Cloud CISO の視点: 2021 年 11 月
Google Cloud Japan Team
※この投稿は米国時間 2021 年 11 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。
今年も終わりが近づいてきましたが、オープンソース ソフトウェアのセキュリティ保護やゼロトラスト アーキテクチャの実現といった 2021 年の最も差し迫ったセキュリティ テーマの多くは依然として変わりません。今月の投稿では、Google サイバーセキュリティ対応チームからの最新情報と、重要なセキュリティの取り組みに関する業界の趨勢をまとめます。
業界を取り巻く現状についての考察
オープンソース ソフトウェアのセキュリティ保護: Google のオープンソース ソフトウェア チームが最近発表した ClusterFuzzLite は、脆弱性を検出するために CI / CD ワークフローの一環として実行できる継続的なファジング ソリューションです。ほんの数行のコードで、GitHub ユーザーは ClusterFuzzLite を自社のワークフローに統合し、pull リクエストを commit する前にファジングしてバグを捕捉できます。デベロッパー ワークフローのできるだけ早期にセキュリティ チェックを実装することは、サプライ チェーンのセキュリティを向上させるうえできわめて重要であり、NIST のソフトウェア検証ガイドラインでは、コード検証の最低基準の要件の一つとしてファジングが指定されています。
ランタイムのクラウドネイティブ セキュリティ: Google Cloud の Eric Brewer と私は、「ランタイム時の Kubernetes をセキュリティ保護するレース」において、最新のトレンドや InfoWorld におけるクラウド プロバイダとスタートアップの役割について議論しました。そこでは、Google が BeyondProd フレームワークを通じてクラウドネイティブ セキュリティへのアプローチの概要を示した数年前にさかのぼっています。BeyondProd フレームワークは、クラウドネイティブ セキュリティ アーキテクチャの中心的な設計原則の一つである「保護は、コードがどのように変更され、マイクロサービスのユーザーデータがどのようにアクセスされるかというところまで拡張しなければならない」という考えを詳述したものです。
クラウド コンピューティングへの移行のリスクと機会: Office of the CISO のディレクターである Nick Godfrey と私は、Global Association of Risk Professionals の Robert Sales 氏とともに、デジタルリスク管理の情勢について議論しました。この議論では、クラウド コンピューティングをいかにして安全に導入するかがますます優先事項になっている現状、アジリティ / お客様に提供する製品やサービスの質 / 市場における関連性の観点から見たデジタル トランスフォーメーションが組織にもたらす利点、クラウド ドリブンの変革が実際にどのようにして既存のセキュリティ、統制、復元力のリスクを軽減できるかの理解といったタイムリーなテーマを取り上げています。ウェブセミナー全編については、こちらをご覧ください。
Rowhammer を軽減するためのオープンソース DDR コントローラ フレームワーク: Google と Antmicro が開発した新しい Rowhammer Tester プラットフォームにより、メモリ セキュリティ研究者やメーカーは、柔軟なプラットフォームを通じて新しい種類の攻撃を試し、より優れた Rowhammer 軽減手法を見出せるようになりました。この重要なプロジェクトは、オープンソースでベンダー中立の IP、ツール、ハードウェアによってより効果的な研究や製品開発を可能にする優れたプラットフォームを生み出す方法を実証しています。
倫理的 AI に関するベスト プラクティス: 読者の皆様の中には、AI 周り(AI の使用に関する倫理的フレームワークも含む)の管理に携わっている方もいらっしゃるでしょう。Lopez Research の創設者、アナリスト、著作者である Maribel Lopez 氏による、AI における管理の重要性についての素晴らしいサマリーで、SEED(セキュリティ、倫理、説明可能性、データ)についてお読みください。
Google サイバーセキュリティ対応チームのハイライト
前回の投稿以降にリリースされた Google サイバーセキュリティ対応チームと Google Cloud セキュリティ プロダクトの最新情報、新しいサービス、リソースについて、以下にまとめます。
セキュリティ
リスクの軽減とサステナビリティの向上: 資源管理最適化のグローバル リーダーである Veolia は、同社のテクノロジー環境を保護するためのコアプロダクトとして、Google Cloud の Security Command Center(SCC)プレミアムを使用しています。最近のブログ投稿で、Veolia の Google Cloud 実装に関するテクニカル リード兼プロダクト マネージャーを務める Thomas Meriadec 氏が、SCC プレミアムが同社のリスク管理プラットフォームとしてどのように機能し、それによってセキュリティ管理プロセスがどれだけ合理化されたかについて語っています。
コンプライアンス
Google サイバーセキュリティ対応チームのリスク・コンプライアンス管理のコード化(RCaC)ソリューションは、セキュリティの構成ミスを防ぎ、クラウド コンプライアンスを自動化します。このソリューションは、Google Cloud プロダクト、ブループリント、パートナーとの統合、ワークショップ、サービスを組み合わせてコンプライアンスとセキュリティの制御を自動化し、簡素化と価値創出までの時間の短縮を実現します。
Google が、Google Cloud サービスの影響レベル 4 認定や Google Workspace の FedRAMP High などの新たな公共部門の認証を獲得したことが発表されました。これらの認証は、米国連邦政府のセキュリティをクラウドネイティブ サービスによって大規模にモダナイズするという Google の継続的な取り組みの一環です。Google Workspace に関しては、これは連邦政府機関がマーケットプレイスで完全にクラウドネイティブな生産性向上ツールとコラボレーション ツールを選択できるようになったことを意味します。特定の GCP サービスの IL4 認証は、Google のセキュリティ管理の有効性がパブリック クラウド インフラストラクチャ全体にわたって大規模に証明されたことを示します。
管理
Google Cloud のエンタープライズ対応のコントロール プレーン プロダクトである Traffic Director の新しいセキュリティ機能がリリースされました。これは、Google が管理する CA サービスを介して Google Kubernetes Engine(GKE)のワークロードの認証情報を完全に管理し、ワークロードの通信を管理するポリシー適用を提供するというものです。このフルマネージドの認証情報は、ワークロードのアイデンティティを表現するため、および相互 TLS(mTLS)を利用してワークロード間の接続を保護するための基盤となるもので、ゼロトラスト原則に従っています。
GCP で管理者アカウントを作成して保護する方法についてのタイムリーなガイダンスをこちらでご覧ください。この記事には、Google のリソースガイドに記載されたより詳細なガイダンスへのリンクも含まれています。
脅威インテリジェンス
Google のサイバーセキュリティ対応チームから、新しい Threat Horizons レポートの創刊号が公開されました。これは、サイバーセキュリティ脅威インテリジェンスに対する Google 社内セキュリティ チームの所見に基づいています。安全なクラウド コンピューティング プラットフォームを提供するという取り組みには、クラウド ユーザーが自社の環境や防御をニーズに合わせて構成できるように、サイバーセキュリティ脅威インテリジェンスをユーザーに提供することも含まれています。この新しいレポートに示された実用的なインテリジェンスは、組織が絶えず進化する脅威からクラウド環境を最適に保護するために役立ちます。今後のレポートでも引き続き、脅威の範囲スキャンや傾向の追跡について報告し、早急な対応を必要とする新たな脅威について早期の警告を提供します。詳細については、このブログ投稿を読むか、こちらをクリックしてエグゼクティブ サマリーをダウンロードしてください。
必聴のポッドキャスト
今月の Cloud Security Podcast には必聴のエピソードがいくつかあります。Google Cloud の Office of the CISO で、サイバーセキュリティ対応チームのメンバーでもある MK Palmore が、多様性の欠如によってセキュリティがどのように損なわれるかについて語っています。その他にも、Material Security の CEO、Ryan Noon 氏によるメール フィッシングがいまだに解決されない理由や、GSK チームによるクラウドの構成ミスとオンプレミス インフラの構成ミスの違いといったトピックもあります。最後に、Chronicle ユーザーに SIEM の使用体験について尋ねたインタビューが最新のエピソードで取り上げられています。
近日開催の Q4 Security Talks - ゼロトラストに関するあらゆること
Q4 の Google Cloud Security Talks イベントでは、「Cloud CISO の視点」でこれまで何度も強調されてきた「ゼロトラスト」に焦点を当てます。12 月 15 日に開催されるこのイベントに参加し、Google のリーダーや最前線に立つお客様から企業のゼロトラスト ジャーニーにまつわるさまざまな側面について話をお聞きください。登録はこちらから行うことができます。
「Cloud CISO の視点」の投稿を毎月メールで受け取ることをご希望の方は、こちらをクリックしてご登録ください。それでは来月、2021 年最後の「Cloud CISO の視点」でまたお会いいたしましょう。
-Google Cloud バイス プレジデント兼 CISO、Phil Venables