米国公共部門向けの自律型セキュリティ運用のご紹介
Google Cloud Japan Team
※この投稿は米国時間 2022 年 5 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。
コロナ禍において、米国の公共、民間両部門をターゲットとするサイバー攻撃が増加する中、ホワイトハウスと連邦政府機関は重要なインフラストラクチャやリモートワーク インフラストラクチャを保護するための方策を講じています。これには、ゼロトラスト ポリシーの採用を推奨する大統領令 14028 および行政管理予算局の覚書 M-21-31 があり、ソフトウェア サプライ チェーンのセキュリティ、サイバーセキュリティ脅威の管理、サイバー攻撃の検知と対応の強化が考えられています。
しかし、これらの実装は多くの機関にとって、コスト面やスケーラビリティ、エンジニアリング、リソースの不足といった点で大きな壁となっています。大統領令(EO)と行政管理予算局(OMB)の要件を満たすためには、テクノロジーのモダナイゼーションや労働者、ビジネス プロセスの変革が必要です。
今日は、米国公共部門のための自律型のセキュリティ運用(ASO)をご紹介します。これは、EO 14028 や OMB M-21-31 の目的に適った、サイバーセキュリティ分析や脅威管理をモダナイズするソリューション フレームワークです。ASO は Google Chronicle と Siemplify を利用したもので、組織全体での包括的なサイバーセキュリティ テレメトリ管理が実現し、ホワイトハウスのイベント ロギング階層要件に応え、脅威検知や対応のスピードとスケールに変革をもたらします。ASO は政府機関における脅威の継続的な検知や対応の達成を可能にし、セキュリティ チームの生産性を向上させることで、検知や対応に要する時間を削減し、攻撃者のペースに追いつくだけでなく、理想的には先回りの対応をも実現します。
OMB M-21-31 の焦点は技術力の実装にありますが、一方で、セキュリティ運用の変革は技術以上のものが必要とされています。プロセスおよび組織内の人々の変革もまた、長期的な成功のためには重要なのです。ASO は、OMB で定義されたイベント ロギング能力の階層を見るためのより包括的なレンズを提供し、セキュリティ運用プロセスと人員の変革を同時に進めることができます。
最新のサイバーセキュリティ脅威検知と対応
Google は強力な技術的能力を提供し、お客様の組織が M-21-31 や EO 14028 の要件を達成することを支援します。
セキュリティ情報イベント管理(SIEM) - Chronicle は、ハイスピードのペタバイト スケール分析を提供し、イベントログ(EL)各階層で定義されたログタイプを高い費用対効果で処理できます。
セキュリティのオーケストレーション、分析、対応(SOAR) - Siemplify ではすぐに使用可能な数十のハンドブックが用意されており、迅速なサイバーセキュリティ対応を実現するともに、Tier-1 アラートの 98% を自動化し、ケースロードの 80% を削減するなどのミッション インパクトをもたらします。
ユーザーとエンティティの行動分析(UEBA) - 独自の行動分析を発展させたい組織は Google のペタバイト スケール データレイクである BigQuery を使用して、多くのソースからの多様なデータを保存、管理、分析できます。テレメトリーは Chronicle からエクスポート可能であり、カスタム データ パイプラインを構築して、IT 運用や、人事データ、物理セキュリティ データなど異なるツールやシステムから他の関連データをインポートできます。そこから、ユーザーは BQML を活用し、BigQuery からデータを移動させることなく機械学習モデルを容易に生成できます。Google Cloud ワークロードには、Google の Security Command Center プレミアム プロダクトが、GCP ワークロード全般に対応したネイティブなターンキー UEBA を提供します。
エンドポイントでの検知と対応(EDR)– 多くの組織にとって、EDR はセキュリティ運用に広く適用可能な技術であり、積極的に採用されています。多くの EDR ベンダーとの統合が用意されています。Chronicle 統合のリストはこちらをご覧ください。
脅威インテリジェンス - Google のソリューションでは VirusTotal とのネイティブな統合が提供されています。VirusTotal は、Chronicle で脅威インテリジェンス フィードをネイティブに運用化する機能があり、さまざまな TI や TIP ソリューションと統合します。
コミュニティ セキュリティ分析
公共部門と民間部門の組織間の連携を強化するために、先日コミュニティ セキュリティ分析(CSA)リポジトリを立ち上げました。このリポジトリでは、MITRE Engenuity Center for Threat-Informed Defense や CYDERES などと協力し、一般的なクラウドベースのセキュリティ脅威を検知するためのセルフサービス セキュリティ分析をサポートするオープンソースのクエリやルールを開発しています。CSA のクエリは MITRE ATT&CK® の戦術、手法、手順(TTP)のフレームワークにマッピングされているため、自組織の環境への適性を評価し、脅威モデルに組み込むのも容易です。
「Deloitte は、Google Cloud が提供する公共部門のための自律型セキュリティ運用(ASO)ソリューションに協力することを嬉しく思っています。Deloitte は、4 年連続で Google Cloud のグローバル サービス パートナー オブ ザ イヤーに認定され、さらに 2020 年には、第一回公共部門パートナー オブ ザ イヤーにも認定されています」と、Deloitte & Touche 社の GPS サイバー戦略的リスク担当責任者兼 Google Cloud サイバー アライアンス リーダーである Chris Weggeman 氏は述べます。「1,000 名以上の豊富な Google Cloud 認定資格保有者、Google Cloud セキュリティ ポートフォリオ全般への対応能力、政府や公共機関での数十年にわたる経験が、Google Cloud ASO を利用してお客様が重要なセキュリティ運用センターの変革に取り組めるよう支援するための優位性を作り出しているのです。」
政府機関にとっての高い費用対効果
連邦政府機関が M-21-31 やより広い EO の要件を満たすことができるよう、Google の ASO ソリューションは効率化を促進し、変革の全体的なコストの管理を支援します。ASO は、ペタバイト スケールのデータの取り込みや管理をより実現可能で費用対効果の高いものにします。M-21-31 が、以前は予算に組み込まれていなかった劇的なまでに大量なデータを取り込み、管理することを多くの機関に要求した今、これは非常に重要になります。
パートナー
Google は、米国政府機関をともにサポートできる重要なパートナーに投資しています。Deloitte と CYDERES はどちらも、機関の変革やセキュリティ運用能力に対する深い専門性を持っており、私たちは、お客様のニーズに答えるためにパートナー企業の拡大を続けています。プロトタイプのジャーニーは以下のとおりです。
「Cyderes は、Google Cloud のセキュリティ運用変革に向けたミッションを共有しています。自律型のセキュリティ運用ソリューションを米国公共部門に提供できることを誇りに思います。世界最大級のサイバーセキュリティ脅威の検知や対応について何十年ものアドバイザーやテクノロジーの経験をもつ、世界一の MSSP として(Cyber Defense Magazine’s 2021 Top MSSPs List 参照)、Cyderes は、連邦機関や部局が大統領令の要件を超えて、Google 独自の ASO アプローチを通じてセキュリティ プログラムを完全に変革することを支援できる独自のポジションにいます」と、CYDERES 社の CEO である Robert Herjavec 氏は述べました。CYDERES 社の社長である Eric Foster 氏は「Google Cloud の Chronicle の最初のローンチ パートナーとして、私たちの深い専門性は、競合のソリューションに比べて良好なコスト効率とともに、公共部門のセキュリティ運用をモダナイズする両社の共同提供サービスを推進するでしょう」と、述べています。
ASO を利用する
自律型のセキュリティ運用は、米国政府機関が OMB の定義する成熟度に合わせてイベント ロギング能力を向上させるのに役立ちます。さらに広く見れば、ASO は、米国政府が、継続的な脅威の検知と対応のモデルについて、テクノロジーやプロセス、人々の大規模な変革に着手するのを支援します。ASO によって、専門技術を持つ人材の世界的な不足から、セキュリティ ツールの過剰な増加、サイバーセキュリティの状況認識低下、脅威と対応を自動化しスケールするための十分なコンテキストやツールがない一方でのデータ量増加によるアナリストの疲弊まで、サイバーセキュリティ チームが現在直面している多数の困難への対処が可能になると信じています。
ASO を利用することにより、各機関は以下を達成できると考えています。
10 倍のテクノロジー: クラウドネイティブ ツールを使用して、短期的にイベントロギングの要件を満たし、脅威の管理においては長期的に変革を行う。
10 倍の処理: セキュリティ運用において継続的な検知と対応を可能にするためにワークフローを再考し自動化を活用する。
10 倍の労働力: セキュリティ チームの生産性と効率化を変革し、多様性を拡大する。
10 倍の影響力: セキュリティ チームとその他の関係者で、セキュリティ問題を解決するためのより協力的でデータ主導型のアプローチを実施する。
Google の米国公共部門のための自律型セキュリティ運用ソリューションの詳細については、ホワイトペーパーをご覧ください。さらに、Google Cloud は、リーダーシップを発揮し続け、MITRE Engenuity Center for Threat-Informed Defense との連携、Google 役員による President's Council of Advisors on Science and Technology や新設の Cyber Safety Review Board への参加、ゼロトラストとソフトウェア サプライ チェーン セキュリティに 100 億ドルを投資する、Google のホワイトハウスに対するコミットメント、Google Cloud におけるソフトウェア サプライ チェーン整合性のためのフレームワークの導入などの多くの重要な公共部門のイニシアチブをサポートし続けます。米国をより安全にするため、政府とともに働くことを楽しみにしています。
米国連邦政府サイバーセキュリティのための Google Cloud ウェブページをご覧ください。
関連する投稿
- 自律型セキュリティ オペレーション担当グローバル責任者 Iman Ghanizada
- Google Cloud、グローバル公共部門セキュリティ戦略担当責任者 Dan Prieto
