Security Talks を振り返って: SolarWinds、Chrome、ゼロトラスト、SOC が直面している最大の課題について掘り下げる
Google Cloud Japan Team
※この投稿は米国時間 2022 年 12 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。
セキュリティ オペレーション チームが直面している課題は最悪の状況といえます。国家規模の不正行為がその狙いを金融犯罪に向け始め、急速に進むクラウド移行と IoT の導入により不確実性と潜在的な複雑化が深まり、長引く専門人材不足も深刻化しています。
この三重苦に、自社の IT およびセキュリティ インフラストラクチャの状態を明確に把握せずに挑むのは無謀です。しかし、規模や費用の懸念ばかりが増えて、重要なテレメトリーを取り込んでモニタリングすることができなくなっている企業は多くあります。そこで、組織が脅威検出とセキュリティ チームの広範な取り組みを見直せるようにするため、今月の Google Cloud Security Talks の基調講演では、DEI がサイバーセキュリティに不可欠な理由、Mandiant が検証する 2 年前の SolarWinds への攻撃から組織が学ぶべき教訓、Google Chrome によってどのようにビジネスが保護されているか(および組織がそれをさらに強化する方法)、組織でゼロトラストの追求を推進する最善策、Chronicle Security Operations によって組織が脅威の検出と実践的対策を拡大するために重要な 3 つの方法に脚光を当てました。最後の 3 つの方法とは、次のとおりです。
1. 脅威インテリジェンスの運用化
脅威インテリジェンスの力を活用して、コンテキストの把握、リスクの優先順位付け、検出への対応を可能にするには、セキュリティ侵害インジケーター(IOC)フィードのセットを取り込むだけでは不十分です。脅威インテリジェンスは、さまざまな脅威アクターのツール、手口、手段に関する情報を提供するために、対象を広範囲かつ詳細に網羅する必要があります。Google のセキュリティを支える「魔法」の一端は、ユーザーと共有できる脅威インテリジェンスの規模が非常に大きい点にあり、その理由を紹介しています。
2. 検出のコード化の推進
Google Cloud は、より成熟したサイバーセキュリティを配備している組織が独自のカスタム検出とルールを構築できるようにするため、パワフルな検出オーサリング プラットフォームを提供しています。Chronicle Security Operations を使用することで、既知の不正ファイルや特定のレジストリキーの変更などを検出する仕組みをアナリストが構築できるようになります。プロセス実行パターンにフラグを立てたり、特定の一連のアクティビティが疑わしい動作であることを通知するトリガーを作成するなど、より複雑な検出の構築方法も示しました。
3. キュレーションされた検出機能の活用
8 月に発表したキュレーションされた検出機能により、Google Cloud のインテリジェンスの力を世界中のセキュリティ オペレーション チームが利用できるようになりました。Google Cloud Threat Intelligence(GCTI)の研究者がキュレート、構築、管理する実用的ですぐに使える脅威検知コンテンツを提供しています。これらの検出セットは、ランサムウェア、リモート アクセス ツール(RAT)、情報窃取型マルウェア、データの引き出し、不審な操作など、ネットワークのさまざまな脅威に対応しています。
全 9 件の Security Talks 録画セッションはこちらでご覧いただけます。2023 年 3 月に予定されている次回の Security Talks もご期待ください。