コンテンツに移動
セキュリティ & アイデンティティ

Cloud CISO の視点: 2021 年 5 月

2021年6月3日
https://storage.googleapis.com/gweb-cloudblog-publish/images/gcp_security.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2021 年 5 月 14 日に、Google Cloud blog に投稿されたものの抄訳です。

5 月は、セキュリティ業界にとって重要な月です。2020 年最後の大規模な対面式イベントの一つである、サンフランシスコで行われた RSA の会議から 1 年以上が経ちました。今年は対面式の集まりは開催されない予定ですが、今はセキュリティ コミュニティが集まって多数の成果を振り返り、今後の課題について考えるための重要な時期です。全世界がセキュリティ インシデントに、また解決が必要なあらゆるリスクに注目する中、時には一歩下がって客観的に見ることが大切です。さらに、多数の中小企業や大企業が増大する脅威から自社と顧客を保護するうえで達成した多大な進歩にも目を向けましょう。また驚くべきことに、さまざまな組織がこうした進歩を遂げるのと同時にデジタル トランスフォーメーションを加速させ、顧客をサポートして保護し、現在進行中のリモートワークの課題に対処しています。Google は、このような優れたチームをサポートするという栄誉ある責任を担っています。

最高情報セキュリティ責任者(CISO)の視点のブログ投稿を 4 月に初めて公開して以降、この 1 か月間は Google Cloud チームにとっても多忙な月となりました。本日は、Google のクラウド セキュリティと業界の重要な動向、RSA における Google の発表内容の簡単なプレビューなどをご紹介します。

業界を取り巻く現状についての考察

クラウドにおけるデジタル トランスフォーメーションのリスク ガバナンス - CISO オフィスの最新のホワイトペーパーでは、最高リスク責任者、最高コンプライアンス責任者、内部監査責任者とそのチームを対象に、クラウド変革の課題と機会についてガイダンスを示しました。このような役員の間では、「クラウドに移行すると管理すべきリスクが増える」という誤解が時折見られます。私は前職でこのような指導的役職に就いていた経験から、次のように考えています: クラウドはそれ自体がリスクである一方、セキュリティ、耐障害性、その他のリスクを管理する手段ともなります。このホワイトペーパーでは、組織がデジタル トランスフォーメーションの取り組みを開始する際に考慮すべき事柄について、これらの指導的役職ごとに詳細に見ていきます。

  • グローバルなコンプライアンス要件に対応することの重要性 - コンプライアンスは、規制の厳しい業界、特に公共部門のお客様からの信頼を築くうえで必要不可欠です。インシデントによって重大な影響が生じ得るあらゆる重要な業界において、顧客を保護するための強力な業界慣習と標準が不可欠であることを銘記しておくべきです(これについては、昨夏にご説明したとおりです)。Google Cloud では、全世界のお客様のニーズに対応することを目指して新しいコンプライアンスとセキュリティ証明書を定期的に追加しています。最近では FedRAMP High 認証プロダクトのリストを拡大し、Cloud DNS を加えました。また、アジア太平洋地域のお客様がさまざまなコンプライアンス要件に対応してセキュリティやデータ保護に関する政府の新しい規制を遵守できるようにお手伝いしました。Google Cloud は、Collaborative Cloud Audit Group(CCAG)とともに年次共同監査を完了した唯一のクラウド サービス プロバイダでもあります。CCAG は 39 のヨーロッパの主要な金融機関と保険会社からなる企業連合であり、その各社はクラウド インフラストラクチャとテクノロジーを利用して顧客に革新的なソリューションやエクスペリエンスを提供しています。私はキャリアのほとんどを金融サービス業界で過ごした経験から、お客様がクラウド プロバイダに求める保証を提供するには、アウトソーシング ベンダーに対するリスク評価を管理することが重要だと実感しています。

RSA 2021

今年の RSA では、Google 社員がさまざまな口頭発表や基調講演を行います。特に、以下にご注目ください。

  • 5 月 20 日にサプライ チェーンの回復力に関するセッションを私が行います。このセッションでは複数の専門家を迎え、リスクとセキュリティに対する取り組みをどのように変革すれば次の「サプライ チェーンへの打撃」に対応できるかについて話し合います。また 5 月 18 日に、私はさまざまな業界や政府機関の尊敬する CISO リーダーたちとともに基調討論会に参加します。そこでは、次に訪れる課題に対処するうえで業界としてどのように進歩できるかについて、重要なセキュリティに関する知見や教訓、ベスト プラクティスをお話しします。

  • Google の情報セキュリティ担当シニア ディレクターである Heather Adkins が、安全で信頼性に優れた大規模システムの構築方法に関するセッションを行います。このセッションでは、Google のサイト信頼性エンジニアリング(SRE)の書籍から、安全で信頼性に優れたシステム構築の原則をご紹介します(こちらから無料でダウンロードできます)。根本的に安全で、スケーラブルで、信頼性の高いシステムを設計できるように組織を支援する最新のアーキテクチャとテクノロジーに基づき、業界全体としてセキュリティに対する考え方をどのように変革できるかについて、Heather からのアドバイスを楽しみにしています。

  • Google Cloud のセキュリティ担当シニア プロダクト マネージャーである Nelly Porter は、セキュリティの専門家とともにパネル ディスカッションに参加して、コンフィデンシャル コンピューティング テクノロジーの重要性についてや、このテクノロジーによってセキュリティ環境がどのように変化し、今後どこへ向かうのかについて話し合います。Google Cloud はこの 1 年間、規制が厳しい業界のお客様向けにコンフィデンシャル コンピューティング ポートフォリオを提供する点で優れた成果を上げてきました。そして 2021 年の新たなマイルストーンにも積極的に取り組んでいます。

セキュリティに関する Google Cloud の主な取り組み

  • インフラストラクチャと SRE の注目点 - Google Cloud に加わる前、私は常に Google のインフラストラクチャとこの組織がもたらす Google 独自のメリット(海底ケーブルのイノベーションから SRE の発明と原則に至るまで)に敬服していました。Google のインフラストラクチャには、すべてのレイヤにセキュリティと復元性が組み込まれています。Google のプラットフォームを構築、サポートする Google 社員の多くは、お客様と同じ立場を経験したことがあるため、お客様のニーズを親身になって理解できます。この数か月間、技術インフラストラクチャ チームが成長し、お客様に直接、信頼性、オペレーショナル レジリエンス、セキュリティ上のメリットをお届けするのを見るのは素晴らしい体験でした。例を挙げると、ポーランドに新しいリージョンを開き、ExpressRoute を介してファイバーペアで米国とシンガポールを直接接続する初めての海底ケーブルを発表し、組織がクラウド移行で成功するにはどうすればよいかを重点的に説明した SRE の書籍を公開しました。

  • 新しいセキュリティ基盤のブループリント ガイド - 業界で特に信頼できるクラウドを提供するという Google のミッションに基づき、Google はお客様と協力し、リスク管理における運命共有モデルの実現を目指しています。その一環として、お客様が Google Cloud にワークロードをデプロイする方法に関する主な決定事項と重点分野を示した Google 独自のステップバイステップ ガイドを提供しています。Google Cloud セキュリティ基盤ガイドとそれに対応する Terraform ブループリント スクリプトを更新したのはそのためです。これらのブループリントは、企業内の多数の関係者にとって非常に役立ちます。たとえば Google のクラウド セキュリティに関する主な原則を理解する必要がある CISO や、Google Cloud における組織のセキュリティ、リスク、コンプライアンスのニーズを満たすうえでチームに必要なスキルを素早く特定する必要がある企業の役員などです。

Google では、どんな機能をプロダクトに組み込むかを考える際、多くの原則に従っています。その中で必須の原則として私が常に立ち返るのは、次の 2 つです。

  1. 単なるセキュリティ プロダクトではなく、セキュアなプロダクトに対するニーズ。すべてのプロダクトにはセキュリティが組み込まれるべきです。Google は優れたセキュリティ プロダクトを構築していますが、セキュリティ チームもその他のチームも常に、セキュリティの基本レベルを高めて Google の全プロダクトにおけるセキュリティ機能を向上させることに取り組んでいます。

  2. 多層防御。Google は Google 自身とお客様のために、攻撃に対する多層防御だけを重視しているのではありません。構成エラーやその他の障害に対する多層防御も重要だと考えています。

新しい機能とプロダクトに関する後述の要点をご覧になれば、安全なプロダクトとあらゆる形式の多層防御に対する Google の取り組みがわかるでしょう。

  • Workload Identity 連携 - サービス アカウント キーは強力な認証情報であり、正しく管理されない場合はセキュリティ リスクになりかねません。より安全な方法は、Workload Identity 連携で IAM を使用し、サービス アカウントの権限借用機能を含む IAM ロールを外部 ID に対して付与することです。こうするとユーザーはリソースに直接アクセスできるので、サービス アカウント キーに関連するメンテナンスとセキュリティの負担がなくなります。また、Google Cloud でサービス アカウントを使用して認証する最適な方法に関する全般的なガイダンスも提供しています。

  • VPC-SC のディレクショナル ポリシー - VPC Service Controls(VPC-SC)を使用すると、管理者は Google が管理するサービスのセキュリティ境界を定義して、これらのサービスへの通信やサービス間の通信を制御できます。VPC-SC を使用すると、本番環境の Google Cloud Platform(GCP)リソースを無許可の VPC ネットワークやインターネットから分離できます。しかし、お客様自身がセットアップした分離環境の間でデータを転送しなければならない場合はどうでしょうか。VPC-SC のディレクショナル ポリシーは、分離された環境間での効率的、プライベート、かつ安全なデータ交換を構成できる新しい安全なデータ交換機能です。

  • Anthos Service Mesh が仮想マシン(VM)およびクラスタの両方をサポート - ほとんどの企業のコンピューティング リソースはまだ VM にあり、その多数が今後も長い間そのまま VM にあるでしょう。Anthos 1.7 では、VM ベースのワークロードでコンテナベースのワークロードと同じメッシュ機能を利用できるようになりました。

  • Cloud Spanner での CMEK とアクセス承認 - Cloud Spanner は Google Cloud のフルマネージド リレーショナル データベースで、無制限のスケーリング、高パフォーマンス、リージョン間の強整合性、高可用性を提供します。Spanner では顧客管理の暗号鍵(CMEK)とアクセス承認がサポートされるようになりました。これは、お客様のコンテンツに Google サポートチームやエンジニアリング チームがアクセスする前に承認を求める、Google Cloud の業界最先端の管理機能です。

  • External Key Manager の機能拡張 - 2020 年初頭、Google は業界最先端の Hold Your Own Key(HYOK)プロダクトである、Cloud External Key Manager(Cloud EKM)をリリースしました。Cloud EKM を使用すると、Google Cloud 内のデータの保護に使用される鍵のホスティングと管理が完全に Google Cloud インフラストラクチャの外部に委ねられます。Cloud EKM がリリースされた当初は BigQueryGCE / PD がサポートされていましたが、このたびサポート対象が Cloud SQLGKEDataflow ShuffleSecret Manager に拡大されました。これらのサービスにおける CMEK のサポートは現在ベータ版です。Cloud EKM の機能、アーキテクチャ、ユースケースの詳細は、新しいホワイトペーパーで説明しています。

  • ウェブアプリと API 保護ソリューション - 企業が顧客やパートナーと接するうえで、ウェブアプリと公開 API の重要度はますます高まっており、これらのリソースを不正行為や不正使用から保護するためのツールへの投資も増えています。ウェブアプリと API を保護する新しい Google Cloud ソリューションは、Google が自社の公開サービスをウェブアプリの悪用、DDoS 攻撃、不正な bot 活動、API 標的型脅威から保護するために使用しているのと同じ技術を基盤としています。このソリューションにより、クラウドでもオンプレミス環境でも保護が実現します。

  • Threat Intel for Chronicle - ほとんどの脅威インテリジェンス フィードでは、セキュリティ チームがそれらを実装したり手間のかかる作業を行ったりする必要があります。Google の新しい Threat Intel for Chronicle サービスでは、Google のインテリジェンス情報をお客様のセキュリティ テレメトリ全体に自動的に適用し、お客様の環境における一意の検出結果を提示します。Threat Intel for Chronicle は Uppercase によってエンタープライズ企業のお客様専用にキュレートされており、Google Cloud のインテリジェンス研究応用チームがインターネット上の脅威に関する知見を提供して、それらの脅威をアラートとして顕在化させます。

今月の考察と重要な情報は以上です。この Cloud CISO の視点の記事を毎月メールで受け取ることをご希望の方は、こちらをクリックして登録してください。それでは 6 月にまたお会いしましょう。

-Google Cloud バイス プレジデント兼 CISO、Phil Venables

投稿先