ニューヨーク市は、米国で最も人口の多い都市であり、文化、金融、メディアの中心地として知られています。また、世界中から多くの旅行者が訪れるユニークで多様性に満ちた街であり、国連本部を始めとする、世界を形作る組織を数多く抱えています。ですが、このような特異性のために、ニューヨーク市は脅威の主要な標的とされています。そのため、そのようなリスクに対処するための手段をニューヨーク市は先見的に講じています。

2017 年、Bill de Blasio 市長は、ニューヨーカーが利用する重要な都市システムの保護と、市民のデジタルライフの安全性向上を担う中央組織、New York City Cyber Command を設立しました。脅威管理と 24 時間年中無休のセキュリティ オペレーション センターに加えて、NYC Cyber Command は、セキュリティ サイエンスやソフトウェア開発、IoT や ICS などのスマートシティ テクノロジーのセキュリティ効果を評価する都市技術に力を入れたエキスパート チームを抱えています。

NYC Cyber Command は、都市のシステムをサイバー脅威から保護するために、都市機関と協力して、システムがきわめて安全な手法で設計、構築、運用されるようにしています。これらのシステムのいずれかが侵害され、公的支援や医療などの重要なサービスを提供する市の機能が影響を受けた場合、重度の支援を必要としているニューヨーカーに甚大な被害がおよぶ可能性があります。

そこで、NYC Cyber Command は、都市システムのセキュリティの強化に加え、サイバーセキュリティのエキスパートが脅威をより迅速に検出して軽減できるようになる、安全性、復元力、拡張性に優れたクラウド インフラストラクチャを開発しました。

NYC Cyber Command は、ニューヨーク市の行政機関が使用しているあらゆるテクノロジーに対応するために、Google Cloud Platform（GCP）、Infrastructure as a Code、何年にもわたるゼロトラスト ネットワークの設計に基づいて構築された BeyondCorp セキュリティ モデルを使用して、クラウド ファースト戦略を導入しました。NYC Cyber Command は、オープンソース プラットフォームとプロバイダに依存しないインフラストラクチャをコードツールとして使用して、サービスが確実かつ安全に提供されるようにしています。市の職員は、市の行政機関が使用するあらゆるテクノロジーで活用できる知識やスキルを習得できます。

NYC Cyber Command のセキュリティ サイエンス部門副 CISO、Colin Ahern 氏は以下のように述べています。「当局のセキュリティと信頼性ニーズを満たしていた、クラウドファーストでゼロトラストの環境を選択しました。私たちの使命は、単に市民の皆様にサービスを提供することだけではなく、その提供方法のイノベーションに取り組み、常に効率的かつ効果的なガバナンスを行うことです。」

スケーラブルで安全なデータ パイプライン

スケーラビリティを高めるため、NYC Cyber Command は GCP マネージド サービスでデータ パイプラインを構築しました。Cloud Pub/Sub は、メインの入口として機能します。都市機関のクラウドやオンプレミスにあるソースからデータを取り込んで、大規模な分析を行えるようにします。Cloud Pub/Sub にイベントが公開されると、pull サブスクリプションが Cloud Dataflow で実行されているログパーサーなどのサービスでイベントデータを利用できるようにし、アナリストなどのダウンストリーム ユーザーに適切な形式でデータを提供します。場合によっては、push サブスクリプションが Cloud Functions で稼働するスタンドアロン アプリにイベントを配信します。

NYC Cyber Command のソフトウェア エンジニア、Noam Dorogoyer 氏は次のように述べています。「ログの分析とセキュリティ イベントの処理には高い処理能力を必要とします。当局のデータ パイプラインでは、これをサーバーレスで完璧に達成できます。オンプレミスで何も所有せずに、これらの要求の厳しいプロセスを同時進行で実行できるため、便利で役に立っています。」

BigQuery で脅威を迅速に特定

適切な情報を、適切なチームに、適切なタイミングで提供する NYC Cyber Command の機能は、サイバー脅威からニューヨーク市をより効果的に守るために重要となります。NYC Cyber Command は、テラバイト単位のデータ解析および分析を毎日行っています。また、都市機関に対する可視性は向上しており、そのデータ量はペタバイト単位になろうとしています。NYC Cyber Command は、サーバーレスのマネージド データ ウェアハウスである BigQuery で、使い慣れた SQL コマンドを使用してバッチデータとストリーミング データを分析しています。

Dorogoyer 氏は以下のように述べています。「私たちはサイバーセキュリティ組織であるため、データを即座に入手する必要性があります。少しでも遅れた場合、重要な局面を逃してしまう可能性があります。これらのツールを使用することで、きわめて高速な処理が可能となるため、セキュリティ イベントを迅速に、深く包括的に把握したうえで、適切なチームに適切な情報を提供できるようになります。」

ID 管理とコラボレーションの簡素化

NYC Cyber Command は、Cloud Identity & Access Management（Cloud IAM）を使用して、GCP サービスと Google Workspace の両方で、生産性とコラボレーションの標準となるきめ細かいアクセス制御を実現しています。また、BeyondCorp セキュリティ モデルの 1 要素である Cloud Identity-Aware Proxy（IAP）を使用して、エンジニアが VPN を使用せずに信頼できないネットワークから GCP リソースに安全にアクセスできるようにしています。

Ahern 氏は次のように述べています。「安全性の高いクラウドベースのコンピューティング環境で都市機関を確実に守ることが可能な、独自の技術要塞を構築しました。当局のサービスやニューヨーカーのデータの安全性を確保しつつ、必要なリソースを取得できます。」

より安全な都市を構築するための設計図

NYC Cyber Command は、来年中にすべてのニューヨーク市の都市機関がオンボーディングすることを想定しています。これは、GCP なしでは達成できなかったであろうマイルストーンです。また、NYC Cyber Command は、インフラストラクチャとプロセスが成熟しつつある中で、Google Kubernetes Engine を使用してスタンドアロン アプリケーションの可用性を高め、Stackdriver を使用してロギング、モニタリング、リソース最適化を実現しています。

Ahern 氏は以下のように述べています。「クラウドファースト戦略を導入することで、NYC Cyber Command は、ニューヨーク市のデジタル サービスを可能な限り迅速に保護するために求められることを実行できるようになりました。私たちは、これほどの速度でこのことを達成できました。他の都市が同じことを達成するきっかけになればと思います。」