行政機関がセキュリティ脅威に先手を打つための Google Cloud によるサポート体制

※この投稿は米国時間 2022 年 5 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

サイバーセキュリティは依然として国家の最重要課題であり、Google Cloud はそのミッションの達成に必要なセキュリティ機能を行政機関に提供することに尽力しています。このたびの年次 Google Cloud Security Summit では、世界各国の行政機関が差し迫ったセキュリティ上の課題に対処し、進化する新しいサイバーセキュリティ要件の需要に対応するために Google がどのようなサポートを提供しているのか、その最新状況をお伝えします。

Assured Open Source Software サービスのご紹介

Google Cloud は、新しい Assured Open Source Software（Assured OSS）サービスを発表します。これは、ホワイトハウスによる国家のサイバーセキュリティの向上に関する大統領令第 14028 号の主要目標の一つである、ソフトウェア サプライ チェーンのセキュリティ向上に役立つものです。Assured OSS は、大統領令を支持する米国国立標準技術研究所（NIST）のガイダンスに沿ったもので、Assured OSS によりオープンソース エコシステムの安全性が向上し、行政機関は組織のサプライ チェーンのあらゆるレベルを通じてサイバーセキュリティのリスクを特定、評価、対応することができるようになります。  

Google は、行政機関のリーダーと緊密に連携し、オープンソース ソフトウェアとソフトウェア サプライ チェーンを強化するためのイニシアチブやフレームワークの開発とイノベーションを続けています。たとえば、2021 年 6 月にはソフトウェア アーティファクトのためのサプライ チェーンレベルをリリースしました。これは SLSA フレームワークとも呼ばれ、ソフトウェア サプライ チェーンの整合性に関する基準を形式化し、業界やオープンソース エコシステムがソフトウェア開発ライフサイクルの安全性を確保できるようにするものです。また、Open Source Insights も導入しました。これは、デベロッパーが使用するソフトウェアの構造やセキュリティについて理解を深めるうえで役立ちます。Assured OSS は、行政機関でより安全なセキュリティ対策を構築するための Google の継続的な取り組みを反映したもので、2022 年第 3 四半期にプレビュー版が提供される予定です。

セキュリティ分析と運用の変革

公的機関や行政機関のリーダーは、Google の自律型のセキュリティ運用（ASO）ソリューションを、サイバーセキュリティ分析や脅威管理に関する大統領令第 14028 号や米国行政管理予算局（OMB）M-21-31 で規定された要件を満たすために利用できます。

Google Chronicle と Siemplify を備えた ASO は、機関全体でのサイバーセキュリティ遠隔測定を包括的に管理し、ホワイトハウスのイベント ロギング階層の要件をサポートして、最終的には脅威検知やレスポンスのスケールとスピードの変革を可能にします。また、ASO は行政機関による継続的な検出と対応をサポートできるため、サイバーセキュリティ チームは検出と対応にかかる時間を短縮して生産性を高め、攻撃者に対して先手を打つことができます。

行政機関のコンプライアンスの拡張

今後も引き続き行政機関のセキュリティとコンプライアンスのニーズを満たすため、Google は Assured Workloads を拡張し、Google Cloud のインフラストラクチャで規制の厳しいワークロードを安全かつ大規模に実行できるようにしています。また、14 の新しい Google Cloud サービス1 が FedRAMP（Moderate） をサポートし、3 つのサービス2 が FedRAMP（High） をサポートし、今夏にはさらに追加する予定であることもお知らせします。  

大統領令第 14028 号で規定されたゼロトラスト要件を満たすために、Google Cloud は連邦政府機関がゼロトラスト アーキテクチャに向けて前進するために役立つさまざまな機能を提供しています。Google Cloud の BeyondCorp Enterprise は、行政機関がオンプレミスまたはすべてのクラウド サービスでアプリケーションやデータに安全にアクセスできるゼロトラストの実装とスケーリングを行えるようサポートします。Defense Innovation Unit（DIU）向けには、Google Cloud はコンテナのデプロイとオーケストレーションのソリューションである Anthos を活用した安全性の高い Cloud 管理ソリューションを実装しています。これにより、国防総省の現在のネットワーク境界のセキュリティ アーキテクチャに代わる、スケーラブルでレスポンシブな代替手段を提供できます。Google Cloud では、行政機関によるゼロトラスト アーキテクチャの導入を促進するために、さまざまなプロフェッショナル サービス エンゲージメントも提供しています。  

Google は、安全性に対する行政機関のイノベーションを支援できることを誇りに思います。今後も連邦政府の認定を取得してニーズをサポートしていきます。Google の連邦政府との連携やセキュリティ機能の詳細については、米国連邦政府のサイバーセキュリティに対応する Google Cloud のウェブページをご覧ください。

^{1 新しい FedRAMP（Moderate）サービスには、Anthos Config Management、Anthos Service Mesh、Assured Workloads、Binary Authorization、Certificate Authority Service、Cloud External Key Manage、Cloud Run for Anthos、Cloud Scheduler、Cloud Tasks、Connect Service Directory、Document AI、Game Servers、Secret Manager が含まれます。}

^{2 新しい FedRAMP（High）サービスには、Cloud 管理コンソール、Cloud Data Loss Prevention、Cloud Logging が含まれます。}