公共部門でのゼロトラストの導入を Google Cloud が支援

※この投稿は米国時間 2021 年 3 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。

ここ数か月間で、数万の組織の ID およびメールシステムを標的とした複数の大規模なサイバー攻撃が発生しました。この事態を受け、Google Cloud は「政府機関が受けるサイバー攻撃のリスクを削減するために何ができるか」を検討しました。そして導き出した答えは、セキュリティのゼロトラスト アプローチの導入です。

Google Cloud は先日、American Council for Technology and Industry Advisory Council（ACT-IAC）によるウェブセミナーに参加し、セキュリティに対する Google Cloud のゼロトラスト アプローチについて解説しました。このウェブセミナーは現在、こちらからオンデマンドで視聴できます。このウェブセミナーで議論したのは、政府機関がサイバー攻撃の増加に対抗し、全体的なサイバー攻撃のリスクを劇的に減少させ、NIST と NSA のガイダンスに足並みをそろえるために、現実的で達成可能なゼロトラスト導入計画があると感じられることがいかに重要であるかという点です。多くの組織にとって、これは非常に面倒な作業になりがちです。その理由は、ゼロトラストが従来のセキュリティ対応とは大幅に異なるから、そして市場がセキュリティに関するあらゆるものに「ゼロトラスト」という用語を付け加えるベンダーで溢れているからです。

政府機関がゼロトラストへの取り組みの価値を理解するには、まず「何のためのゼロトラストなのか」を確認することが重要です。IT リーダーは、IT ファブリックの全側面または IT がサポートする全アクティビティにゼロトラストを導入することは、一晩では成しえない事を認識する必要があります。つまり、優先度の高い領域を選択し、段階的なアプローチをとることが重要です。適切に定義されたアクティビティ領域または特定のユーザー グループに対して優先度を設定して、ゼロトラストのアプローチを導入するという方針を決定することで、ゼロトラストへの取り組みはそれほど面倒なものではなくなり、実行可能性が高まります。たとえば、旧式のメール、コミュニケーション、コラボレーション ツールは、サイバー攻撃を受けやすいことが何度も指摘されてきました。代わりに Google Workspace を導入すれば、NIST のゼロトラスト ガイダンスに沿った安全なメール、コミュニケーション、コラボレーションを実現するターンキー ゼロトラスト プラットフォームが手に入ります。ゼロトラストを導入する領域を個別に限定して選択することで、進捗状況とマイルストーンが明確になり、追跡しやすくなります。

ここでは、ウェブセミナーでの議論の重要ポイントを 5 つご紹介します。

1. ゼロトラストの意味について誤解がある場合がある。簡単に言えば、何も信頼せず、すべてを確認するということです。具体的には、以下の 3 つの点を意味します。

• ゼロトラストは、企業のネットワークに接続しているかどうかによって、そのユーザーの信頼性を判断しません。つまり、特定のネットワークから接続しているという事実で、アクセスできるサービスが判断されるわけではありません。

• サービスとデータへのアクセス権は、ユーザーとユーザーのデバイスについて組織側が把握している情報に基づいて付与されます。Google および Google のサービス内では、アクセス権に関する決定は「コンテキスト アウェア」で下され、ユーザーの IP アドレス、デバイス、行動、リソースの機密性などの数多くの要因を含む幅広い可変要素が考慮されます。

• サービスへのすべてのアクセスは認証、承認、暗号化される必要があります。

NIST と NSA は、政府機関によるゼロトラストの採用を促進し支援するためのガイダンスを公表しています。DoD も今年、ゼロトラストに関するガイダンスを公表する予定です。

2. 2011 年に登場した Google Cloud は、エンタープライズ規模のゼロトラストを採用した最初のソリューションの一つである。Google Cloud の当初のコンセプトは、Google の従業員が、ファイアウォールや VPN に依存せずに、場所も時間もデバイスも問わずに作業できるようにするべきであるというものでした。Google は全従業員向けに世界規模でゼロトラストを導入するために投資し、成功を収めました。その結果、セキュリティが強化され、コラボレーション、生産性、イノベーションが向上しました。Google は、自社のゼロトラストへの取り組みから得た教訓と多くの技術的イノベーションを、Google Cloud Platform、Google Workspace（旧称 G Suite）、BeyondCorp Enterprise などのソリューションに組み込み、市場に投入しました。

3. 自社にゼロトラストを導入するにはどうすればよいか。まず、リスクが最も高く、攻撃者が特に興味を持ちそうなシステムとアクティビティについて十分に検討します。その後、それらの個別のシステム グループ、ユーザー グループ、アクティビティにゼロトラスト機能を導入するための計画を立てます。ただし、複数のベンダーから一連のスタンドアロン セキュリティ機能を統合するのではなく、Google のソリューションを使用することで、「ターンキー」プラットフォームに組み込まれたエンドツーエンドのゼロトラスト セキュリティ機能を利用できます。たとえば、GCP は、クラウドに移行するワークロードにゼロトラスト環境を提供します。Workspace は、安全なメール、コミュニケーション、コラボレーションのためのターンキー ゼロトラスト プラットフォームを提供します。BeyondCorp Enterprise は、エンタープライズ ウェブおよび SaaS アプリケーションへの安全なアクセスのために、VPN を使わないゼロトラスト セキュリティを提供します。

4. 組織のセキュリティ リーダーは、ゼロトラストの戦略とロードマップを持っていなければならない。組織全体へのゼロトラストの導入は長期的なプロジェクトです。同時に、組織は（今すぐ）個別の優先度の高い領域にゼロトラストを導入することで、サイバーリスクを低減するための大きな一歩を踏み出さなければなりません。

5. ゼロトラスト アプローチにおける成功とはどのようなものか。常に進化し続けることです。ゼロトラストのセキュリティに向けた Google のアプローチの構築には、数年間にわたる内部的な投資が必要でした。これらの投資と数年間にわたって積み重ねた教訓のおかげで、現在ではコスト効率が高く使いやすいターンキー ゼロトラスト ソリューションをお客様に提供できています。これは特に、政府機関に最適なソリューションです。Google がお客様および現在のリスク環境とともに一貫して進化を続けてきたように、どの組織のゼロトラスト アプローチも進化できます。Google は、自社の経験から学んだことをお客様に伝え、各社のゼロトラスト戦略の主要な原動力および促進要因としていただけるよう取り組んでいます。

ゼロトラストのメリットについて詳しくは、こちらをご覧ください。Google Workspace と BeyondCorp Enterprise の詳細、またそれらによってサイバーリスクを削減しゼロトラストへの取り組みを促進する方法をご確認ください。

その他のご質問については、ゼロトラスト セキュリティに関するこちらのリソースをチェックするか、GCPsecurity@google.com までメールでご連絡ください。

-Google Cloud セキュリティ、グローバル公共部門戦略エグゼクティブ Dan Prieto