Cloud CISO の視点: 2021 年 9 月
Google Cloud Japan Team
※この投稿は米国時間 2021 年 9 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud Next '21 の準備に追われています。このイベントでは、Google のセキュリティ ポートフォリオの最新情報と、すべてのお客様がクラウドで安全な構築を行うための新たな取り組みについてお話しいたします。Google Cloud のセキュリティの専門家とお客様が参加する、今日のサイバー セキュリティの情勢で最も注目されている分野を網羅する見逃せないセッションをいくつかご紹介します。
今月の投稿では、グローバルなコンプライアンスの試みと医療機関に対応する Google Cloud のセキュリティと業界の主な取り組みから最新情報を要約して説明します。
業界を取り巻く現状についての考察
米国連邦政府のゼロトラスト戦略のサポート: Google Cloud では、米国行政管理予算局(OMB)の米国政府によるゼロトラストのサイバーセキュリティ原則への移行と、NIST のゼロトラストのスタートガイドに関する手引き書に向けた推奨事項を先日提出しました。Google は、バイデン政権が発令したサイバーセキュリティについての大統領令に基づいた、連邦機関によるサイバーセキュリティ改善という任務の一環として、ゼロトラストの原則とアーキテクチャを導入する米国政府の試みを強力にサポートします。 政府のセキュリティ体制をうまくモダナイズするには、ゼロトラストのアーキテクチャへの移行と、最新のクラウドベースのインフラストラクチャがもたらすセキュリティのメリットを活かす必要があると考えています。最近の SolarWinds や Hafnium の攻撃がまさにその例で、最善を尽くしても、認証情報が時として悪意のある人の手にわたってしまうことがあるということを明示しました。そのため、相互接続された複雑なシステム内でいずれかのコンポーネントに絶対の信頼を置くことが、重大なセキュリティ リスクとなりうることを認識する新たなセキュリティ モデルが必要とされています。Google でのゼロトラストの全体的な導入と、ゼロトラストへの移行にあたって利用可能なプロダクトについての詳細は、次にアクセスしてください。
クラウドにおける主権: 世界中のクラウド コンピューティングのお客様からより高レベルのデジタル主権の実現が求められています。以前に公開された資料で、デジタル主権の要件を、データ主権、運用主権、ソフトウェア主権の 3 つの柱に分類しました。これらの要件は相互に排他的ではなく、それぞれに異なる技術的なソリューションが必要であり、それぞれにお客様が考慮する必要のある独自のトレードオフが存在します。さらに、機能やイノベーションで妥協せずに、お客様の主権の要件を満たすソリューションが必要とされていることも明らかです。Google は、自社のパブリック クラウド プラットフォームに機能を組み込んだソリューションや、最近発表したように、信頼できるパートナーを通じて提供される Google Cloud を活用した主権関連のクラウド ソリューションの提供に熱心に取り組んできました。
アジア太平洋全体のコンプライアンスの更新: APAC(アジア太平洋)地域では、昨年の間に重要な規制の変更がいくつかありました。たとえば、オーストラリア政府のセキュリティ要件に対する組織のセキュリティ管理の実装と有効性を評価するためのフレームワークである IRAP(Information Security Registered Assessors Program)や、リスクの管理方法の有効性について役員に保証する内部監査の方法である RBIA (Risk Based Internal Audit)などです。コンプライアンス サービスの一環として、お客様の規制要件とコンプライアンス要件のサポートに役立つガイダンスとリソースを更新して投稿しました。そこには、規制通知とアウトソーシング要件において規制対象企業を支援することを目的としたコンプライアンス マッピングが含まれます。
Open Source Technology Improvement Fund: オープンソースのセキュリティの優先順位を管理し、脆弱性の修正を手助けするサードパーティの財団に 1 億ドルの支援を最近約束しました。この取り組みの一環として、Git、Laravel、Jackson-core、Jackson-databind を含む 8 つのオープンソース プロジェクトのセキュリティを向上させるための Open Source Technology Improvement Fund(OSTIF)へのサポートを発表しました。
米国の大統領科学技術諮問委員会(PCAST): 今月は個人的なお知らせもあります。光栄なことに、バイデン大統領から大統領科学技術諮問委員会のメンバーに任命されました。他のメンバーとともに大きな責任感を持ち、この任務にあたりたいと思っています。サイバーセキュリティのような重要な分野で米国の進歩をどのように支援できるかについて、お話しできるのを楽しみにしています。また、歴史上で最も多様性に富んだ PCAST に参加できることを大変誇りに思っています。
セキュリティに関する必読のストーリーと必聴のポッドキャスト
Google のセキュリティ リーダーや業界の声からメディアやポッドキャストで人気のコンテンツをまとめています。今月のニュースの中で、セキュリティに関する取り組みの最新情報は次のとおりです。続けてご覧ください。
通信会社の変革に対応するセキュリティ: 大手通信事業者の CISO 仲間と業界を変革するためのセキュリティの未来について腰を据えて話し合いました。クラウドによる IT モダナイゼーション、ゼロトラスト、検出と対応のベスト プラクティスなどのトピックを取り上げました。
WSJ CIO Network Summit: 先週、Google の Heather Adkins は、WSJ(ウォール ストリート ジャーナル)の副編集長である Kim Nash 氏との談話に参加しました。その談話では、サイバーセキュリティに関連したタイムリーな幅広いトピックが取り上げられました。サイバーセキュリティに関するバイデン大統領令に伴い CIO に与えられた機会や課題もその一つです。たとえば、IT モダナイゼーションや、Google で学んだ教訓に基づく、具体的なツールセットではないセキュリティの哲学としてのゼロトラストの定義、CIO と CISO が連携して、クラウドのような最新テクノロジーの導入による セキュリティの強化やビジネス目標の達成を実現するためのベスト プラクティスなどについて、意見を交わしました。今日のサイバーセキュリティの情勢に関する、洞察力に富んだ、まさにタイムリーなインタビューのハイライトについては、この記事をご覧ください。
Washington Post Live - サイバースペースの保護: Google Cloud の Jeanette Manfra が Washington Post Live に登場し、将来のサイバー攻撃を防ぐために全業界でサイバーセキュリティを強化する必要性の高まり、業界間の会話を円滑に進めるためのサイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の役割と、公的セクターと民間セクターとでのパートナーシップを深め、集団安全保障に利益をもたらす方法について話し合いました。
あなたのバグではなくても、あなたの問題である: ソフトウェア サプライチェーンを保護する必要がある理由: Google Cloud インフラストラクチャ担当バイス プレジデントで Google Fellow でもある Eric Brewer と一緒に、Censys.io 社の CTO である Derek Abdine 氏と最近のウェブセミナーで席をともにし、組織がどのようにソフトウェア サプライ チェーンのリスクに対する理解を深め、組織の資産を管理下に留めるか、どういったソフトウェアがネットワークの内外でデプロイされるかについて話し合いました。
WIRED でゼロトラストの誤りを暴く: Google の情報セキュリティ担当シニア ディレクターである Heather Adkins と Google Cloud のリスクおよびコンプライアンス担当ディレクターである Jeanette Manfra とともに、今日のセキュリティ環境におけるゼロトラストの真の意味を分析します。ゼロトラストは魔法のようなプロダクトのことではなく、セキュリティ アーキテクチャに関して、組織がビジネス全体で導入する必要がある哲学のことです。
Google Cloud Security Podcast: Google のチームは、ポッドキャストで業界全体の声とのコラボレーションを続けています。今月のエピソードでは、VirusTotal 社とマルウェアの追跡について、Censys.io 社の CTO である Derek Abdine 氏とクラウド攻撃のサーフェス管理について、The Certs Guy 社とクラウド認証のベスト プラクティスとヒントについて話し合いました。
セキュリティに関する Google Cloud の主な取り組み
EU の新しい標準契約条項を反映させるため、データ処理規約を変更: 長年にわたって、欧州データ保護法の対象となる Google Cloud のお客様は、Google のサービスを使用する際にデータの海外移転を合法的に行うために、Google の標準契約条項(SCC)を利用してきました。6 月に欧州委員会によって承認された EU の新しい標準契約条項(SCC)に応じて、Google Cloud Platform と Google Workspace のデータ処理規約を変更しました。この取り組みにより、適用される欧州データ保護法を遵守するための、明確で透明性のあるサポートがお客様に提供されます。今回の変更に伴い、新しいホワイトペーパーを公開しました。この文書は、データ移転に関する欧州の法的規則の概要を示し、EU の新しい SCC の導入にあたっての Google の取り組みについて説明しています。これにより、規約の変更によるお客様とプライバシー コンプライアンスへの影響をより的確に把握できます。
トロント リージョンの立ち上げ: カナダのトロントに最新のクラウド リージョンを開設することを発表しました。高パフォーマンスのネットワークを介して接続されている既存の 27 の Google Cloud リージョンにトロントが加わったことで、お客様は世界中でユーザーや顧客に提供するサービスを強化できます。モントリオール リージョンと組み合わせて活用することで、お客様は、障害復旧のための IT 要件およびビジネス要件を満たすために必要な分散型の安全なインフラストラクチャを確保することで、事業継続計画が改善されます。その一方で、データ主権を保持できます。この地域拡大の一環として、カナダ向けの Assured Workloads のプレビューの公開も発表しました。この機能により、お客様は特定の規制要件またはポリシー要件に沿って、機密性の高いワークロードを保護して構成できるようになります。
Cloud DLP による医療データの保護: Google のソリューション チームは、機密性の高い医療データや患者データを保護に Cloud DLP の使用を開始するための詳細なガイドをリリースしました。お客様は、Cloud DLP で削除、バケット化、日付シフト、トークン化などの手法を使用して、機密データを検査しマスクすることができるため、リスクと利便性を両立できます。このガイドでは、患者データを保護するための安全な基盤を築くにあたって必要となる手順の概要を説明しています。
ネットワーク フォレンジック&テレメトリー ブループリント: ネットワーク モニタリングにより、エンドポイントのログでは不可能なエージェントレスでの検出の分析情報が提供され、クラウド インフラストラクチャで脅威アクターを検出できるようになります。クラウドで、Google Cloud の Packet Mirroring サービスなどの高性能な技術を利用すれば、インフラストラクチャ全体でのネットワーク トラフィックのキャプチャを簡易化および効率化できます。新しいネットワーク フォレンジック&テレメトリーブループリントを使用すると、Terraform を介してネットワーク モニタリングの機能とフォレンジックの機能を簡単にデプロイできるようになり、Chronicle や他の SIEM を通じて可視性が向上します。また、ネットワークの脅威を検出するために Google Cloud で利用できるさまざまな分析オプションを比較する手引きとなるブログも公開しました。
クラウドでのバックアップと障害復旧: セキュリティに係る事象から迅速に回復させる機能は、すべてのセキュリティ プログラムになくてはならない性能です。クラウド テクノロジーにより、組織の回復力を向上させる幅広いオプションが提供されます。チームの最近の投稿では、ワークロード固有でエンタープライズ規模の Google Cloud バックアップと DR オプションに関する最新の見解がわかります。
今月のサイバーセキュリティに関する考察と重要な情報は以上です。「Cloud CISO の視点」の投稿を毎月メールで受け取ることをご希望の方は、こちらをクリックしてご登録ください。また、10 月 12 日から 14 日にオンラインで開催される Google Cloud Next ‘21 のカンファレンスにもぜひご登録ください。
- Google Cloud バイス プレジデント兼 CISO、Phil Venables