Google Cloud のセキュリティが他とは異なる理由: OCISO 参加 1 年目の振り返り

※この投稿は米国時間 2022 年 9 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: Google Cloud の Office of the Chief Information Security Officer（OCISO）は、2019 年に結成された、業界の CISO として経験を積んだ人物を含むサイバー セキュリティの専門家チームです。OCISO チームは、グローバル ヘルスケア、金融、通信、メディア、政府機関や公共機関、小売業などの業界において、合わせて 500 年以上のサイバー セキュリティに関する経験とリーダーシップを備えています。チームの目標は、お客様の現状を把握し、企業の安全性を確保するために最適な次のステップを踏み出すお手伝いをすることです。このコラムでは、OCISO のディレクターである Taylor Lehmann と OCISO のセキュリティ コンサルタントである David Stone が、Google Cloud と OCISO チームでの最初の 1 年を振り返ります。

私たちは、キャリアの大部分において、世界で最も重要なインフラストラクチャとサービスのセキュリティ確保に従事した後、Google で企業がより安全になるための支援をしたいと考え、Google Cloud に入社しました。

すぐにわかったことは、Google Cloud では、セキュリティは私たちのすべての活動に組み込まれている主要な要素であるということでした。Google Cloud は、あらゆるレベルの攻撃者から数十年にわたって防御した経験を有する、セキュリティに深い関心を抱く何千人もの Google 社員によって設計されて、保守されてきた安全なプラットフォームに、安全なワークロードをデプロイする機会を組織に提供できます。私たちのエンジニアリングの理念は、安全性を重視した設計、デフォルトで保護です。この理念は、独自の研究や攻撃を阻止したことから学んだ教訓を取り入れるために絶えずアップデートしているプロダクトの設計の原動力となっています。  

当社の既存のお客様は、Cloud Identity を設定し、最初のプロジェクトを構築する前に、継続的に改善される Cloud Platform のセキュリティが有効になっていることを理解しています。クラウド テクノロジーの価値は、決して過小評価できるものではありません。クラウド テクノロジーには、ハードウェアとソフトウェアに最初からセキュリティ機能が組み込まれているため、セキュリティ チームは、すべての種類の脅威を排除して攻撃対象領域を縮小できます。

試験運用: セキュリティ文化の重要な構成要素

Google は、ソフトウェア会社が一般に公開する前に Google プロダクトを使用する試験運用という慣習を普及させることに貢献しました。また、試験運用を利用して、高度なセキュリティ技術を生み出す原動力にもしています。自分たちが販売するセキュリティ技術を使っているからこそ、Google 社員（自分たちが使う技術に対し非常に高い期待を持っている）、お客様、そしてお客様のお客様が使用する技術に対し、「それなりに高いレベル」で妥協することはありません。

場合によっては、これらの技術（BeyondCorp や BeyondProd など、Google が開拓したゼロトラスト セキュリティ モデルの実装）は、Google 社外での幅広いニーズが完全に理解されるより何年も前に、私たちが利用できるようになることもあります。同様に、脅威分析グループ（TAG）は、2010 年に学んだ教訓から、Google のシステムやネットワークに対する脅威を追跡し、阻止するためのアプローチの開発を開始しました。これらの取り組み（Chronicle のような新しい取り組み）のユニークな点は、それらがどのように生まれたかだけでなく、私たち自身が訓練教育をすることによって改善し続けていることです。

ユーザーの保護を強化する運命共同体モデルの採用

日々進化するサイバーセキュリティの状況に対応するため、考え方をアップデートすることが重要です。セキュリティのさまざまな側面について、お客様とクラウド サービス プロバイダ（CSP）のどちらに責任があるかを定める責任共有モデルは、CSP の初期段階からセキュリティの関係や相互作用を導いてきたものです。Google Cloud は、お客様がより良いセキュリティ成果を達成するための支援をするまでには至ってない状況であると考えています。責任を共有するのではなく、運命の共有を信じています。

運命の共有には、ワークロード用の信頼できるクラウド プラットフォームの構築と運用が含まれます。Google Cloud はセキュリティのベスト プラクティスと、ワークロードのデプロイに使用できる安全で認証されたリソースの実装のパターンに関するガイダンスを提供します。Google Cloud サービスを組み合わせて、複雑なセキュリティ問題を解決するソリューションをリリースし、お客様が受け入れなければならないリスクを測定して軽減できるように革新的な保険オプションを提供しています。運命の共有は、Google Cloud とお客様との間の密接なインタラクションによって、Google Cloud でのリソースを保護することです。運命を共有することで、相互に説明責任を果たすシステムが構築できます。そして、CSP とお客様が互いに、安全と成功を収めることができるように、積極的に関与することを期待できます。

ソフトウェア サプライ チェーンにおける信頼の確立

ソフトウェアのサプライ チェーンはより安全にする必要があり、Google のアプローチは最も堅牢で充実したものだと信じています。また、Linux Foundation など多くの一般公開コミュニティに貢献し、脆弱性報奨金プログラムを利用して、世界に向けてオープンソースで提供するソフトウェアのセキュリティ向上に努めています。Google Cloud は最近 Assured Open Source Software を発表しました。これは、Google が自社でオープンソース パッケージを保護するのと同じように、お客様のために厳選したオープンソース パッケージを維持し、保護することを目指したものです。Assured Open Source は、Google で行っていることを、すべての人にメリットがあるよう外部化した、また別の試験運用プロジェクトです。

復元性のあるエコシステムにはコミュニティの参加が必要

Google の優先事項はコミュニティの積極的な一員になることです。このことは、私たちすべてが活用している重要なインフラストラクチャを保護するために不可欠な要素になります。今年 7 月、Google Cloud は Health-ISAC（Information Sharing and Analysis Center）にパートナーとして参加しました。金融サービス ISAC、自動車 ISAC（車両ソフトウェア セキュリティ）、小売 ISAC などとは長年にわたり関係を維持しています。組織間で知識やガイダンスを共有することは、最新のサイバー セキュリティの脅威に対する全員の防御能力を向上させるのに役立ちます。私たちは単なるパートナーではなく、これらの組織と密接な関係を築き、チームを組んで世界中のコミュニティを守るための支援を行っています。

変換の最重要課題

Google Cloud のような信頼できるクラウド プラットフォームでワークロードを実行することが、より良い未来につながると信じています。しかし、そこに至るまでの道のりは困難なものです。この 1 年間、Google Cloud が担当した 100 近い経営者向けのワークショップや交流会などから寄せられたフィードバックでは、お客様が抱える最大の課題を共有しています。頻度の高い課題は次の 7 つです。

1. ファイアウォールのルールではなく、アイデンティティによって悪いものを排除し、良いものを受け入れるソフトウェア定義の境界線を進化させる

2. どこにいても、どんなデバイスからでも、データやサービスにアクセスできる、安全なリモート アクセス機能を実現する

3. データを承認された場所に確実に保管する一方で、企業は関係者のユースケースにアジャイルに対応し、責任を持つことができる

4. ビジネスにおける消費インフラストラクチャやクラウドネイティブ サービスのスケーリングに合わせて、効果的なセキュリティ プログラムを拡張する

5. 以下 2 つの事実を踏まえて攻撃対象領域を管理する: 2025 年までに 420 億台以上のデバイスがインターネットに接続されると予想されている。組織は増え続けるデータのコレクションを接続し活用する方法を探索中。

6. データを分析し、第三者と安全に共有することで、お客様のニーズに応え、より多くの収益を上げることを目指す

7. セキュリティ組織の外部にセキュリティの責任を分散させ、クラウド リソースの使用を安全に制約し保護するための効果的なガードレールを確立することにより、チームを変革する。  

未来はマルチクラウド

私たちが学んだ重要なポイント、そしてこの 1 年間お客様との交流の中で強調してきたことは、Google Cloud は私たち自身のプラットフォームのみで成功する方法だけにフォーカスしているわけではない、ということです。Google Cloud は、お客様のニーズに応え、お客様の組織や顧客に価値を創造し、そこに到達するために必要なオペレーターのトイルを軽減する技術の構築に力を注いでいます。そのために、Anthos を構築し、オープンソースに貢献し、サポートし、オンプレミス、Google Cloud、または他のクラウドなど、どこでワークロードをデプロイすることにしてもうまく機能する Chronicle のようなプロダクトを開発しているのです。

サイバーセキュリティ コミュニティの中心は、人材とテクノロジーです。Google が今後 5 年間でサイバーセキュリティに 100 億ドルを投資するのも、Google 社内外の DEI の取り組みを改善するために尽力するのも、セキュリティとクラウドに関するアクセス可能で無料トレーニングや認定プログラムを提供して知識を民主化し、次世代のクラウド リーダーを育成するのも、そのためです。

世界中の多くのお客様、地域社会、パートナー、政府機関と協働する機会を得たことに感謝しながら、1 年目を締めくくります。私たちは、このようなグループ間の交流から学習し、より良い仕事をするために成長してきました。今年最後の数か月、そして 2023 年以降も、私たちは Google のリソースを活用し、お客様の支援、プロダクトの開発、そして世界中の社会の安全と安心を支えるための新しい方法を探し続けていきます。