Google Cloud Security Summit から始まる、より安全な未来図

※この投稿は米国時間 2022 年 5 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

サイバーセキュリティのリスクはどの組織にとっても重要事項です。Google Cloud の見えないセキュリティのジャーニーを進める中で、Google Cloud は、信頼できるクラウドや、オンプレミス環境および他のクラウドに Google のセキュリティ機能をもたらす SaaS プロダクトを通じて、行政機関や企業をより安全にするソリューションを提供することに引き続き注力しています。

Google Cloud の年次イベントである Google Cloud Security Summit を本日開催しますが、そこでは世界中のお客様や行政機関が抱える最も差し迫ったセキュリティ上の課題、つまり、ソフトウェアのサプライ チェーンの保護、ゼロトラスト アーキテクチャの採用促進、クラウド ガバナンスの改善、セキュリティ分析と運用の変革という課題に、Google がどのように対応しているかをご紹介します。

ソフトウェア サプライ チェーンの保護 

オープンソース ソフトウェアのセキュリティ脆弱性の修正は、しばしば「もぐら叩き」のようなハイリスクなゲームのように感じられます。これは、オープンソース ソフトウェア（OSS）サプライヤーを狙ったサイバー攻撃が前年比 650% 増加しているという調査結果を裏付けるものです。

病院や発電所などの重要なインフラストラクチャが、広く普及したコードを悪用したサイバー攻撃に直面していることから、世界中の行政機関もセキュリティに注目しています。米国をはじめ世界各国政府は、ソフトウェア開発ライフサイクルやソフトウェアのサプライ チェーンに特化した新しい要件や基準でこの事態に対応しています。Google は先週、業界リーダー、Open Source Security Foundation（OpenSSF）、Linux Foundation とともにホワイトハウス開催のオープンソース ソフトウェア セキュリティに関するサミットにおいて打ち出されたイニシアティブを推進するための会議を開催しました。

OSS の脆弱性を発見するための Google の継続的な取り組みの規模は、どの組織においても構築や運用が困難なものであると考えられます。Google は、最も一般的に使用されているオープンソース プロジェクト 550 件を継続的にファジングしています。2022 年 1 月現在、この取り組みにより 3 万 6 千件以上の脆弱性を発見しました。

OSS ソフトウェアのサプライ チェーン強化に向けた取り組みをさらに進めるため、Google Cloud の新しいサービスである Assured Open Source Software サービスを発表します。Assured OSS は、オープンソース ソフトウェアの企業や公共部門のユーザーが、Google が使用しているのと同じ OSS パッケージを、自社の開発者のワークフローに簡単に取り入れることを可能にします。Assured OSS サービスによってキュレーションされたパッケージには、以下のことが行われます。

• 脆弱性を発見するため、定期的にスキャン、分析、ファズテストを実施  

• Container / Artifact Analysis データを含む、強化されたメタデータを用意

• Cloud Buildでビルドを行い、SLSA へのコンプライアンスの検証可能な証拠を提供

• Google によって検証可能な形で署名

• Google によって保護された Artifact Registry から配布

Assured OSS は、企業がオープンソースの依存関係を安全に管理するための複雑なプロセスを開発、維持、運用する必要性を低減するのに貢献します。Assured OSS は 2022 年第 3 四半期にプレビューに入る予定です。

ゼロトラスト アーキテクチャの採用

ゼロトラスト アーキテクチャの採用に対する緊急性は、「米国政府をゼロトラスト アーキテクチャに移行する連邦戦略」や英国の「英国国立サイバーセキュリティ センターのゼロトラスト設計原則」といった取り組みによって、ますます高まっています。この原則で概説されているものは、Google が 10 年以上にわたり推進してきたゼロトラストに対する BeyondCorp アプローチの多くの基本的要素と共通しています。

ゼロトラスト アクセスについて、Google Cloud は、BeyondCorp Enterprise を提供していますが、本日、ゼロトラスト導入への第一歩を迅速かつ容易に踏み出すための新しいソリューションである BeyondCorp Enterprise Essentials を発表します。SaaS アプリケーションや SAML 経由で接続されたその他のアプリケーションに対するコンテキストアウェア アクセス制御と、脅威防御およびデータ保護機能（データ損失防止、マルウェアおよびフィッシング防御、URL フィルタリング）が Chrome ブラウザに統合されています。これは、従業員全体、特に外部人材や「BYOD」モデルを活用するユーザーを保護するためのシンプルで効果的な方法です。管理者は、Chrome ダッシュボードを使用して、非マネージド デバイスにおける、安全でないユーザーのアクションを可視化することもできます。

BeyondCorp Enterprise アプリコネクタとクライアント コネクタの両方を 2022 年第 3 四半期に一般提供できることになり、お客様独自の環境を保護するための選択肢をさらに増やせることになりました。アプリコネクタは、Azure や AWS などの他のクラウド上のアプリケーションとの接続を、ファイアウォールを開くことや、サイト間の VPN 接続を設定することなく簡素化できます。クライアント コネクタは、オンプレミスや他のクラウドにホストされている非 HTTP シッククライアント アプリケーションへのゼロトラスト アクセスを可能にします。

クラウド ガバナンス

Google Cloud では、運命共有型モデルを採用し、お客様のセキュリティ態勢に積極的に関与しています。その鍵となるのが、コア プラットフォームに組み込まれたセキュリティと、お客様のリスク プロファイルに応じて構成可能なセキュリティ コントロールです。しかし、どのコントロールを導入すべきか、どのようにすれば強固なベースラインを実現できるのか、悩む必要はないはずです。そこで、企業がより簡単に Google Cloud のセキュリティ機能を導入できる、新しい Security Foundation ソリューションを提供できることを嬉しく思います。

このソリューションは、Google Cloud サイバー セキュリティ対応チームの規定ガイダンスに従い、セキュリティ基盤ブループリントで体系化されています。これにより、データ保護、ネットワーク セキュリティ、セキュリティ モニタリングなど、導入初日からセキュリティを確保し、よりコスト効率よく運用するために必要な制御を実現します。

Google Cloud をご利用のお客様には以下のお知らせがあります。

• セキュリティとリスク管理のプラットフォームである Security Command Center（SCC）に、新しいカスタム検知機能を追加。Security Health Analytics のカスタム モジュールでは、お客様独自の検知ルールを追加し、特定のニーズに基づいた構成チェックを実行できます。例えば、Security Health Analytics のデフォルトの検出は、Cloud Key Management Service（Cloud KMS）の暗号鍵が 90 日間ローテーションされていない場合に検出をトリガーします。暗号鍵が社内ポリシーに合致する間隔（30 日など）でローテーションされていない場合に、検出結果を作成するカスタム モジュールを追加できるようになりました。Event Threat Detection は、検出のトリガーとなるイベントのパラメータを定義できる構成可能な検知モジュールを提供します。たとえば、Event Threat Detection は、デフォルトで Google が保持するリストにある、既知の不正 IP アドレスへ接続が発生したエビデンスに基づいて、脅威を検出しています。今回の機能追加により、モジュールの構成にご自身で管理する疑わしい IP アドレスのリストを使用し、イベントによりリスト内の IP アドレスへの接続が示された場合、SCC で脅威の検出が報告されます。

• Google Cloud のインフラストラクチャで規制対象のワークロードを安全に大規模に実行できるようにするプロダクトである Assured Workloads を拡張。米国の公共部門のお客様と、そのお客様にサービスを提供する民間企業のお客様向けに、FedRAMP Moderate と FedRAMP High に対応した新サービスを多数発表しており、今年中にはさらに多くの新サービスを発表する予定です。これにより、規制対象のお客様は、Google Cloud の一般ビジネスのお客様が利用できるのと同じハイパースケール クラウド サービスを利用できます。

• SAML サポートを Workload Identity 連携に追加することで、SAML ベースの ID プロバイダを使用しているお客様は、有効期間が長いサービス アカウント キーの使用を減らすことが可能。

セキュリティ オペレーションを変革する

クラウド、企業、あらゆる種類のソース、あらゆる規模で、脅威の検知、調査、対応能力を強化していただけるように、セキュリティ オペレーション スイートを構築しています。

Google Cloud は最近、米国の公共部門向けに自律型のセキュリティ運用（ASO）を発表しました。これは、脅威の管理に焦点を当てた大統領令 14028 および行政管理予算局の覚書 M-21-31 の目的と要件に合致したソリューションです。ASO は、Google Cloud のセキュリティ オペレーション スイートを使用して、公共部門によるサイバー セキュリティ テレメトリーの大規模な管理、ホワイトハウス指針のイベントログ階層の要件対応、検知と対応の迅速化、そして生産性の向上を支援します。連邦政府機関がホワイトハウスの多くの新しいセキュリティ要件を満たすために、Google Cloud がどのように役立つかについては、米国連邦政府のサイバーセキュリティ向け Google Cloud のウェブページをご覧ください。

Google Chronicle のコンテキスト対応の検出機能では、権威あるソース（CMDB、IAM、DLP など）からのサポート情報（テレメトリー、コンテキスト、関係性、脆弱性など）が、「単一の」検出イベントとしてすぐに利用できます。このコンテキスト化機能を利用すると、より優れた検出機能の作成、既存のアラートの優先順位付けにより、迅速な調査が可能になります。

Siemplify SOAR の最新リリースは、セキュリティ チームが従来のセキュリティ オペレーション センターを超えて、現代の「どこでも」セキュリティ オペレーションを実現するためのビルディング ブロックを提供できます。新機能により、サービス プロバイダとエンドユーザーの間でより透明性の高いコラボレーションが可能になり、各役割を担うメンバーに関連データが提示され、迅速な対応ができるようになり、自動化を促進するハンドブックの構築が容易になりました。

Apigee Advanced API Security の一般向けプレビュー版は、API セキュリティにおける 2 つの重要な問題点、すなわち API の構成ミスと悪質なボットの検出を対象としています。組織は、Advanced API Security を使用して、API プロキシを自社のセキュリティ標準に適合させることで、脆弱性につながる可能性がある構成ミスを回避できます。また、API の構成ミスや API の不正使用をユーザーに警告し、組織の API セキュリティ態勢を改善するための推奨事項を提供することも可能です。最後に、Advanced API Security では管理者への通知、疑わしいクライアント アクティビティの警告、その後の悪意のある API 呼び出しのブロックまたはタグ付けが可能であるとともに、セキュリティ チームによる必要なポリシー変更の特定と実施を容易にできます。

Google Cloud Security Summit で詳しく紹介

Google Cloud は、Assured Open Source Software などの業界初のイノベーションと、プロダクトのポートフォリオ全体における数々の進歩により、お客様の安全を再創造し続けます。これらの発表の詳細については、本日開催される Google Cloud Security Summit に参加してご覧いただくか、終了後にオンデマンドでご視聴ください。Google は、業界でも信頼度の高いクラウド、またお客様の重要な資産が存在する場所で、お客様の組織、従業員、顧客の安全を確保するお手伝いをさせていただきたいと考えています。

- Google Cloud、セキュリティ部門バイス プレジデント兼ゼネラル マネージャー Sunil Potti