コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

NIS2 へのコンプライアンスに向けた Google Cloud によるお客様の支援

2025年1月24日
Tara Brady

President, EMEA, Google Cloud

Jeanette Manfra

Senior Director, Global Risk & Compliance

※この投稿は米国時間 2024 年 12 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

欧州は、高まっているサイバー脅威から消費者、企業、政府機関を保護するうえで不可欠な戦略を前進させるために、欧州委員会で NIS2Network and Information Systems Directive 2.0)を採択しました。NIS2 は、欧州経済の主要セクターにおいて、高レベルのセキュリティおよびレジリエンスを一貫して確保できるよう促進するものです。

NIS2 の採択は、サイバーセキュリティのベスト プラクティスに従うことや、日常的なビジネス上の意思決定でセキュリティを考慮することに関する民間企業の要件や責任が激変するということでもあります。NIS2 へのコンプライアンスを実現するために、欧州の組織(Google Cloud のお客様を含む)は、セキュリティ ツール、人材、プロセスへの新たな投資を行い、セキュリティ ベースライン全体を底上げすることが必要になる可能性があります。お客様には、これをリスク管理とコンプライアンスの効率化のプラットフォームとしてクラウドを導入する機会ととらえることをおすすめします。

Google Cloud Google Workspace は、お客様が NIS2 のコンプライス目標を達成するためのさまざまなツールリソースを提供して、安全かつ復元性に優れたアプリケーションの構築、サイバーリスクの管理、インシデントへの対応、安全な基盤上に構築された新しいビジネスモードの実現を支援します。

NIS2 はコンプライアンスの課題か、機会か

NIS2 は、エネルギー、輸送、ヘルスケア、金融サービス、デジタル インフラストラクチャなどの重要な分野で事業を行う、数万社の必要不可欠な企業に対し、新しいセキュリティ要件を提示しています。対象事業者は、リスク管理の対策、事業継続計画の策定、サプライ チェーンのセキュリティ対策強化、サイバー ハイジーン プログラムとトレーニング プログラムの立ち上げ、より厳格な最小限のセキュリティ管理要件の導入が義務付けられます。

さらに事業者は、「重大」なサイバー インシデントを管轄の国家当局に報告する必要があります。こうした要件を満たせない場合、多額の罰金などを含む違反措置が適用されたり、評判の低下につながったりします。

NIS2 およびその他の規制によって、サイバーセキュリティ関連の支出はすでに増加しています。欧州連合サイバーセキュリティ機関(ENISA)が最近実施した調査によると、欧州の組織が 2024 年にセキュリティに割り当てた IT 予算は平均 9% となると見込まれ、2023 年の 7.1% から上昇しています。

それにもかかわらず組織は、スキルを持ったサイバー セキュリティ専門家を必要人数雇用したり、維持したりするのに苦労しています。そのため、複雑さに対処しながらコストを抑えて NIS2 の要件を満たすことができた組織は、そうした対応ができない組織よりも競争力を高めることになるでしょう。

Google Cloud は、運命共同体として、セキュリティとコンプライアンスに対応しようとするお客様の信頼できるパートナーとして支援する取り組みが重要であると考えています。Google は、オンライン アセットの状況をより詳細に把握してリスクに対応するための、業界最先端のツールをお客様に提供しています。

Google は、暗号化や多要素認証(MFA)といったすでに導入されている強力な制御機能によって、お客様がより高いセキュリティ ベースラインを達成できるよう支援します。たとえば、サイバーセキュリティ保険会社 At-Bay の調査によると、Google Workspace をご利用のお客様から報告されたインシデント発生数は、Microsoft 365 をご利用のお客様から報告された発生数の 3 分の 1 であることがわかっています。

さらに Google を活用すると、IT ライフサイクル管理を簡素化できるほか、技術的負債を管理するのではなく、ビジネス管理に集中できるようになります。Google はまた、規制当局と密接に連携して信頼関係を構築しているため、必要に応じてお客様がコンプライアンス上のニーズを満たせるよう支援できます。

こうした理由から、欧州のお客様はコンプライアンス目標を達成できるよう、Google Cloud と連携することを強くおすすめします。

Google Cloud を活用して NIS2 目標を達成する方法

Google Cloud は、NIS2 へのコンプライアンスに向けてお客様を支援するための各種ソリューションとリソースを提供します。

リスク管理: 対象となる組織が NIS2 へのコンプライアンスを達成するには、国際基準と欧州基準に基づいた、情報に関する適切なリスク管理対策をとる必要があります。これにはリスク評価の実施やリスク対応計画の導入が含まれます。

まず、NIS2 に基づいたサイバーリスク管理に対して責任を負うことになった管理者に対し、Google はリスク ガバナンスに関するさまざまな無料の教育リソースを提供しています。このリソースには、ベスト プラクティス ガイドや、CISO 取締役会向けのインサイト ハブが含まれます。クラウドへの移行前であっても、組織は Google リスク評価と重要なアセット検出ソリューションを使用して、現在の IT リスクの評価、重要なアセットが存在する場所の特定、セキュリティ ポスチャーと復元力を改善するための推奨事項の確認を行うことができます。

クラウドへの移行後は、Google Cloud Monitoring を使用して、リアルタイムのパフォーマンス、可用性、アプリケーションとインフラストラクチャの健全性を確認できます。また、Security Command Center Enterprise では、セキュリティ ポスチャーを可視化し、脆弱性や構成ミスを検出して修復することができます。

Google Cloud と連携することで、お客様は、コンプライアンスに欠かすことができない幅広いサービス、ベスト プラクティス、簡単にアクセスできるドキュメントを活用することもできます。Google のプロダクトは、ISO/IEC 27001 などのフレームワークで定められたセキュリティ、プライバシー、コンプライアンス管理について、独立した機関による監査を定期的に受けています。ISO/IEC 27001 は、ENISA の導入ガイダンスの草案に記載される NIS2 要件に一致しています。

組織はまた、Google Cloud をご利用になっていなくても、セキュリティ プログラムの評価ペネトレーション テストサイバーセキュリティのデュー デリジェンスなどの、Mandiant コンサルティングが提供するリスク管理サービスも活用できます。

インシデント処理: NIS2 は対象事業者に対し、サイバー脅威の監視と、重大なインシデントについては国家当局への 24 時間以内の通知、詳細なインシデント レポートの 72 時間以内の提出、包括的な最終レポートの 1 か月以内の提出を義務付けています。

こうした要件を満たすために、脅威を封じ込めて解決しながら、インシデントの検出、証拠の収集、期日までのレポート提出を実施する作業は、最先端の技術を持つセキュリティ チームであっても困難です。Google Cloud は、セキュリティ チーム向けに、インシデント管理のコラボレーション プロセスの設計、緊急時対応計画の強化インシデント対応の取り組みの迅速化を支援するツールとリソースを提供します。

クラウドでのインシデント管理については、セキュリティ担当者は脅威の監視、検出、調査、対応を行うための最新のプラットフォームとして、Google Security OperationsSecOps)を活用できます。SecOps プラットフォームを使用すると、組織は Google Threat Intelligence から分析情報を取得して新たな脅威を追跡できるだけでなく、単一プラットフォーム上でペタバイト規模のテレメトリーを分析し、連携してケースに取り組むことができます。組み込みの生成 AI によって、カスタマイズされたインシデント ハンドブックを必要に応じて作成できるため、インシデント対応とレポート作成を迅速化できます。

Google Cloud をご利用されているかどうかにかかわらず、お客様は Mandiant Incident Response Services を使用して、詳しいフォレンジック分析を実施し、危機管理のサポートを得て、復旧作業を行うことができます。

Google Cloud は、基盤となるプロダクトやサービスに影響を与えるサービス障害について、Personalized Service Health ダッシュボード公開ダッシュボードを介してお客様に通知します。また、セキュリティおよびプライバシー インシデントについては、Advisory Notifications を介して通知します。

ビジネスの継続性: NIS2 は、重大なサイバー インシデントの発生時にビジネスの継続性を維持できるようにするためのツールとプロセスの導入を組織に義務付けています。それには、インシデント対応チームの設置やバックアップの作成などが含まれます。

クラウドベースのツールは、高いレベルのオペレーショナル レジリエンスを維持するうえで有効だと考えるお客様および政策立案者が増えてきています。Google は厳格な災害復旧テストを実施することで、さまざまな災害シナリオでインフラストラクチャを継続的に運用できることを確認しています。Google のデータセンターは、独立機関による監査によって ISO/IEC 22301 の認証を受けています。

お客様には、信頼性の高いアプリケーションおよび堅牢な障害復旧機能の構築を開始するためのガイダンスとして、Google Cloud アーキテクチャ フレームワークをご活用いただけます。Google は、お客様のワークロードをランサムウェアなどの脅威から保護する幅広いバックアップおよび障害復旧のマネージド ソリューションを提供しています。Google Workspace は、信頼性と安全性の高いメールやコラボレーション プラットフォームとして利用できるだけでなく、メールのプライマリ プラットフォームが不正使用された場合のバックアップとして設定できます。

最小限のセキュリティ要件: NIS2 は、暗号化、MFAIdentity and Access Management などの基本的なセキュリティ コントロールやテクノロジーを導入することを対象事業者に義務付けています。

Google ホワイトペーパー では、Google Cloud インフラストラクチャの設計においてセキュリティがいかにして徹底的に組み込まれているかをご確認いただけます。Google のセキュリティ モデルには、Google のデータセンターとネットワーク インフラストラクチャを保護するために、複数の物理的なセキュリティ対策が適用されています。たとえば、正規の Google デバイスを認証し、ソフトウェア コンポーネントの完全性を確認するために、特別に設計された Titan ハードウェア セキュリティ チップを使用しています。

Google Cloud のセキュリティ モデルの中核にあるゼロトラスト: Google のインフラストラクチャでは、すべての ID、デバイス、サービスを常に認証および承認することで、ネットワーク上のラテラル ムーブメントが回避されます。Google では、お客様の保存データと、データセンター間でやり取りされる転送データを暗号化しています。

さらに追加の保護レイヤとして、2025 年には世界規模で Google Cloud のすべてのお客様に対して MFA を必須化してまいります。クラウドでデフォルトで保護されたアプリケーションを構築するためのガイダンスについては、Google Cloud アーキテクチャ フレームワークを改めてご参照ください。

Google Cloud による NIS2 へのコンプライアンス アプローチ

Google Cloud は、対象事業者として NIS2 で定められたサイバーリスク管理およびインシデント対応の要件を満たす義務を負うと同時に、お客様によるコンプライアンス プロセスも支援いたします。Google は国家当局と密接に連携して、当社のセキュリティ モデルの強みと、NIS2 のすべての要件へのコンプライアンスを実証しています。

NIS2 では、サプライヤー契約やサービスレベル契約に最小限のセキュリティ要件を盛り込む必要性など、サプライ チェーンの強固なリスク管理対策を導入することが対象事業者に義務付けられています。Google Cloud の物理的なセキュリティ、脆弱性の管理、インシデントの通知、人材のスキルやトレーニング、復処理者のセキュリティに関する契約上の責任については、Cloud のデータ処理に関する追加条項をご覧ください。詳しくは、Google Cloud の担当者にお問い合わせください。

今後の展望

Google Cloud は、欧州のデジタル エコシステムの強化と安全確保の支援に取り組んでいます。Cloud on Europe’s Terms イニシアチブの一環として、Google 信頼できるクラウド ソリューションのポートフォリオと主権管理を提供することで、お客様がデジタル トランスフォーメーションおよび AI によるイノベーションを実現するのを支援しています。

欧州の組織が次世代のサイバーセキュリティの専門家をトレーニングして雇用できるように、Google Google Cybersecurity Certificate プログラム向けに数千件にのぼる奨学金をこれまで付与しています。それに加え、Google.org は来年にかけて 1,500 万ドルを費やしてサイバーセキュリティ セミナー プログラムの一環として欧州、アフリカ、中東の大学でのサイバーセキュリティ関連の実践的な教育を支援してまいります。

また Google は、欧州の企業、政府、個人をターゲットにした悪意のあるサイバー活動に対抗するための、欧州連合およびその加盟国による取り組みも支援しています。Google のサイバーセキュリティ チームは、欧州の 10 を超える国の政府とすでに密接に連携して、情報や脅威を共有しています。あらゆる規模のお客様およびパートナーの皆様は、Google 脅威インテリジェンスに関するブログに掲載されている無料で閲覧可能な分析リソースをご覧いただけます。

NIS2 は、欧州での集団的サイバー レジリエンスの強化に向けた重要な第一歩となります。Google Cloud は、テクノロジー プロバイダおよびセキュリティ イノベーターとして、お客様を引き続きサポートしながら、誰もが安心して利用できるインターネットを連携して構築してまいります。

-Google Cloud ヨーロッパ、中東、アフリカ担当プレジデント Tara Brady

-グローバル リスクおよびコンプライアンス担当シニア ディレクター Jeanette Manfra

 

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/threat-intelligence-default-banner-simplifie.max-700x700.png
Threat Intelligence

国土交通省 CISO 連絡会議での講演から読み解く、最新サイバー脅威の動向と対策

執筆者: Mandiant • 所要時間: 2 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/41_-_Hybrid__Multicloud_qokHBFC.max-700x700.jpg
Hybrid & Multicloud

Google Distributed Cloud の生成 AI 検索ソリューションで機密データを迅速かつ安全に検索

執筆者: Antoine Haas • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/49_-_Customers_YsP9mBg.max-700x700.jpg
Customers

Virgin Media O2 が Privileged Access Manager を使用して最小権限の原則を実現した方法

執筆者: Henry Tze • 所要時間: 6 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud がお客様の DPIA と AI プライバシー コンプライアンスへの取り組みを支援する方法

執筆者: Marc Crandall • 所要時間: 5 分