自律型のセキュリティ運用の推進: モダナイゼーション プロセスの新たなリソース

※この投稿は米国時間 2022 年 3 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。

Google は、より近代的な脅威管理戦略の採用を世界で加速させるというミッションのもと、自律型セキュリティ運用ソリューションをリリースしました。この最終的な目標は、製品が検出と対応を行うという製品中心のアプローチから、セキュリティ運用ワークフロー、人員、基盤となるテクノロジーをモダナイズして、ビジネスや直面する脅威に合わせて脅威管理が拡張される自律的に状態を維持することにフォーカスした、より原則的なアプローチへと業界をシフトすることです。この取り組みは、Google 独自の実績と、労力のかかるソフトウェア開発ライフサイクル（SDLC）のモダナイズに効果的だった DevOps、SRE、アジャイルなどの方法論の研究に基づいています。

このブログでは、Google の最新の取り組みを紹介します。

新しいソリューション

自律型のセキュリティ運用で米国連邦政府のサイバー脅威管理に対するアプローチをモダナイズ – Google の最新の規範的ガイダンスでは、公的機関が Chronicle、Security Command Center、Siemplify を活用して、OMB M-21-31 や大統領命令 14028 といったホワイトハウスのサイバーセキュリティ分析要件を満たすための道筋が示されています。こちらからホワイトペーパーをご覧ください。

コミュニティ セキュリティ分析 – オープンソースのコミュニティ提供型分析リポジトリは、Google Cloud ログを分析してワークロードに対する潜在的な脅威を検出するセキュリティ運用チームを支援します。Google は、MITRE Engenuity の Center for Threat-Informed Defense、Fishtech Group、そしてさまざまなお客様と提携して、MITRE ATT&CK® TTP にマッピングされた分析のサンプルセットを開発し、コミュニティの構築をスタートさせました。こちらからセキュリティ研究者とのコラボレーションにご参加いただけます。

ネットワーク テレメトリーとモニタリング – Packet Mirroring を使用して Google Cloud でネットワーク データをキャプチャし、パケットを Zeek ログに変換して、そのログを Cloud Logging に保存するよう設計されたブループリントでは、ログを Chronicle にネイティブに取り込むか、選択した SIEM に転送できます。現在 Google Cloud アーキテクチャ センターで公開中です。

MITRE Engenuity の Center for Threat-Informed Defense との研究

昨年末、Google は研究スポンサーとして Center for Threat-Informed Defense に参加しました。現在進行中で、今後数か月以内に公開予定の 2 つの研究イニシアチブに資金提供しています。

1. Google Cloud のセキュリティ機能を MITRE ATT&CK® フレームワークと ATT&CK® Navigator にマッピングする。

2. 防御側がクラウド分析の開発を優先順位付けできるように、最上位のクラウド TTP を調査する。

Google は同センターとこの研究を継続し、自律型セキュリティの取り組みを前進させていきます。

パートナーシップの拡大

グローバルおよび各地域のシステム インテグレータ（GSI/RSI）、個々のソフトウェア ベンダー（ISV）、マネージド セキュリティ サービス プロバイダ（MSSP）、検出と対応のマネージド サービス プロバイダ（MDR）、研究パートナーなど、グローバル パートナーシップは約 12 に拡大しています。組織がどの過程にあっても、すべての組織に「自律型のセキュリティ」を提供する、という Google のミッションを支援していただくために、引き続き世界中でパートナーシップを拡大していきます。

GSI および RSI パートナーとともに、社内でセキュリティ運用プログラムを実行している世界中のお客様と協力し、変革の構築プロセスを支援するとともに、お客様の検出対応チームと連携して ASO アプローチの採用、Google のクラウドネイティブな技術の実装、組織のセキュリティ運用目標の戦略的ビジョンの実現に向けて取り組んでいます。

MSSP および MDR パートナーとともに、最も余力のある組織全体に ASO を拡大し、最先端のテクノロジー スタックを装備して、提供するサービスの品質向上を継続しています。これにより、お客様は本来の業務に集中できるようになります。

ISV の皆さんとは、パートナーごとに、連携して共通の価値を提供できる分野を模索しています。結果として、大多数の組織で、セキュリティ運用部門全体で 20 以上のセキュリティ ツールが導入されています。新しい統合の開発から、既存の統合の拡張、運用オーバーヘッドの最小化、またはキュレートする独自のシグナルの検索に至るまで、組織がより早く価値を実現できるように、ASO スタックでのさまざまな ISV のサポートを引き続き拡大していきます。

Google は、研究パートナーとともに、セキュリティ運用の原則的アプローチとして自律型セキュリティの採用を促進し、Google のサービスを利用しているか否かにかかわらず、組織が機動的な脅威管理を進められるよう、研究開発の取り組みに投資しています。今後も、業界全体での共同研究の取り組みを拡大していきます。

ASO テクノロジー スタックの拡張

ASO テクノロジー スタックを Siemplify、Security Command Center、VirusTotal などに拡張し、自律型のセキュリティ運用を達成するという目的に沿った既存の投資を活用できるよう、サードパーティ製品との数多くの統合を提供しています。この ASO スタックのアップデートは、クラウドを基盤として完全にモジュール化され、Chronicle と Siemplify 全体のマルチクラウド ワークロードをサポートします。また、検出と対応に関する最新の機能を魅力的な価格で提供します。これらのテクノロジーは、このページの下にあるホワイトペーパーとブログ投稿で説明しているように、ASO の原則に則ったアプローチに従って利用できます。

最新の Cloud Security Talk – Robert Herjavec 氏がセッションに登場

今回の Cloud Security Talk 最新版では、精力的な起業家であり、長年サイバーセキュリティに携わってきた Robert Herjavec 氏（Herjavec Group 創設者）と Eric Foster 氏（CYDERES プレジデント）をお迎えし、すべての組織が自律型のセキュリティ運用を追求すべき理由について議論しました。今後の情報にご注目ください。

ミッションの継続

Google は、脅威管理のあり方を前進させ、今後の標準化された実践と原則の推進に向けて、業界を超えたコラボレーションを推進していきます。自律型のセキュリティ運用の実現に向けた取り組みを開始したいとお考えの公的機関および民間企業の皆様は、今すぐお問い合わせください。

関連する投稿

• 「自律型のセキュリティ運用: セキュリティ運用センターの 10X 変換」

• 「自律型のセキュリティ運用で米国連邦政府のサイバー脅威管理に対するアプローチをモダナイズ」

• 「自律型のセキュリティ運用の達成: トイルの削減」

• 「自律型のセキュリティ運用の達成: パフォーマンスを増強する自動化」

• 「SOC のモダナイゼーション: 自律型のセキュリティ運用の紹介」