Google の信頼できるクラウドの拡張: Cloud IDS の導入でネットワークベースの脅威を検出

※この投稿は米国時間 2021 年 7 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud は日々、世界中のお客様が進化を続ける脅威に対して常に先手を打ち、ワークロードを安全に保てるよう支援しています。このたび、Google はその取り組みの一つとして、Cloud IDS という新しいネットワーク セキュリティ サービスのプレビューでの提供を開始しました。Cloud IDS が加わったことで、Google の信頼できるクラウドはネイティブのネットワーク ベースの脅威検出機能によってさらに強化され、特に重要度の高いネットワーク セキュリティの課題解決をこれまで以上に支援できるようになりました。

Cloud IDS によって、クラウドネイティブで使いやすく、マネージド型で、ネットワーク ベースの脅威検出が可能になります。Cloud IDS では、Palo Alto Networks の業界をリードする脅威検出テクノロジーによって保護された Google Cloud 統合エクスペリエンスが利用でき、高いセキュリティの有効性を確保できます。

Cloud IDS の設定とデプロイは簡単です。数回クリックするだけでデプロイでき、詳細なネットワーク脅威検出のメリットを得られます。Cloud IDS を活用することで、ネットワーク ベースの脅威に関する詳しい分析情報が得られ、侵入検知システムの使用が求められる業界固有のコンプライアンス目標を達成できます。

クラウドネイティブなマネージド ネットワーク脅威検出

Google では、デプロイと管理が簡単な、Google のクラウドに組み込まれたネットワーク脅威検出をもっと手軽に使いたいという声をお客様からたびたびいただいていたうえ、自身のクラウド環境が受信するトラフィックや、ワークロード間のトラフィックを広範囲に可視化したいという要望があることもわかりました。さらに、セキュリティの有効性（低い誤検出率で悪意のあるアクティビティを検出するシステムの能力）も、お客様にとって妥協できない要素です。Cloud IDS はこれらすべてのニーズにお応えします。

「Cloud IDS はデプロイが単純でわかりやすいうえ、管理も簡単です。これは当社にとって重要なことでした。設定と管理ではなく、セキュリティそのものの対策に時間をかけたいと考えているからです。Cloud IDS なら、重要度が特に高いアラートに注力して迅速に対応できます」- Dave.com 共同創業者 / 最高技術責任者 Paras Chitrakar 氏

Cloud IDS は、インターネットと送受信するトラフィックを可視化するだけでなく、east-west トラフィックも監視できます。たとえば、不審なラテラル ムーブメントについての VPC 内通信や VPC 間通信などです。さらに、Cloud IDS はエンドツーエンドのクラウドネイティブ ソリューションであるため、ユーザーは Palo Alto Networks の脅威分析エンジンが提供する、攻撃シグネチャの組み込みカタログを活用できます。カタログは広範で継続的に更新されるので、最新の脅威を検出し、未知の脅威に対する異常検出も行うことができます。

「当社のチームはクラウドネイティブなネットワーク脅威検出を探していたので、Cloud IDS の限定公開プレビューに登録しました。これまで Cloud IDS を使用してみて、全体としてとても良い感触を得ています。設定の容易さについては期待したとおりで、デプロイも簡単かつ迅速に行えました。この新しいサービスを使って引き続き色々とテストしていくのが楽しみです」 - Bitly 社プラットフォーム担当上級ソフトウェア エンジニア、Josh Harshmanineer 氏

業界最高水準のセキュリティ有効性を有するネットワーク脅威検出

Google Cloud の信頼できるクラウド インフラストラクチャと Palo Alto Networks の最高水準の脅威検出テクノロジーという強力な組み合わせを Cloud IDS は実現しています。Palo Alto Networks の脅威検出機能は、脅威分析エンジンと大規模なセキュリティ研究チームによって支えられています。研究チームは既知の脅威シグネチャのカタログに継続的に情報を追加し、未知の脅威に対して後手に回らないよう、他の複数の脅威検出メカニズムも活用します。

「Palo Alto Networks は Google Cloud とのパートナーシップを拡大し、お客様がクラウドへ移行し、ビジネスの目標を達成できるようサポートします。Google Cloud のネイティブなクラウド管理がもたらすシンプルさと、Palo Alto Networks の最高水準のセキュリティを組み合わせ、Cloud IDS でお客様のネットワークを安全に保ちます。お客様は特に重要なデジタル イニシアティブにおいてセキュリティとシンプルさのどちらを取るかで妥協する必要はもうありません」- Palo Alto Networks 社プロダクト マネージメント担当上級バイス プレジデント Muninder Singh Sambi 氏

重要度が特に高いネットワーク脅威の検出と優先順位付け

Cloud IDS は、GCE ワークロード間、GKE ワークロード間、GCE ワークロードと GKE ワークロード間において、クラウド環境が受信するトラフィックを広範囲に可視化します。これにより、マルウェア、スパイウェア、コマンド＆コントロール（C2）攻撃、その他のネットワークベースの脅威を検出しながら、セキュリティ対策とコンプライアンス目標の達成を支援します。また、ネットワーク層とアプリケーション層の両方で、セキュリティ侵害と検知回避の試行を検出します。

Cloud IDS に組み込まれたこれらの高度な侵入検知機能をフル活用したとしても、騒がしい検知通知のせいで重要度の高いアラートが埋もれてしまうことはありません。Cloud IDS には重要度に基づいた脅威の優先順位リストがあり、最も重要なネットワーク脅威から順に対処できるようになっています。

脅威の調査、関連づけ、対処

Cloud IDS が検出するネットワーク脅威に対処するため、Google Cloud 内にカスタム ワークフローを作成し、アラートに基づいて対策を講じることができます。また、Cloud IDS によって生成されたデータを活用し、驚異の調査と関連づけを SIEM（Security Information and Event Management）で実施し、SOAR（Security Orchestration and Automated Response）で対処することもできます。Cloud IDS は Google のセキュリティ パートナーの SIEM および SOAR ソリューションとの併用が可能です。そうすることでネットワーク脅威への可視性が向上するとともに、Cloud IDS のアラートに基づいて、セキュリティ分析や、脅威に対する対処の自動化が行えるようになります。公開プレビュー版では、Cloud IDS は Splunk Cloud Platform、Splunk Enterprise Platform、Exabeam Advanced Analytics、The Devo Platform、Palo Alto Networks Cortex XSOAR と統合されます。そして近いうちに、Cloud IDS は、Google Cloud の Chronicle と Security Command Center とも統合される予定です。

「企業がアプリケーションやワークロードをクラウドに移行する際、セキュリティ チームはクラウド内にオンプレミスのネットワーク セキュリティ スタックの複製を希望します。Google Cloud IDS には、ネットワーク脅威検出がサービスとして備わっており、企業が社内のセキュリティ プログラムを成熟させ、クラウドネイティブな実装に合わせてオンプレミスのセキュリティを強化できるようサポートします。これが、Google が Palo Alto Networks とともに Cloud IDS を作成し、ハイブリッドな IT インフラストラクチャを網羅するシンプルかつパワフルなネットワーク セキュリティ サービスを提供する理由です」Enterprise Strategy Group（ESG）社上級プリンシパル アナリスト兼フェロー Jon Oltsik 氏

Cloud IDS について詳しくは、Cloud IDS ウェブページをご参照ください。このページから登録して実際にアクセスしてみることもできます。また、セキュリティ サミットでは他のセキュリティ イノベーションについてもご紹介しています。この機会にぜひご覧ください。

-Google Cloud ネットワーキング担当バイス プレジデント兼ゼネラル マネージャー Shailesh Shukla

-ネットワーク セキュリティ担当プロダクト マネージャー Megan Yahya