コンテンツに移動
セキュリティ & アイデンティティ

Cloud CISO の視点: 2021 年 10 月

2021年11月11日
Google Cloud Japan Team

Google Cloud を試す

$300 分の無料クレジットと 20 以上の無料プロダクトがある Google Cloud で構築を始めよう

無料トライアル

※この投稿は米国時間 2021 年 10 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud にとって、10 月は盛りだくさんの月でした。まず、Google Cloud Next ‘21 を開催しました。この年次イベントでは、すべての地域のあらゆる規模のお客様を対象に、セキュリティに関する重要な発表を行いました。また、10 月は米国のサイバーセキュリティ意識向上月間にもあたります。Google セキュリティ チームは、新しい脅威についての重要な調査結果とともに、あらゆるユーザーのアカウントのセキュリティを最大限保護することを目指したプロダクトのアップデートを発表しました。

今月の投稿では、「セキュリティ プロダクト」だけでなく「セキュアなプロダクト」の提供を目指したプロダクトの最新情報を含む、Next ‘21 で発表されたセキュリティに関するすべての「アクション」のほか、オープンソース ソフトウェアのセキュリティやランサムウェアの問題への取り組みに関する業界の重要な動向について概括します。

Google Cloud Next ‘21 のまとめ

Google サイバーセキュリティ対応チーム: セキュリティの変革を成し遂げ、今日のリスクや脅威にあふれた環境で高い復元力を獲得するためには、最新の高度なセキュリティ テクノロジーを利用することも重要ですが、変革に向けた取り組みの具体的な内容、そしてその最適な方法を理解することが重要です。そこで Google は、Google サイバーセキュリティ対応チームの発足を発表しました。このチームは、世界中の政府機関、重要性の高いインフラストラクチャ、大企業、中小企業のセキュリティ変革とデジタル変革を支援することを使命としています。Google では、これまでも公共部門と民間部門のお客様による変革を支援する取り組みに力を入れてきました。サイバーセキュリティ対応チームは、この実績と経験をもとに、セキュリティを強化するうえでお客様が必要とするサービスやガイダンスを、戦略の立案から実施までエンドツーエンドで提供します。Google は、このチームを通して、最初のクラウド導入のロードマップと実装から、潜在的なイベントやインシデントによる攻撃耐性の強化、要件の変化に応じた新しいソリューションの設計まで、お客様のセキュリティ変革サイクル全体を支援します。このチームのビジョンについて詳しくは、こちらのポッドキャストのエピソードをお聞きください。Google サイバーセキュリティ対応チームについて詳しくお知りになりたい場合は、Google Cloud アカウント チームにセキュリティ ブリーフィングの開催をご依頼ください。

より安全な働き方 - Work Safer: 私たちの働き方は大きく変化しました。ユーザー、あるいは組織のレベルで、かつてないほど多くのセンシティブ データや機密情報が生み出されており、組織横断的なコラボレーションの文化も育まれています。このような現代の働き方は、メリットも多い反面、従来のコラボレーション ツールでは対処しきれない新たなセキュリティ上の課題も生み出すこととなりました。Next では、Work Safer という新しいプログラムを発表しました。Work Safer は、実績のあるゼロトラスト セキュリティ モデルを基盤とし、最新のテクノロジーを活用したフィッシング、マルウェア、ランサムウェアなどのサイバー攻撃に対する保護を提供するクラウド ファーストのハイブリッド型勤務形態パッケージにより、あらゆる規模の民間企業や公共部門の組織を守るプログラムです。Work Safer には、Google Workspace、BeyondCorp Enterprise、Titan セキュリティ キーなどの Google が誇る最高水準のセキュリティ プロダクトのほか、CrowdStrikePalo Alto Networks などのサイバーセキュリティ パートナーが提供する充実した機能のサービスが含まれています。

安全でサステナブルな Cloud: セキュリティとサステナビリティの両立を目指す発表はあまり例がありません。Google Cloud では、気候変動とサイバーセキュリティという現代の組織が直面する 2 つの喫緊の課題を解決できるよう取り組みを進めていますが、その 1 つの例として放置プロジェクト Recommender があります。Next では、Active AssistRecommender において、従来のコスト、パフォーマンス、セキュリティ、管理性という主な柱に加え、新たにサステナビリティに対する影響のカテゴリの追加を発表しました。まずは、放置プロジェクト Recommender で、アイドル状態のリソースを取り除くことにより削減できる総二酸化炭素排出量を見積もることが近日中に可能になります。

Workspace のセキュリティ アップデート: Google Workspace プラットフォーム全体にわたりセキュリティとプライバシーを一層強化することを目的とした 4 つの新機能を発表しました。

Google は 6 月に、クライアントサイド暗号化(CSE)のベータ版がドライブ、ドキュメント、スプレッドシート、スライドで利用可能になったことを発表しました。このたび CSE が Google Meet でも利用できるようになり、お客様はデータ主権とコンプライアンスの要件を満たしながら、暗号鍵を自由に管理できるようになりました。

Chat 用のデータ損失防止(DLP)機能がリリースされました。これは、エンドユーザー エクスペリエンスを損なうことなく、センシティブ データや機密情報が不正に利用されないよう保護することを目指す Google の継続的な取り組みの一環として提供された機能です。

ドライブのラベルを使用して、機密レベルに基づきドライブ内に保存されたファイルを分類する機能が一般提供されました。

不適切なコンテンツや行動に対する安全保護対策を目的とした追加の保護機能をリリースしました。疑わしい、もしくは危険と判断されたファイルをユーザーが開くと、ユーザーとユーザーの所属する組織がマルウェア、フィッシング、ランサムウェアの被害にあわないよう、警告が表示されます。

Distributed Cloud: これまでさまざまなお客様と対話を重ね、組織が特定のワークロードのクラウドへの移行をためらう要因がわかってきました。逆に、データ所在地やその他のコンプライアンス上の問題など、クラウド導入を後押しする要素もあります。Distributed Cloud のポートフォリオとして最初に提供されたプロダクトの 1 つ、Google Distributed Cloud Hosted は、昨年 Google が打ち出したデジタル主権のビジョンに基づくもので、厳しいデータ所在地要件を課せられた公共部門や民間部門のお客様をサポートします。これにより、オンプレミスのデプロイメントを安全かつセキュアにモダナイズできます。

「見えないセキュリティ」という構想に基づく新機能: Google Cloud はこの 1 年、お客様に見えないセキュリティというビジョンの実現に取り組んできました。これは、Google の信頼できるクラウド プラットフォームと市場をリードするプロダクトに設計段階から Google の優れたセキュリティ機能を組み込むことにより、あらゆる場所に存在する IT アセットで最高レベルのセキュリティ確保を目指すものです。Next では数多くの新機能を発表しました。詳しくは来月お伝えしますが、ここでその一部をご紹介します。

新しい BeyondCorp Enterprise クライアント コネクタを使用すると、Google Cloud 環境や Google Cloud 以外の環境で実行されている、ウェブ アプリケーション以外のアプリケーションに対する ID とコンテキストアウェア アクセスを実現できます。また、新しい Policy Troubleshooter 機能により、管理者がアクセス失敗の診断、イベントのトリアージ、ユーザーのブロック解除を簡単に行えるようになります。

Automatic DLP は、Google が掲げる「見えないセキュリティ」のビジョンを具体化した典型例です。これは、人手を介することなく、組織全体にわたるすべての BigQuery プロジェクトでセンシティブ データを自動的に検出し、分類できる画期的な機能です。

ユビキタスなデータ暗号化は、Google の Confidential ComputingExternal Key ManagerCloud Storage の各プロダクトを組み合わせ、クラウドに送信されるデータをシームレスに暗号化する新しいソリューションです。External Key Manager を使用することで、データは Confidential VM 環境内でのみ復号および実行されるようになるため、漏えいの可能性を大幅に低減できます。これは、厳しい主権要件を課せられているさまざまな業界や地域の組織でクラウドへの移行に必要となるソリューションを、Confidential Computing と暗号化を組み合わせることで実現した画期的な仕組みです。

業界を取り巻く現状についての考察

  • OpenSSF: Open Source Security Foundation は、増加するソフトウェア サプライ チェーン攻撃に歯止めをかけるとともに、バイデン政権の大統領令などの重要な取り組みに対応するため、追加の資金調達を発表しました。多くの企業が資金を拠出していますが、Google もその輪に加われたことを光栄に感じています。OpenSSF は Security ScorecardsAllstar などのプロジェクトを通して、あらゆるユーザーのセキュリティ強化を目指した重要な取り組みを推進しています。セキュリティ強化の取り組みを客観的に評価し、報酬を提供するプログラムも用意していますので、自社のソフトウェア サプライ チェーンのセキュリティ強化を検討されているエグゼクティブの皆様はぜひ参加をご検討ください。  

  • Trusted Cloud Principles: 先月、Google は他の多くのクラウド プロバイダやテクノロジー企業とともに Trusted Cloud Principles(信頼できるクラウド原則)というイニシアチブに参加しました。これは、クラウド業界全体として、基本的人権や法の支配を尊重しながら、インフラストラクチャやサービスを全世界に展開できるようにするための大きな一歩となる取り組みです。データを自由にやり取りできる環境の整備、公共の安全の推進、クラウドにおけるプライバシーとデータ セキュリティの保護を目標として、この取り組みを進めてまいります。

  • ホワイトハウス ランサムウェア サミット: あらゆる規模の企業や政府機関にとって、ランサムウェアへの対応は引き続き最重要事項です。今月、30 か国の代表者がホワイトハウスに集まり、テクノロジーの活用、資金投入、法整備、外交的働きかけなどを通して増大するランサムウェアの脅威に対抗するための協議を行いました。Google は先日、8,000 万件におよぶランサムウェアの事例を解析した VirusTotal ランサムウェア レポートを公開しました。このレポートでは、マルウェアの一形態であるランサムウェアへの対策に役立つ分析情報を提供しています。

セキュリティに関する Google Cloud の主な取り組み

Google Cloud では、プロダクトやサービスのセキュリティ、管理、復元性などのさまざまな要素について、日々強化を続けています。Google は、「セキュリティ プロダクト」だけでなく「セキュアなプロダクト」を提供することで、お客様や業界に貢献することを基本理念としていますが、こうした取り組みはその理念を具現化したものです。前回の投稿以降に行われた Google Cloud のプロダクトとサービスの最新のアップデートと新機能の概要についてお知らせします。

セキュリティ

  • 高負荷ワークロード(Hadoop を使用した分析など)を実行する Cloud ユーザーや、あらかじめ提供されているもの以外に独自の暗号鍵を管理する Cloud ユーザーに対するサポートが強化されます

  • 複雑なシステムの管理では、暗号鍵の確実な追跡が欠かせません。Cloud の新機能である鍵インベントリ ダッシュボードを利用すると、この手間のかかる作業を大幅に簡略化できます。Cloud KMS PKCS #11 ライブラリ、変数鍵の破棄と鍵の高速削除の自動化機能などの新機能も提供されています。

  • 特に移行時において、ファイアウォールはセキュリティ アーキテクチャの重要な構成要素です。そこで、ファイアウォール インサイト ツール内に、制限が緩すぎるファイアウォール ルールを自動的に検出し、セキュリティを強化できるモジュールを用意しました。ソフトウェア定義型インフラストラクチャのメリットを存分に活かしたツールと言えます。

レジリエンス

  • Google Cloud のネットワーク セキュリティ ポートフォリオは、不正行為、マルウェア、攻撃からアプリケーションを保護します。DDoS 保護と WAF サービスを提供する Cloud Armor がアップデートされ、ユーザー向けに 4 つの新機能が追加されました。Google Cloud reCAPTCHA Enterprise の bot と不正行為の管理機能とのインテグレーション、クライアントごとのレート制限、エッジ セキュリティ ポリシー、ML ベースのアプリケーション レイヤ DDoS 検知および WAF 保護メカニズムである Adaptive Protection です。

主権

  • EU のデータ所在地のサポートにより、ヨーロッパのお客様が EU 内に 5 か所用意されている Google Cloud リージョンのいずれかを指定して、そのリージョンにデータを永続的に保管できるようになりました。お客様は引き続き自身でデータの暗号化を管理できるほか、新しい Key Access Justifications 機能により Google 管理者によるデータへのアクセスをブロックすることも可能です。

管理

本日は盛りだくさんの内容でお届けしました。年末にかけても、引き続きさまざまなサイバーセキュリティ関連の最新情報をお届けする予定ですのでご期待ください。「Cloud CISO の視点」の投稿を毎月メールで受け取ることをご希望の方は、こちらをクリックしてご登録くださいGoogle Cloud Next '21 のセキュリティ セッションやスポットライトをまだご覧でない場合は、リンクから登録してオンデマンドでご視聴いただけます。

- Google Cloud バイス プレジデント兼 CISO、Phil Venables

投稿先