にとって引き続き重要な懸念事項です。この懸念事項に完全に対処するには、データをライフサイクル全体を通して安全に保てるように、機密データを適切なメカニズムで保護する必要があります。BigQuery の 2 つの新機能は、機密データの保護と管理に役立ちます。現在、一般提供されている暗号化 SQL 関数では、列レベルでのデータの暗号化と復号が可能です。プレビュー版の動的なデータ マスキングでは、定義されたマスキング ルール、ユーザーロール、特権に基づいて、クエリ時に列レベルのデータを選択してマスキングできます。
Confidential GKE Node の導入: 成長を続ける Confidential Computing プロダクト ポートフォリオの一部である Confidential GKE Node により、データがメモリ内で確実に暗号化されます。現在実行している GKE ワークロードは、コードを変更することなく機密性を保持して実行できます。
よりきめ細やかな GKE リリース コントロールを追加: お客様は、GKE クラスタをリリース チャンネルに登録できるようになったため、クラスタとノードで、いつ、どのように、何をアップグレードするか決めることができます。このようなアップグレードのリリース コントロールにより、組織は新しいセキュリティ パッチが適用可能になったときに、DevOps チームに通知するなどのタスクを自動化できるようになります。
reCAPTCHA Enterprise を使用したパスワード漏洩検出: パスワードの使いまわしが危険なことは広く知られています。しかし、パスワードがアカウント認証の一般的な形式のままである限り、結局、パスワードが再利用されることとなります。reCAPTCHA Enterprise のパスワード漏洩検出を使用すると、組織はエンドユーザーにパスワード変更を警告できるようになります。この機能には、認証情報の詳細を Google のバックエンド サービスから隠すプライバシー保護 API が使用されています。お客様は、ユーザーの認証情報を非公開のままにできるようになります。
データベース監査が Cloud SQL に対応: このセキュリティ機能を使用すると、お客様は、データベースの作成、データの挿入、テーブルの削除など、Google Cloud SQL Server データベースへの変更をモニタリングできるようになります。
DNS ゾーン権限: Cloud DNS チームは、新機能のマネージド ゾーン権限のプレビュー版を発表しました。この機能により、DevOps チームが分散している企業は、アプリケーション チームに Cloud DNS のマネージド ゾーンの管理を個々に委任できるようになります。そうすることで、あるアプリケーション チームが別のアプリケーションの DNS レコードを誤って変更することを防げます。また、許可されたユーザーのみがマネージド ゾーンを変更できるため、セキュリティ体制を強化できます。最小権限の原則がより適切にサポートされるようにもなります。
Cloud Armor の新機能: Cloud Armor の対象範囲が、さらに多くの種類のワークロードに拡大されました。新しいエッジ セキュリティ ポリシーにより、Cloud CDN、Media CDN、Cloud Storage を使用してワークロードを防御し、キャッシュから提供される前にリクエストをフィルタできるようになります。Cloud Armor は、TCP プロキシおよび SSL プロキシのロードバランサにも対応し、悪意のあるトラフィックがロードバランサの背後にあるバックエンドに到達しようとするのをブロックできるようになりました。また、デプロイのセキュリティ、信頼性、可用性を高める機能も追加しました。たとえば、クライアントごとのレート制限に対する 2 つの新しいルール アクション、reCAPTCHA Enterprise における悪意のある bot の防御、高度化したレイヤー 7 攻撃に対抗する機械学習ベースの Adaptive Protection などです。
業界の最新情報
SLSA と SBOM は、医療機関の復元力をどう高められるか: 医療機関は、引き続き、さまざまな脅威の主要な標的となっており、Google は、医療業界が復元力を高めるためのサイバーセキュリティ プラクティスを進展させる支援を行っています。増え続けるサイバー攻撃に直面した場合の復元力を高めるには、ソフトウェア部品表(SBOM: software bills of materials)とソフトウェア アーティファクトのためのサプライ チェーン レベル(SLSA: Supply chain Levels for Software Artifacts)のフレームワークが役立つと考えています。ソフトウェアのサプライ チェーンの安全性を確保することは、防御側にとって重要な優先事項であり、Google が組織を支援するために取り組んでいることでもあります。こちらの SLSA と SBOM について深く掘り下げた記事で詳しく説明しています。
組織の統合に関する Google Cloud のガイダンス: 2 つの組織を統合する場合、2 つのクラウドのデプロイをできるだけ安全なやり方で統合することが不可欠です。セキュリティ上の懸念事項(特に Identity and Access Management に関する)に対処するベスト プラクティスを公開しました。
公共部門向けのプライバシー管理の強化: Google Workspace はクライアント サイドの暗号化を追加し、暗号鍵の保存方法と保存場所を選択することで、公的機関が機密性を完全に保持して、データを管理できるようにしました。
コンプライアンスと制御
Google Cloud におけるセキュリティの概要: 組織がデジタル トランスフォーメーションを始めたばかりでも、成熟したクラウドで運用していても、こちらの Google Cloud のセキュリティの仕組みをわかりやすく図解した概要は、組織の安全性を高めるために Google Cloud のセキュリティが実現できることは何かを事業チームや開発チームが説明する際に役立ちます。
Google Cloud のお客様向けサービスデータの処理への新たなコミットメント: オランダ政府との連携作業とその Google Workspace と Workspace for Education のデータ保護影響評価(DPIA: Data Protection Impact Assessment)の一環として、Google は、顧客データに対して提供しているコミットメントと合わせて、プライバシーに関する契約上のコミットメントを、サービスデータに対して新たに提供する予定です。詳細を読む。
Google Cloud における DORA への対応準備: Google Cloud は、デジタル オペレーショナル レジリエンスに関する規制(DORA: Digital Operational Resilience Act)について、欧州の立法府による組織間合意を歓迎しています。これは、増々巧妙化するサイバー攻撃を含む、情報通信技術に関連したあらゆる種類の混乱や脅威に対し、金融機関が抵抗、対処、復旧できるよう制定された新規制の導入における大きな節目となります。詳細を読む。
Google Cloud Security Podcast
2021 年 2 月に、Cloud Security に焦点を当てたポッドキャストを新たに配信開始しました。まだ視聴したことがない方は、月に 4~5 本のポッドキャストを公開していますのでご確認ください。ホスト役の Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界が今日直面している、特に重要であり課題とされているトピックについて話し合います。今月に取り上げたトピックは、次のとおりです。
クラウドにおける優れた検出とレスポンス(マネージド検出およびレスポンスのソリューションを提供している Expel 社を率いる Dave Merkel 氏と Peter Silberman 氏)視聴はこちらから。
Google は、「レッドチーム」演習をどのように実施しているか(Google のシニア セキュリティ エンジニア、Stefan Friedli)視聴はこちらから。
RSA 2022 に対する Anton と Timothy の所感。視聴はこちらから。
クラウド セキュリティの脅威の監視と理想的な追跡方法(クラウド セキュリティのスタートアップ、Lacework のセキュリティ リサーチ担当ディレクター、James Condon 氏)視聴はこちらから。
AI の脅威についてのさまざまな疑問について(Google のリサーチ サイエンティスト、Nicholas Carlin)。視聴はこちらから。
Cloud CISO の視点を毎月メールで受信するには、ニュースレターに登録してください。来月も引き続きセキュリティ関連の最新情報をお届けします。
- Google Cloud、バイス プレジデント兼 CISO Phil Venables
