Cloud CISO の視点: PQC に備える必要がある理由

※この投稿は米国時間 2024 年 8 月 16 日に、Google Cloud blog に投稿されたものの抄訳です。

2024 年 8 月最初の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。本日は、次回の「取締役会のためのセキュリティの視点」レポートを改訂します。このレポートでは、取締役会の観点から、多要素認証、デジタル主権、そして私がここで焦点を当てるポスト量子暗号という 3 つの主要なサイバーセキュリティのトピックを検証します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

取締役会はこの飛躍的な進歩への対処にどのように貢献できるか

Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

量子コンピュータはテクノロジーの世界で注目のトピックになっています。量子コンピュータは、今日のコンピュータでも解決できない複雑な数学的問題を量子力学を使って解く新しいタイプのマシンですが、サイバーセキュリティの既存の技術や実践にリスクをもたらす可能性があります。

十分な性能を備えた量子コンピュータであれば、オンライン通信や機密データを保護するコードや暗号化を解読できる可能性があります。これは深刻な結果を引き起こし、オンライン プライバシーとデジタル世界のセキュリティを危険にさらす可能性があります。脅威アクターが暗号化されたデータを大量に盗むサイバー攻撃はすでに発生しています。

Google では、こうしたリスクを真剣に受け止めており、量子コンピューティングのリスクに対処するために複数の方面で対策を講じています。Google では 2016 年に Chrome で PQC のテストを開始し、2022 年からは社内通信の保護に PQC を使用しています。また、Google Chrome、Google サーバー、Chrome デスクトップと Google 製品（Gmail や Cloud コンソールなど）間の接続の実験では、追加の量子コンピューティング保護対策を講じています。

さらに、Google のエンジニアは、NIST や ISO などの標準化団体によって公開された公式の量子コンピューティング標準に貢献しており、パートナーと協力して、Google 内外で使用できる正式に検証された PQC 実装を作成しています。

取締役会のメンバーは、量子ブレークスルーのタイムラインが予測不可能であるにもかかわらず、PQC の準備を怠った場合の結果を理解し、CISO、CIO、CTO を含む組織のリーダーに質問する必要があります。

PQC への準備に今すぐ取り組み、行動を遅らせないことに Google が関心を高めている理由は主に 4 つあります。

• 暗号の失敗によるビジネスへの影響。量子攻撃により、最も重要なビジネス サービスの提供に不可欠なデータの保護に使用される暗号が破られる可能性があります。
• 暗号の移行には長い時間がかかる。耐量子暗号アルゴリズムは利用可能であり、既存のハードウェアに実装できますが、新しい暗号アルゴリズムとプロトコルにアップグレードするには、多大な時間と労力が必要です。
• 今収集して、後で復号する。現在サイバー犯罪者が盗んでいるデータに隠された秘密、つまり知的財産や、企業秘密、機密通信記録といった、組織の生命線ともいえる秘密の暗号化が、将来のテクノロジーによって解除される可能性があります。
• 標準化と今後の規制。NIST などの広く認知された標準化団体が、ポスト量子暗号標準を公開しました。ホワイトハウスでさえ、連邦政府機関に量子コンピューティングの進歩に備えるよう促す指令を策定しています。さまざまな業界で新たな規制が導入されると予想されており、Google はこうした動向に対応するために、Financial Services Information Sharing and Analysis Center（FS-ISAC）やPQC Alliance などのワーキング グループに積極的に参加しています。

PQC の準備から PQC の実行まで

PQC への準備は、「根本的な改革」として管理する必要はありません。取締役会のメンバーが、ポスト量子暗号戦略の策定について、CISO、CIO、CTO と話し合うことが必要です。これには、効率性と拡張性を確保し、コスト、リスク、ユーザビリティを検討しながら、新しい耐量子アルゴリズムを既存のシステムに統合するための準備を含める必要があります。

• PQC 戦略を実装する: 小さな改善に関する大げさな発表と、マーケティングと、量子エンジニアリングの実際の進歩とを区別するための専門知識を習得します。Google のポスト量子暗号ブログなどの業界のベスト プラクティスと、Google の量子研究などの学術研究および業界研究の両方をフォローアップします。
• ビジネスリスクを評価する: リスク評価を実施して、量子攻撃に対して最も脆弱な重要なデータを特定します。暗号が使用されている場所を特定します。暗号はシステム全体に広がっている可能性があります。保存中、転送中、使用中のデータを保護するために暗号を採用しているすべてのシステムのインベントリを作成します。データを分類し、脅威分析を実行します。Google の量子脅威分析は、最初に対処すべき変更を判断する方法の一例になります。
• より広範なリスクを分析する: 変更が必要になる可能性のある他のシステムへのより広範な影響を評価します。これは、データベースやアプリケーションのデータ形式（たとえば、より大きなデジタル署名）に暗号以外の大幅なソフトウェア変更が必要になりうる Y2K 問題に似ていると言えるかもしれません。
• 過去から学ぶ: 組織が過去に、暗号関連の重要な問題にどのように対処したかを振り返ります。これにより、成功した戦略と改善すべき領域を特定できるようになります。組織のリーダーシップ（および取締役会メンバー）を対象に、暗号システムの移行に伴う複雑さについての認識を高め、今後必要な手順を特定するためのテーブルトップ演習（ワークショップ）を開催します。Google による PQC の導入は、他の組織にとって模範となるでしょう。

ただし、今日のセキュリティを破るほど強力な量子コンピュータがいつ登場するかは正確にはわかりません。それが 5 年後だろうと、10 年後だろうと、あるいは 15 年後だろうと、ポスト量子暗号の導入作業は膨大になります。

さらに、NIST の新しい PQC 標準が発表されたことで、規制当局、政府、顧客、監査人から、組織の PQC 計画について質問される可能性が高くなります。そのため、組織がすぐに移行を開始することが非常に重要です。

Google Cloud の専門家によるリーダーシップの詳細なガイダンスについては、CISO インサイト ハブをご覧いただき、CISO オフィスにお問い合わせください。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• クラウド セキュリティの最新化に関するマスタークラスとして、Security Summit 2024 に参加する: 8 月 20 日に開催される Security Summit にご参加いただき、新たな脅威からビジネスと顧客を保護するための最新のイノベーションと戦略について学んでください。詳細はこちら。
• mWISE カンファレンス 2024: サイバーセキュリティの未来を学べる最適なイベント: Mandiant、Google Cloud、そして広範なサイバーセキュリティ コミュニティの専門家たちが、9 月 18 日から 19 日にかけてコロラド州デンバーで開催される mWISE に集結します。これは、最新の脅威インテリジェンスや最先端のツールを体験し、サイバーセキュリティの未来を形作る戦略的な考えを持つ人々と交流するチャンスです。今すぐご登録ください。
• クラウド ガバナンスを有効に活用するための実用的なヒント: 混乱を避けるために、ビジネス リーダーは堅牢なガバナンスと 3LoD を活用して、主要な組織機能と役割を明確に定義し、割り当てています。CISO オフィスからのヒントをご紹介します。詳細はこちら。
• Gemini 1.5 Pro と脆弱性検出に関する実験: コードスキャンとコード生成の機能を備えた Gemini Pro 1.5 が、複雑なコードの分析と脆弱性の特定にどのように役立つかについて説明します。詳細はこちら。
• CIS GKE Benchmarks で Kubernetes のセキュリティをレベルアップ: Kubernetes ドリブンなコンプライアンスを管理しやすくするため、CIS Google Kubernetes Engine Benchmarks をアップデートしました。最新情報をご紹介します。詳細はこちら。
• カスタム組織ポリシーと Policy Controller のコンビで強力な Kubernetes セキュリティを実現: カスタム組織ポリシーと Policy Controller は、GKE クラスタを保護し、大規模なガバナンスとコンプライアンスを実現するのに役立ちます。その方法をご紹介します。詳細はこちら。
• Google と Alphabet の脆弱性発見に対する報奨金が最大 5 倍に増額: 2010 年に Google 脆弱性報奨金プログラムが創設されて以来、Google ではシステムやアプリケーションで見つかったバグに対して報奨金を支給してきました。報奨金の金額が更新され、最大 $151,515 を獲得できるようになりました。詳細はこちら。
• Android デバイスをテキスト メッセージ詐欺から保護する: SMS Blaster 詐欺を大幅に抑制したり、場合によっては完全にブロックしたりできる、Android 専用のセキュリティ機能が多数あります。詳細はこちら。
• 再設計された Chrome のダウンロード エクスペリエンスにセキュリティを組み込む: Chrome のダウンロード エクスペリエンスが再設計されたことで、Chrome が潜在的に悪意のあるファイルからユーザーを保護する際に、さらに多くのコンテキストを提供できるようになります。詳細はこちら。
• Windows 上の Chrome Cookie のセキュリティを強化: Cookie を盗み出す情報窃取型マルウェアを使用するサイバー犯罪者は、引き続きユーザーの安全とセキュリティにリスクをもたらします。Google ではすでにこの分野で数多くの取り組みを行っており、Windows ユーザーをこの種のマルウェアからより安全に保護するための新たな保護層を追加しています。詳細はこちら。
• 新しい Google Distributed Cloud イニシアチブによるソブリン クラウド ソリューションの提供: マネージド GDC プロバイダ イニシアチブにより、選ばれたパートナーは Google Distributed Cloud サービスをフルマネージド サービスとしてデプロイ、運用、管理できるようになります。詳細はこちら。

今月公開されたその他のセキュリティ関連のストーリーについては、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• イランが支援するグループがイスラエルと米国に対するフィッシング攻撃を強化: Google の脅威分析グループ（TAG）は、イラン政府が支援する脅威アクターである APT42 と、イスラエルおよびイスラエルの標的に対する標的型フィッシング攻撃キャンペーンに関する新たな分析情報を得ました。TAG はまた、APT42 が米国大統領選挙に関連するアカウントを標的にしているという最近の報告も確認しています。詳細はこちら。
• UNC4393 は徐々に SILENTNIGHT へ: Mandiant は、QAKBOT ボットネットのテイクダウン後を中心に、UNC4393 の活動ライフスパン全体を通して、その戦術とマルウェアの使用状況の変化について詳しく説明します。詳細はこちら。

Google Cloud セキュリティおよび Mandiant のポッドキャスト

• もう一度聴く: 量子問題に挑む: 量子コンピュータがもたらす真の脅威とは何でしょうか？ポスト量子暗号は防御者側にどのように役立つのでしょうか？Google のシニア スタッフ セキュリティ エンジニアである Jennifer Fernick が、Cloud Security Podcast ホストの Anton Chuvakin と Tim Peacock に、量子に関するあらゆる知見を共有しています。ポッドキャストを聴く。
• どうやら本当に SIEM に移行するようですね？わずか 1 週間で完全な SIEM 移行を実現する方法: SIEM プラットフォームの移行を本当に 1 週間で完了できるのでしょうか？Etsy のシニア セキュリティ エンジニアである Manan Doshi が、Anton と Tim に、Etsy が最近 Google Security Operations に移行した経験について詳しく語ります。ポッドキャストを聴く。
• クラウド セキュリティの道のり、改善から変革へ: Google のセキュリティ専門家 Jaffa Edwards と Lyka Segura が、顧客事例を通じて Anton と Tim に単なる改善が完全な変革に変わる仕組みを語ります。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。

-Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables