コンテンツに移動
セキュリティ & アイデンティティ

Google Cloud、CVE プログラムの拡張によりセキュリティと透明性への取り組みを強化

2024年11月22日
https://storage.googleapis.com/gweb-cloudblog-publish/images/expanding_CVE.max-2500x2500.jpg
Sri Tulasiram

Head of Cloud Security Response

Phil Rollet

Cloud CVE Program Lead

Join us at Google Cloud Next

Early bird pricing available now through Feb 14th.

Register

※この投稿は米国時間 2024 年 11 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud は、お客様や政府機関が脆弱性について常に把握できるように支援することが、消費者、企業、ソフトウェア ベンダーを保護するうえで重要な役割を果たすことになると認識しています。

IT エコシステム全体における信頼性の構築において、共通脆弱性識別子(CVE)システムは不可欠な要素になってきています。CVE は、ソフトウェアやサービスのユーザーが対応を必要とする脆弱性を特定するのに役立っており、各脆弱性の特定と優先順位付けに欠かせない情報を含む、グローバルな標準化されたトラッキング メカニズムとなっています。

Google のプロダクトやサービスで見つかった脆弱性に対するセキュリティと透明性への継続的な取り組みの一環として、本日より、お客様の対応やパッチ適用を必要としない場合でも、Google Cloud の重大な脆弱性に関する CVE を発行いたします

Google Cloud の脆弱性がお客様の対応を必要としない場合には、そのことをユーザーが簡単に識別できるように、CVE レコードに「exclusively-hosted-service」タグを付けます。現時点で、このお知らせに関してお客様による対応は必要ありません。

「あらゆる種類の脆弱性を認識してそれを軽減するには、透明性と対応の共有が、不正な行為者に対抗するうえでとても重要になります。Google は防御者のコミュニティ全体をリードし、革新を続けていきます」と、Google Cloud CISO である Phil Venables は語ります。

脆弱性に関する透明性への取り組み

米国サイバー安全審査委員会(CSRB)によると、セキュリティへの精力的な取り組みの欠如により、予防可能なエラーや重大な侵害が発生することがわかっています。これは、セキュリティのベスト プラクティス推進の責任を担う大手プラットフォーム プロバイダにとって、重大な懸念事項です。APT グループが偽造認証トークンを使用して政府機関を含む約 25 の組織のメールアカウントにアクセスした方法を詳述した、Storm-0558 に関するレポートを読むと、CSRB がクラウド サービス プロバイダに対してベスト プラクティスを強調している理由がわかります。

Google は、Cloud VRP などのプログラムを通じて業界と提携し、CVE で脆弱性に対する可視性を高めることで、セキュリティのベスト プラクティスを大規模に推進できると考えています。CVE を公開して、誰でもこれを使用して脆弱性を追跡、特定できるようにすることで、お客様がご自身のセキュリティ ポスチャーをより適切に把握するのに役立ちます。最終的には、CVE の発行は、Google Cloud が企業やビジネスのニーズに対応する安全なクラウド パートナーとしてお客様の信頼を築くことにつながります。

安全性を重視した設計に関する論文で述べたように、Google は、20 年間にわたって外部のセキュリティ研究者との連携を続けており、その独立した脆弱性発見作業に助けられています。Google の脆弱性報告プロセスでは、セキュリティ上の懸念に対処するためのコミュニティ ベースのアプローチの一環として、直接的なエンゲージメントを奨励しています。

コミュニティを重視したこの取り組みから、2011 年にCVE Numbering Authority となる最初の組織を設立しました。それ以来、消費者向けと企業向けの製品全体で 8,000 を超える CVE を発行してきました。その後、MITRE とのパートナーシップを拡大し、Google 2022 年に MITRE 4 つの Top-Level Root 1 つになりました。

本日の発表は、Google Cloud が進めているセキュリティの脆弱性に関する透明性の文化の醸成にとって重要な一歩となるもので、お客様と協力してセキュリティを継続的に改善するという運命共有モデルに沿ったものです。

Google Cloud VRP は、Google Cloud のプロダクトとサービスの強化に重点を置いて、Google のエンジニアと外部のセキュリティ研究者が結集してすべてのお客様のセキュリティ ポスチャーを強化できるようにするものですが、CVE は、お客様とセキュリティ研究者が既知の脆弱性を追跡できるようにするものです。

Google Cloud CVE は、セキュリティに関する公開情報サイトで引き続き公開されます。Google Cloud VRP について詳しくは、こちらをご覧ください。

-クラウド セキュリティ対応責任者 Sri Tulasiram
-
Cloud CVE プログラム リード Phil Rollet
投稿先