Google Cloud と CyberGRX のコラボレーションにより、クラウド評価の拡張と加速をサポート

※この投稿は米国時間 2023 年 7 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

リスク マネージャーは、あらゆるリスク管理プログラムの基礎となる評価タイプが 1 つあることを知っています。それはベンダー リスク評価です。クラウド プロバイダなど、ベンダーやサードパーティのリスク管理体制を把握することは、効果的なリスク管理プログラムの重要な要素です。リスク マネージャーは多くの場合、情報の収集と分析に時間をかけていますが、Google Cloud はサードパーティのリスク管理（TPRM）プロバイダと連携してプロセスを容易化しています。

こうした TPRM 組織は、独立したデュー デリジェンス サービスやプラットフォームを提供しており、業界標準と規制コンプライアンスに沿って、セキュリティ、プライバシー、ビジネスの継続性、業務の復元力のコントロールを検査することで、ベンダーによるリスク管理の自動化をサポートしています。最終的な目標は、お客様が Google Cloud の評価を拡張し、加速できるよう支援することです。

Google Cloud は、CyberGRX などの信頼できる TPRM プロバイダが、CyberGRX のコントロール（プライバシー、業務、管理など）と運用を検査できるようにサポートしています。CyberGRX は、その観察に基づいて、Google Cloud のセキュリティ対策に関する検証済みのサイバーリスク評価を提供しています。個々のお客様が実施する評価と同様、CyberGRX による Google Cloud の評価においても、業界標準とインフラストラクチャに組み込まれているセキュリティ プロトコルへの準拠が詳述されています。

このような標準化されたアプローチにより、CyberGRX は Google Cloud のセキュリティ評価へのアクセスを迅速に提供できます。CyberGRX の検証プロセスは、Google Cloud の評価回答など、サードパーティの精度を測定することに重点を置いています。CyberGRX のアナリストとパートナーは、Google Cloud によって提供されたエビデンスを評価し、その評価で示された特定の重要なコントロールが実装されていることを確認します。各組織は、CyberGRX のウェブサイトを通じて Google Cloud の評価を閲覧できます。

Google Cloud の優れた点

CyberGRX の評価は 200 以上の管理ソリューションをカバーしており、Google Cloud の対応と分析、脅威インテリジェンス、リスクモデルを統合しています。さらに、CyberGRX の Framework Mapper は、Google Cloud のサイバーリスク評価を 20 以上の一般的に使用される業界フレームワークと標準にマッピングすることで、さらなる機能を提供します。これにより、お客様は、MITRE ATT&CK フレームワークを含む、お客様固有のローカル コンプライアンス体制要件に対する Google Cloud のサイバーリスク評価を確認できるようになります。  

CyberGRX の Framework Mapper は、次のような広範な標準と要件に対応しています。

CyberGRX マッピング テクノロジーを使用すると、お客様は特定のニーズに基づいたマッピングを 1 つの評価に集約して確認できます。これにより、お客様は Google Cloud のカスタマイズされた評価を作成して繰り返し実行する必要がなくなり、時間と労力を節約できます。さらに、Google Cloud のサイバーリスク評価を、使い慣れたフレームワークにマッピングできるようになりました。

MITRE ATT&CK™ フレームワークのインテグレーション

MITRE ATT&CK は、セキュリティ上の敵対的な行動、戦術、手法のモデル化に役立つ、強固にサポートされているナレッジベースであり、現在 13 の戦術と 192 の手法が含まれています。

2022 年 6 月、Google Cloud は、MITRE Engenuity Center for Threat-Informed Defense との研究パートナーシップへのサポートと投資を発表しました。これには、Google Cloud セキュリティ機能に対する MITRE ATT&CK フレームワークのマッピングの円滑化が含まれます。

CyberGRX は、MITRE ATT&CK フレームワークの価値も認識しており、その基本的な評価を MITRE ATT&CK フレームワークにマッピングしています。これにより、各組織はセキュリティ管理の見直しや、防御のギャップの可視化が行えるようになります。セキュリティ リーダーは、修復すべき重大な問題を迅速かつ簡単に特定できます。

CyberGRX を通じて Google Cloud のリスク評価にアクセスする際に MITRE ATT&CK フレームワークを使用すると、次のような複数のメリットがあります。

• MITRE の手法を活用してキルチェーンやユースケースを作成することで、これまで報告されていなかったギャップを明らかにできます。

• MITRE ATT&CK と連携済みの内部リスクおよび脅威管理プログラムに結果を統合できます。

• MITRE ベースの分析情報への接続により、CyberGRX のリスク発見に対する信頼性と防御性が向上し、サードパーティの意思決定と関係がサポートされます。

Google Cloud と CyberGRX のコラボレーションを活用する

CyberGRX による Google Cloud の独立したセキュリティ評価は、Google Cloud のお客様が利用でき、各組織がクラウド評価を拡張および加速できる簡単な方法です。CyberGRX は、多くのローカル コンプライアンス体制要件と MITRE ATT&CK フレームワークに基づいて、Google Cloud のセキュリティ対策の包括的かつ客観的な視野を提供します。CyberGRX の一元的な評価は、お客様の年次ベンダー リスク管理プロセスをサポートし、レビュー時間を短縮します。