セキュリティ総まとめ - 2022 年後半(第 3 四半期、第 4 四半期)のニュースやリリースから
Google Cloud Japan Team
※この投稿は米国時間 2023 年 1 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。
データの保護には確かな行動計画が必要であり、Google Cloud ではデータの保護の実現に向けてプロダクトとサービスを常に更新し続けています。本シリーズの第 3 回では、2022 年後半における Google Cloud Security からの主なリリースをいくつか見ていきましょう。
過去の投稿は、次のリンクからご覧いただけます。
セキュリティ総まとめ - 2022 年第 1 四半期のニュースやリリースから
セキュリティ総まとめ - 2022 年第 2 四半期のニュースやリリースから
IAM 拒否
Google Cloud のお客様がセキュリティ体制を大規模に強化するためのセキュリティ ガードレールである IAM 拒否の一般提供(GA)を開始しました。Google Cloud の IAM 許可ポリシーを使用すると、Google Cloud リソースに対するアクセス権をきめ細かく設定できます。より大まかな拒否ポリシーを使用すると、既存の許可ルールに関係なく、特定のリソースに対するアクセスを明示的に禁止できます。IAM 拒否ポリシーは常に IAM 許可ポリシーに優先し、競合する IAM 許可ルールをオーバーライドします。
IAM 拒否ポリシーは、プリンシパル、リソースの種類、使用しようとしている権限に基づいて Google Cloud リソースへのアクセスを管理します。また、最小権限の原則を実現するために、IAM Recommender を使用できます。
ゼロトラスト証明書の発行
ゼロトラスト証明書の発行は、Google Certificate Authority Service を使用して行えます。これにより、フルマネージドでクラウドベースの認証局を使用することで、ゼロトラスト体制でクラウド移行を完了できます。そのため、センシティブ データやワークロードの公開鍵基盤保護を実現すると同時に、以前のオンプレミス ソリューションを停止できます。クイック チュートリアルで実際に試してみることも、動画で詳細を確認することも可能です。
reCAPTCHA Enterprise モバイル SDK
reCAPTCHA Enterprise モバイル SDK は、iOS と Android のアプリケーションを完全にカバーしています。デジタルファースト組織とモバイルファースト組織を念頭に置いて設計された新たなモバイル SDK は、reCAPTCHA Enterprise のスムーズなエクスペリエンスをエンドユーザーのモバイル デバイスに完全に統合します。
この新たなモバイル SDK では、デバイスとネットワークの両方のシグナルを組み合わせることで、reCAPTCHA Enterprise をフル活用しながら、bot 攻撃に対するモバイルアプリの保護を強化できます。機能は以下のとおりです。
スムーズなカスタマー エクスペリエンス — 複数の画像から指定された物が写っている画像を選び出す必要なし
CocoaPods や Swift Package Manager などの一般的なフレームワークに対応しているため、ネイティブ モバイルアプリへの統合が容易
定期的に更新されるデバイス脅威モデルにより、攻撃手口の進化に対応
Rapid Vulnerability Detection
Rapid Vulnerability Detection(公開プレビュー版)をご利用いただけるようになりました。これは、公開済みのエンドポイントを常にスキャンして、公開済みの管理者インターフェース、脆弱な認証情報、不完全なソフトウェアのインストールなどの脆弱性を検出する Security Command Center Premium のサービスであり、構成は必要ありません。どのようなエクスプロイトを阻止できるか、ぜひお試しください。
Cloud Certificate Manager
Cloud Certificate Manager を利用することで、Transport Layer Security(TLS)の一般公開証明書を大規模に取得、管理、デプロイして Google Cloud ワークロードで使用できるようになります。TLS 証明書はブラウザの接続とトランザクションを保護するうえで不可欠です。Cloud Certificate Manager はセルフマネージド証明書と Google マネージド証明書だけでなく、ワイルドカード証明書にも対応しており、期限切れになった証明書について通知するモニタリング機能を備えています。
また、必要な数のドメインを拡張してサポートし、移行を効率化し、Kubernetes とセルフサービスの ACME 証明書登録で自動化を実現できます。開始にあたっては、こちらの概要の記事をご覧ください。
Chronicle Security Operations
Chronicle Security Operations には、多くのセキュリティ チームが脅威を迅速に特定して対応するのに必要な機能が集約されています。Chronicle のセキュリティ情報およびイベント管理(SIEM)技術を、Google が買収した Siemplify のセキュリティ オーケストレーション、自動化、対応(SOAR)ソリューションおよび Google Cloud による脅威インテリジェンスと統合します。
これには、Chronicle SIEM 検出と Chronicle SOAR 脅威中心ケース管理との間で統合されたアラート管理が含まれ、より合理化された調査エクスペリエンスを実現します。また、Security Command Center で表示される Google Cloud ベースのアラートに対して、事前にパッケージ化されたレスポンス ハンドブックが解決を迅速化し、手作業を減らします。詳細情報とアクティベーション方法については、こちらをご覧ください。
ソフトウェア デリバリー シールド
このフルマネージド ソフトウェア サプライ チェーン セキュリティ ソリューションはモジュール型の機能セットを提供します。これにより、デベロッパー チーム、DevOps チーム、セキュリティ チームは安全なクラウド アプリケーションを構築するために必要なツールを利用できます。これは複数の Google Cloud アプリケーションにまたがっています。
ソフトウェア デリバリー シールドには、ソフトウェア サプライ チェーンのセキュリティ上の懸念事項に対応するための 5 つの異なる分野の機能が含まれます。その分野とは、アプリケーション開発、ソフトウェアの「サプライ」、継続的インテグレーション(CI)と継続的デリバリー(CD)、本番環境、ポリシーです。また、段階的に導入することもできるため、組織は固有のニーズに合わせてソリューションをカスタマイズできます。既存の環境およびセキュリティ上の優先事項に基づき、任意のツールを選択して使用を開始できます。
ぜひこのソリューションをお試しください。Google Cloud で安全に開発するためのベスト プラクティスをご活用いただけます。
役に立つ簡単なハンズオン チュートリアルをご利用いただけます。次のいずれかをお試しいただき、ぜひフィードバックをお送りください。
これで終了です。
それでは次回のセキュリティ総まとめ(#SecurityRoundup)でお会いしましょう。
- デベロッパーリレーションズ エンジニア Max Saltonstall
