脅威の検出から修復までのエンドツーエンドのワークフローでバックアップを保護

※この投稿は米国時間 2025 年 3 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。

データのバックアップは、組織が予期せぬ障害に直面した際の命綱であり、最終的な安全策となります。

昨年、Google Cloud の Backup and DR サービスの一部として利用できる、強力なストレージ機能の Backup Vault を導入しました。Backup Vault は、改ざんや不正な削除からバックアップを保護します。また、Security Command Center と統合することで、リスクの高いアクションに関してリアルタイムでアラートを発します。

お客様のセキュリティ ニーズにさらに対応するため、Google の Backup and DR と Security Command Center Enterprise のインテグレーションを強化します。このインテグレーションにより、Backup Vault に対する脅威の検出機能など、新しい検出機能とエンドツーエンドのワークフローが追加され、お客様はバックアップ データの保護をさらに強化できます。

バックアップとリアルタイムの脅威検出

昨今の組織にとって最も差し迫った脅威の一つが、ランサムウェア攻撃です。脅威アクターが身代金を確実に得られるようにデータを意図的に削除する、あるいは保護されていないバックアップを暗号化して人質にする、といったケースが見受けられます。また、重要なデータを誤って削除してしまうことで深刻な被害が生じる可能性もあります。

悪意によるものか意図せぬものかにかかわらず、データ セキュリティに対する脅威は深刻な結果をもたらし、重大なデータ損失や業務の中断につながりかねません。Security Command Center を利用することで、Google Cloud のフットプリント全体にわたってセキュリティを確保し、リスクを管理できます。Security Command Center は、セキュリティ テレメトリーを取得して分析し、準リアルタイムで脅威を検出します。バックアップの改ざん、変更、削除を試みていると思われる不正なユーザーや内部関係者のアクティビティには、すぐにフラグが立てられ、お客様に通知されます。

Security Command Center: インシデント対応の迅速化

Security Command Center は、環境内で特定の動作が観察されたことに対する通知である検出結果を使用して、脅威を明らかにします。この検出結果には、脅威イベントに関するコンテキスト情報（影響を受けたリソース、発生時刻、脅威の性質など）が含まれています。

さらに、Security Command Center の検出結果を Cloud Logging にリンクし、フォレンジックを詳細に調べることも可能です。Cloud Logging では、イベントを分析して、原因となっているユーザー アカウントまたはサービス アカウントを特定し、是正措置を講じることができます。

Google Security Operations で対応を効率化

Backup Vault 向けの新しい Security Command Center 検出機能に加え、Google Security Operations に、すぐに利用できる Backup and DR 検出機能も導入します。

Security Command Center Enterprise をご利用のお客様は、Google Security Operations コンソールで、バックアップ関連の脅威向けに設計されたキュレーテッド検出にアクセスできるようになりました。これらの検出機能により、カスタムルールを作成する必要なく、最初から効果的な対応が可能になります。

Google Security Operations では、関連するアラートがインテリジェントに集約されて包括的なケースにまとめられるため、インシデントの全体像を把握できます。また、各ケースには関連するコンテキスト情報が自動的に追加され、範囲と起こり得る影響を把握できるようになっています。

たとえば、複数のバックアップを短時間で連続して削除するなど、リスクの高い操作を行ったユーザーは、Security Command Center によってフラグが立てられ、Google Security Operations でアラートとして表示されます。さらに、SOC チームによるトリアージのために 1 つのケースに集約されます。

Gemini in Google Security Operations

新たに追加された Gemini in Google Security Operations は、検出結果の要約、修復手順の推奨、カスタム検出ルールの作成を支援する機能です。

• 検出結果の要約: バックアップの削除アラートを受信したら、Gemini に「最近のバックアップ削除試行に関する検出結果をまとめて」と依頼することで、影響を受けたリソースの詳細など、イベントをわかりやすく簡潔にまとめた要約を受け取れます。

• 修復手順の推奨:「削除されたバックアップを復元するにはどうすればいい？」などと Gemini にガイダンスを求めると、Gemini は、セキュリティのベスト プラクティスとプロダクト固有の情報を基に、パーソナライズされた推奨事項を提供してくれます。

• プロアクティブな脅威ハンティング: Gemini をプロアクティブな調査に活用できます。たとえば、「最近バックアップを削除したユーザーを表示して」と依頼すると、Gemini がイベントとアラートを迅速に確認します。

バックアップを確実に保護

Backup and DR と Security Command Center Enterprise の強力な相乗効果が Gemini によってさらに強化され、脅威の検出と対応のための堅牢なフレームワークが構築されました。

これらの高度な Google Cloud ツールを使用することで、セキュリティ チームは不審なアクティビティを迅速に特定し、インシデントの範囲を包括的に把握して、バックアップを保護するための措置を講じることができます。

詳しくは、Google Cloud が Backup and DR 向け Security Command Center でお客様のデータを保護する方法をご覧いただき、Next のブレイクアウト セッションにもぜひご参加ください。

-プロダクト マネージャー、Salim Hafid
-プロダクト マネージャー、Andrew Scoon