サイバー公衆衛生: サイバーセキュリティへの新しいアプローチ
Bill Reid
Security Advisor, Office of the CISO, Google Cloud
Taylor Lehmann
Director, Office of the CISO, Google Cloud
※この投稿は米国時間 2024 年 7 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。
Google では、クラウド インフラストラクチャへのアプローチに、インターネットの相対的な「健全性」に対する理解を生かしていくべきと考えています。このような動態統計情報を定義、測定することで、インターネットの健全性や安全性、セキュリティを脅かす状況の特定や対応を、積極的かつ体系的に行うことができます。さらに重要なのは、この情報は公衆衛生の考え方や手法をサイバーセキュリティに応用し、インターネットの全体像を把握するためにも使用できる点です。これがサイバー公衆衛生(CPH)と呼ばれる新しい分野です。
本日は、CPH の取り組みに対する Google のサポートについてお伝えします。CPH は、各組織がそれぞれのシステムを保護するためにとっている個々の対策が、全体的なサイバー公衆衛生に貢献しているのかを理解するのに役立ちます。CPH はインターネットが直面するリスクを管理することです。これは、全体像を見ることでのみ可能なことです。そのため、脆弱性やインシデントにとどまらず、インターネットに接続されたシステムの安全性とセキュリティの維持に効果的な方法を実践することを意味します。
たとえば、CPH を測定する方法の一つとして、脆弱なシステムにパッチを適用することが、マルウェア拡散の抑制や世界的なシステム稼働時間の改善に、どの程度の累積的な影響があるのかを確認できます。このような測定を行うには、公衆衛生分野のレポートで現在行われているように、公共の健康データに相当するものまたは動態統計情報を各組織が定義、測定し、一般に公開する必要があります。このデータ コンテキストの拡大によって、インターネット全体の健全性を理解し、その情報を使用してシステムの安全性維持に有効な方法を採用できます。
より良い包括的なデータの入手
従来のサイバーセキュリティ モデルは個々の脅威に対応するものが多く、組織は新たに進化した攻撃には脆弱なままです。多くの場合、既存のデータは断片化、サイロ化され取得が難しいため、トレンド、パターン、リスク要因を集団レベルで特定することは困難です。
多くのセキュリティ侵害は開示されないため、特定の脆弱性がどのように発生し、不正利用され、何が解決策となり、どうすれば今後同じような脆弱性を防ぐことができるのかについて、集合的に学べることはほとんどありません。
コミュニティとして、インターネット全体の健全性に関する包括的なデータが不足している状態です。CPH は、サイバーリスクを軽減した実績がある方法の測定、報告を主な目的としていることから、インターネットの健全性に対する理解を広げてくれるものと確信しています。
事後対応から予測へのシフトでインターネットを保護
CPH はサイバーセキュリティにおけるパラダイム シフトとなります。データに基づく分析情報を使用し、関係者間のコラボレーションを促進することで、セキュリティとレジリエンスに優れたデジタル エコシステムの構築に役立ちます。Google Cloud は、研究への投資、革新的なツールの開発、サイバーセキュリティ コミュニティ全体での情報共有の促進といった形で、この新しいアプローチを積極的にサポートしています。
Google Cloud は最近、CyberGreen Institute とともにワークショップを共同開催しました。CyberGreen Institute は CPH 推進の旗手として、インターネットの健全性の測定を専門的に行っている組織です。CyberGreen Institute は、脅威への対応、攻撃への対処に事後的に注力するのではなく、サイバーセキュリティの問題を未然に防ぎ、軽減するための予防策を講じることを人々や組織に促しています。ワークショップ レポートの筆頭執筆者である Adam Shostack 氏は次のように述べています。「こうしたアプローチは、たとえばマラリアを投薬で治療する一方で、蚊が生息する近くの沼地はそのままにしておいたり、がん治療のテクノロジーを発展させる一方で、国民の喫煙状況にはほとんど注意を払わないのと同じようなものです。」
今回が初開催となったサイバー公衆衛生ワークショップでは、さまざまな分野の専門家が集まり、CPH の未来について議論しました。そして、今後の研究分野として下記が挙げられました。
-
CPH における基本的な測定単位の定義(デバイス、アカウント、ユーザーなど)
-
信頼できるデータソースの特定とプライバシーに関する懸念への対応
-
標準化されたインシデント レポート フォームや指標の開発
-
AI を含む新しいテクノロジーがサイバーセキュリティに与える影響の調査
「日常生活におけるデジタル活動(DADL: Digital Activities of Daily Living)」というコンセプトも議題になりました。人が日常的に行う基本動作の能力を評価することで身体的健康の低下を測定するアプローチに対して、DADL はこのコンセプトをデジタル生活まで拡大するものです。
「DADL は健全で安全なサイバー エコシステムを維持するために、個人や組織、そして国家も実施する必要がある、重要なデジタルタスクを表します。日常生活動作(ADL: Activities of Daily Living)が身体の健康のために重要であるのと同様に、DADL は現代のデジタル ウェルビーイングに不可欠です」と、Trail of Bits の戦略的イニシアティブ担当ディレクター Josiah Dykstra 氏は最近の CyberGreen のブログに書いています。
Google Cloud は、CPH 分野の発展を目指して、こうした研究に積極的に関わり、主要な組織や研究者と連携しています。
次のステップ
サイバー公衆衛生は今後が期待される新しいアプローチであり、大統領科学技術諮問会議(PCAST)のサイバー空間と物理空間のレジリエンス戦略が提唱する概念などとともに、サイバーセキュリティを大きく変革する可能性を秘めています。Google Cloud は、この活動の一翼を担えることを誇りに思っています。より健全で安全なインターネットの構築に皆様もご協力ください。
サイバー公衆衛生と CyberGreen Institute の取り組みについては、詳細をご確認ください。ワークショップ レポートはこちらでご覧いただけます。
力を合わせて、誰にとっても安全なデジタル環境を作っていきましょう。
