アイデンティティとセキュリティ

Cloud CISO の視点: 2022 年 5 月

GCAT

※この投稿は米国時間 2022 年 6 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。

5 月は、サンフランシスコで開催される RSA Security Conference への参加準備や業界との連携など、Google にとって新たに重要な月となりました。Google は引き続き、Google Cloud と Google Workspace のすべてのお客様に向けて Google Cloud の Security Summit で新しいセキュリティ プロダクトとセキュリティ機能をリリースするとともに、この 1 か月にわたりサービスとサポートをさらに強化しました。

Google Cloud の Security Summit 2022

5 月 17 日に開催された毎年恒例の Security Summit は大成功のうちに幕を閉じました。サミット前の数日間は、ゼロトラスト ポリシーを政府機関に提供するためにどうすべきかを検討し、AMD とパートナーシップを結んで Confidential Computing を推し進めていくことを発表しました。これには、第 3 世代 AMD EPYC プロセッサ ファミリーの AMD Secure Processor の実装に焦点を当てた詳細なレビューも含まれていました。

また、セキュリティ ソリューションのポートフォリオの最新情報も発表しました。その一つが、Google Cloud の新しい Assured Open Source Software サービス(Assured OSS)です。これは、オープンソース ソフトウェアを利用する企業や公共部門のユーザーが、Google が使用しているのと同じ OSS パッケージを自社の開発者ワークフローに簡単に取り入れることを可能にします。自律型のセキュリティ運用(ASO)を米国公共部門向けに拡張しました。これは、サイバーセキュリティ分析や脅威管理をモダナイズするソリューション フレームワークで、ゼロトラストと、2021 年のサイバーセキュリティ大統領命令ならびに行政管理予算局の覚書におけるサプライ チェーン セキュリティの目的に適うものです。さらに、政府のソフトウェア基準の遵守と、お客様が SAML ベースの ID プロバイダを使用して有効期間の長いサービス アカウント キーの使用を減らせる Workload Identity 連携のための SAML サポートも発表しました。

進化するオープンソース ソフトウェア セキュリティ

Google は引き続き、業界におけるオープンソース ソフトウェア セキュリティに関する他のサミットで Open Source Security Foundation(OpenSSF)、Linux Foundation などのパートナーとともに、1 月のホワイトハウス開催のオープンソース ソフトウェア セキュリティに関するサミットで話し合われたイニシアティブをさらに推進しました。Google は、すべてのオープンソース デベロッパーがデフォルトでエンドツーエンドのセキュリティに容易にアクセスできるようにする目標に向けて取り組んでいます。

Security Summit では、この取り組みの重要な部分の 1 つが Assured OSS であることが確認されました。Assured OSS は、Google の豊富なセキュリティ インサイトを活用し、オープンソースの依存関係を保護する複雑なプロセスを開発、維持、運用する必要性を組織が低減できるように支援します。Assured OSS は 2022 年第 3 四半期にプレビュー版が提供される予定です。

また、ソフトウェア サプライ チェーン セキュリティ向上の取り組みの一環である Open Source Insights プロジェクトは、デベロッパーが使用するソフトウェアの構造やセキュリティについて理解を深めるうえで役立ちます。5 月には Open Source Insights のデータを BigQuery に導入し、誰もが Google Cloud BigQuery を使用して、対応している複数のエコシステムにおけるオープンソース パッケージの依存関係、アドバイザリ、オーナー権限、ライセンス、その他のメタデータ、およびメタデータが時間の経過とともにどう変更されたか調査、分析できるようにしました。  

Confidential Computing および Google と AMD のパートナーシップが重要な理由

ここで、Confidential Computing、ならびに Google と AMD とのパートナーシップの重要性について少しご説明しましょう。今年私は、業界として「責任の共有」という考えを「運命の共有」に進化させる必要がある理由を積極的にお伝えしてきました。「責任の共有」はクラウド プロバイダやそのお客様に責任を割り当てるものである一方、「運命の共有」は復元性のより高いサイバーセキュリティという考え方に基づきます。

これはクラウド プロバイダとお客様のより密接な関係を表すもので、デフォルトで保護された構成、セキュア ブループリントとポリシーの階層構造、常に利用可能な高度なセキュリティ機能、高度な保証を提供するリスク管理の証明、保障のパートナーシップを強調しています。

AMD との共同作業では、Google は、Google のクラウド インフラストラクチャにおいてセキュアな隔離がいかに常に重要な要素であるか、そして Confidential Computing がこのセキュアな隔離をいかに暗号的に強化するかに焦点をあてました。AMD ファームウェアおよびプロダクトのセキュリティ チーム、Google Project Zero、Google Cloud Security チームは協力して、AMD が Google Cloud の Confidential Computing サービスに提供するテクノロジーとファームウェアを数か月にわたって分析しました。

5 月にはさらに Confidential Computing の可用性を拡大して、第 3 世代 AMD EPYC™ プロセッサで稼働する N2D および C2D 仮想マシンが含まれるようになりました。

GCAT ハイライト

今月のクラウド セキュリティ チームの最新のアップデート、プロダクト、サービス、リソースは以下のとおりです。

セキュリティ

  • PSP プロトコルのオープンソース化: お客様に提供するセキュリティをより効果的にスケーリングできるように、Google は内部用に新しい暗号のオフロード プロトコルを作成して 5 月にオープンソース化しました。大規模なデータセンター トラフィックの要件に合うことを意識して設計された PSP プロトコルは、トランスポート独立で、接続ごとのセキュリティを実現し、オフロードに適している TLS のようなプロトコルです。

  • Siemplify SOAR のアップデート: セキュリティ チームの将来は「どこでも運用できる」ようになることを目指しており、最新バージョンの Siemplify SOAR は、この目標達成を助けてくれるものです。これにより、組織はクラウド インフラストラクチャ、自動化、コラボレーション、分析に必要な構成要素を手に入れて、よりタイムリーな対応のためのプロセス、およびワークフローの自動化を加速できます。この結果、各チームはより戦略的な作業に集中することが可能になります。

  • Terraform のためのガードレールとガバナンス: Terraform は人気の高いオープンソースの Infrastructure as Code(IaC)ツールで、アプリケーションを提供するために組み合わせて使用するインフラストラクチャやサービスのデプロイを自動化することで、アジリティを向上させるとともに、エラーを減少させます。Google の新しいツールは Terraform を検証し、組織のポリシーに違反する Google Cloud リソース構成ミスの減少に役立ちます。

  • Container-Optimized OS のベンチマーク: スケーラビリティを向上させつつお客様のデータを保護するというセキュリティ優先のアプローチの一環として、Google は、Container-Optimized OS が業界標準のセキュリティのベスト プラクティスを遵守することを徹底させたいと考えています。このため、Google Cloud Security チームは新しい CIS ベンチマークをリリースしました。これは、これまで行ってきたセキュリティ対策を明確化およびコード化し、セキュリティ強化のための推奨事項を提示するものです。

  • 新しい reCAPTCHA Enterprise ガイドブック: パソコンで行われている不正を特定することは至難の業です。Google の新しい reCAPTCHA Enterprise ガイドブックは、幅広いオンライン詐欺を特定しウェブサイトのセキュリティを強化できるように組織を支援します。

  • 2022 年の State of DevOps アンケートの実施: Google Cloud と DORA リサーチチームによる State of DevOps レポートは、この種の調査としては最大規模かつ最も長い間実施されているもので、3 万 2 千人を超える世界中の専門家から寄せられたデータに基づいています。今年は、セキュリティ対策とセキュリティ機能によってソフトウェア デリバリーと運用パフォーマンス全体をどのように予測するかに焦点をあてる予定です。皆様のご意見をどうぞお寄せください。

業界の最新情報

  • Google Workspace のセキュリティ向上: 今年初め、データ主権が現在の業界を形作る重要なメガトレンドの一つであるとお話ししました。そして 5 月初め、Google は Google Workspace 向け主権管理を発表しました。これにより公共セクターおよび民間セクターの組織向けデジタル主権機能が 2022 年末から利用可能となり、EU への、あるいは EU からのデータ移転を制御、制限、モニタリングできるようになります。2023 年中には追加の機能も配信されます。このコミットメントは、既存のクライアントサイド暗号化データ リージョンアクセス制御機能をもとに構築されています。

  • また、常に高度な機能をお客様に提供するという取り組みの一環として、Chrome のセキュリティ分析情報を Google Cloud と Google Workspace プロダクトに拡張しています。

  • セキュリティに関する新たな提携: Pindrop が Google Cloud と提携することとなりました。Pindrop という名前を聞いたことがなくても、おそらく同社のテクノロジーを利用されたことがあるはずです。Pindrop のテクノロジーは、電話での支払いの認証、レストランやショッピングでの注文、金融口座の確認に使用されています。このテクノロジーは、音声ベースの制御における不正防止の取り組みの基盤でもあります。Pindrop は Google Cloud と協力して、ディープ フェイクやロボコールの検知、銀行の取引認証の支援、小売業者への AI を活用した安全なコールセンター サポートの提供を推進できます。

コンプライアンスと制御

来月は、RSA Conference のハイライトのまとめなどをお知らせします。  

Cloud CISO の視点を毎月メールで受信するには、ニュースレターに登録してください。来月も引き続きセキュリティ関連の最新情報をお届けします。

- Google Cloud、バイス プレジデント兼 CISO Phil Venables