Google Cloud CISO の視点の共有
Google Cloud Japan Team
※この投稿は米国時間 2021 年 4 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。
わずか 3 か月前、Google Cloud の最高情報セキュリティ責任者(CISO)に就任してから、クラウドを通じてお客様や社会全体のセキュリティを向上させるべく取り組むという Google Cloud ならではの考え方に直接触れてきました。私がこの新しい職務に就いた頃は、ソフトウェア サプライ チェーンに影響を与える重大な侵害がセキュリティ業界を揺るがしており、Google で働くことを決めた理由の一つが思い出されました。それは、困難なセキュリティの問題に対処し、より安全な未来のための基盤を築けるよう支援して業界を前進させることです。
Google Cloud は本日より新しいブログシリーズを開始することをお知らせいたします。このシリーズでは、カンファレンスでの注目の内容、新しい研究、Google セキュリティ チーム全体の成果など、Google Cloud はもとより業界全体のサイバーセキュリティに関する重大な発表やトレンドについての見解をお伝えしていきます。特に重要なセキュリティの最新情報とそれが重要な理由について、CISO の視点を皆様に総合的にお話しする場にしたいと考えております。
業界を取り巻く状況についての考察
COVID-19 時代におけるグローバル サプライ チェーン - 先月、COVID-19(新型コロナウイルス感染症)のパンデミックによってもたらされるサプライ チェーンのリスクについて、外交問題評議会のパネルディスカッションに参加しました。最大の成果の一つとして、グローバル サプライ チェーン全体におけるリスク マッピングなど、現存のサプライ チェーンのリスク管理に対し継続的な安定状態を確保できるよう、組織や政府が議論すべきであることがわかりました。物理的なサプライ チェーンが自然災害のリスクに備えなければならないように、あらゆるサプライ チェーンには混乱を来す可能性のあるデジタル要素が含まれているため、サイバー防止対策について検討する必要があります。
マルチクラウドに関する IDC のホワイトペーパー - Google Cloud は IDC に協力し、規制の厳しい組織での単一のクラウド ベンダーの使用によるリスクを軽減するために、マルチクラウドがどのように役立つかを調査しました。このホワイトペーパーでは、ヨーロッパの組織が採用しているマルチベンダーやハイブリッド クラウドに対するさまざまなアプローチの紹介に加え、これらの戦略が、企業の集中リスクとベンダー ロックインへの対処、コンプライアンス体制の強化、出口戦略の実証にどのように役立つかについても説明しています。
オペレーショナル レジリエンスは、金融サービス企業にとって重要な分野であり、世界中の規制当局は、このコンテキストにおけるクラウド サービス プロバイダなど、外部委託先の利用に関するガイダンスを進化させてきました。私たちはこの分野の金融サービス機関のお客様と緊密に連携し、クラウドへの移行がお客様、株主、規制当局に必要なオペレーショナル レジリエンスを確保するためにどのように役立つかについて新しいホワイトペーパーを作成しました。
#ShareTheMicInCyber - 女性歴史月間に向けて Google 社員の一人である Camille Stewart によって共同設立された、業界で重要な取り組みである #ShareTheMicInCyber を称えました。DEI から生まれる利点はすべての領域に当てはまりますが、サイバー分野ではとりわけ、多様なセキュリティ チームがより革新的で優れたサービスを生み出し、サイバー脅威に対する防御能力を高めることを身をもって学んでいます。
セキュリティに関する Google の貢献
Spectre の概念実証 - Google のセキュリティ チームは、ウェブユーザーに対する Spectre の悪用の可能性に関する最近の調査結果を公開しました。この調査では、ブラウザのメモリから情報が漏洩する可能性のある JavaScript で記述された概念実証(POC)について示されており、このような調査結果をセキュリティ コミュニティで共有することには計り知れない価値があります。またチームの作業面では、Google 全体での経験に基づいて、ウェブ制作者が利用できる保護機能と、ウェブ アプリケーションでそれらの機能を有効にするためのベスト プラクティスが取り上げられています。
オープンソース セキュリティ - Google が設立に貢献した Open Source Security Foundation では引き続き多大な活動と支援が行われています。多くの重要なプロジェクトでセキュリティを強化していくために、誰でもメンバーになることができます。参加方法について詳しくは、こちらをご覧ください。また、ソフトウェア サプライ チェーンの整合性と検証の改善を目的とした Linux Foundation の新しいプロジェクト、sigstore の発表も嬉しく思っています。
セキュリティに関する Google Cloud の主な取り組み
今四半期、Google Cloud のセキュリティ チームは多忙を極めています。BeyondCorp Enterprise や Risk Protection Program などのサービスを発表したり、Google Cloud Security Podcast を新たに立ち上げたりと、大きなマイルストーンを達成しました。重要なポイントには、次の内容が挙げられます。
BeyondCorp Enterprise - 今年の初め、包括的なゼロトラスト サービスである BeyondCorp Enterprise を発表しました。これにより組織は、実証された最新の BeyondCorp テクノロジーを活用してゼロトラストに取り組めるようになります。
信頼できるクラウド - 3 つの柱(透明性と主権、ゼロトラスト、運命の共有)に基づいて、真に信頼できるクラウドを提供するというビジョンを打ち立てました。
Risk Protection Program - Google Cloud は大手保険会社 2 社との提携を発表しました。これにより、特定のセキュリティのベスト プラクティスを遵守し、Google Cloud プラットフォームを通じてセキュリティ体制の自動文書化を行っている Google Cloud のお客に対して、特別なサイバーセキュリティ保険を提供します。
Active Assist によるアカウントのセキュリティに関する推奨事項 - Active Assist は、クラウド デプロイを最適化する方法について、お客様に推奨事項を提示します。新しい Recommender である「アカウント セキュリティ」をリリースしました。これを使用すると、プロジェクト オーナーなどの昇格した権限を持つユーザーが厳格な認証を使用していない状況が自動的に検出されます。このようなユーザーには、スマートフォンをフィッシング耐性のある第 2 の認証要素として有効にするよう求める通知が表示されるため、アカウントのさらなる保護に役立ちます。
セキュリティに関するベスト プラクティスの最新ドキュメント - 幅広い内容の新しい 2 つのホワイトペーパー、クラウド セキュリティの変革に関する CISO ガイドと最新版の Google Cloud セキュリティ基盤ガイドがリリースされていますのでご覧ください。
今後数か月間、Google Cloud ではリスクおよびコンプライアンス担当者や IT 監査責任者を対象としたクラウドのリスク管理に関する新しいホワイトペーパーの執筆、将来のセキュリティ オペレーション センターの再考など、さまざまな取り組みが予定されています。今回は、シリーズ初のブログ投稿をお読みいただきありがとうございました。これからも、CISO の見解を皆様にお話しできることを楽しみにしています。
- Google Cloud CISO 兼バイス プレジデント Phil Venables
