🐯

Google Cloud セキュリティ ソリューションまとめ

2024/07/25に公開

はじめに

こんにちは、クラウドエース SRE 部に所属している\textcolor{red}{赤髪}がトレードマークの Shanks です。

7月上旬に Google Cloud 主催のパートナー向けセキュリティソリューション紹介セミナーに参加してきました。
クラウドエースからは8名が参加し、最新の動向やナレッジ収集をすることができました。
その際に紹介いただいた各種ソリューションについてまとめた記事となっています。
本記事がこれから Google Cloud でセキュリティ対策を講じる方の参考になれば幸いです。

Google が掲げるセキュリティ戦略

Google のセキュリティ戦略

まず、Google が掲げているセキュリティ戦略について紹介がありました。
その中でも大きな3つの柱が紹介されました。

strategy
【図:Google が掲げるセキュリティ戦略】

  1. 最も信頼できるクラウド環境
  2. お客様の環境がどこにあろうともセキュリティを確保する
  3. 生成 AI 技術を活用したセキュリティオペレーション

戦略① 最も信頼できるクラウド環境

プラットフォームを活用する上で信頼性は重要な指標です。
とくに、利用者のデータを安全に保護することが信頼性に繋がります。

Google では CNAPP によって、Google Cloud だけでなく、AWS や Azure までカバーするセキュリティソリューションを展開しています。
これにより、レジデンシーとプライバシーを遵守します。

CNAPP とは、Cloud Native Application Protection Platform の略称で、クラウド環境におけるアプリケーションの開発から運用までのライフサイクル全体を保護するための包括的なセキュリティソリューションのことです。

Google Cloud であれば Security Command Center Premium(以下、SCCP)を提供しています。
AWS や Azure といったマルチクラウドまたは Google Cloud 以外の環境であれば Security Command Center Enterprise(以下、SCCE)を提供しています。


【表:各クラウド環境と SCCP/SCCE の対応表】

クラウド環境 Security Command Center Premium Security Command Center Enterprise
Google Cloud
AWS
Azure

戦略② お客様の環境がどこにあろうともセキュリティを確保する

先ほどマルチクラウドまたは Google Cloud 以外の環境下であっても、SCCE でカバーすることができるとお伝えしましたが、Google は SCCE 以外でも様々なセキュリティソリューションを展開しています。

たとえば、クラウド環境外のダークウェブに流出してしまった情報がないか、既知のマルウェアとして情報がないか、といった様々な観点から分析し、安全で信頼できる環境を提供します。


【表:領域ごとの対応ソリューション】

領域 用途・目的 最適なソリューション
External Web
(Open Web/ Deep Web / Dark Web)
外部からの検索 Digital Threat Monitoring(DTM)
Threats
(Google Threat Intelligence)
コミュニティベースのナレッジ VirusTotal Enterprise(VTE)
Threats
(Google Threat Intelligence)
信頼できる脅威情報の提供 Mandiant Threat Intelligence(MTI)
Exposure Boundary スキャン Mandiant Attack Surface Management(ASM)
Exposure Boundary テスト Mandiant Security Validation(MSV)

戦略③ 生成 AI 技術を活用したセキュリティオペレーション

上述の 1 と 2 でお伝えした包括的なセキュリティソリューションに加え、生成 AI「Gemini」を活用したセキュリティオペレーションも提供しています。

今までは専門チームを構成したり、専門家を雇用してチームをトレーニングするなど、膨大な費用と時間を要していました。
しかし、生成 AI を活用することで Mandiant や VirusTotal といった最先端のナレッジをより迅速に活用できるだけでなく、専門技術の民主化という恩恵を享受することができます。

Dwell Time の変化

dwell-time
【図:M-Trends 2024 レポートより図を作成】

サイバーセキュリティ対策の強化によって、近年の Dwell Time は短くなってきています。
Dwell Time とは、侵害されてから検知されるまでに要した時間(日数)のことです。

これは Endpoint Detection and Response(EDR)や統合セキュリティ監視の導入による組織内部での検知に加え、外部団体との連携や情報共有の促進による組織外部からの通知が短縮貢献要因とされています。

一方で、悪意ある攻撃者側もそれに対応するため、活動速度が早いランサムウェアやマルウェアの開発を繰り返しています。
そのため、事前に備えるだけでなく、より迅速に脅威を検知し、防御につなげることが重要です。

潜在的な脅威やサイバーセキュリティのトレンド、攻撃者の動向に関する洞察を Mandiant がレポートとして公開していますので、興味がある方はぜひご一読ください。

Google SecOps でセキュリティ運用課題を解決する

従来の SecOps はもう限界...

secops-before
【図:従来の SecOps 】

Google SecOps を語る前に、従来の SecOps を振り返りましょう。
SecOps の重要性は従来より語られてきましたが、実態はどうでしょうか。

Mandiant がまとめたレポート「M-Trends 2023」ではなんと 63% のインシデントが外部団体からの侵害通知で発覚 したそうです。
不十分な脅威データ、ナレッジ不足、複雑な手動プロセスなどが要因となり手が回らなくなっているケースも少なくありません。

インテリジェンス駆動の SecOps へ

secops-after
【図:インテリジェンス駆動の SecOps 】

そこで、Google はインテリジェンス駆動の SecOps を打ち出しました。

制限なく拡張可能

Google SecOps では、セキュリティログを Google の規模と速度で取り込める拡張性を誇ります。

インテリジェンス駆動の成果

最前線で活躍する Mandiant のナレッジを活用できる脅威インテリジェンスも組み込まれ、未知の脅威を能動的に発見・防御することができます。

AI を導入した生産性

さらに、生成 AI・自動化・専門家のサポートを活用することで、チーム全員の生産性を向上させることができます。
検知ルールの生成、脅威の調査、調査結果の要約まで全て Gemini in Security Operations がサポートしてくれるため、少ない労力でより多くの脅威検出・効率化に繋がります。

Google TI だからできる「脅威情報のエンリッチメント」

Google TI とは

https://youtu.be/QGUri8v4THc?feature=shared
gti

Google SecOps 以外にも、実用的な脅威インテリジェンスを提供するサービスがあります。

Google Threat Intelligence(Google TI、GTI)は、Mandiant と VirusTotal とを組み合わせ、さらに Google がもつ可視化と生成 AI 技術によりパワーアップされた脅威インテリジェンスです。

Mandiant と VirusTotal による脅威検出


【図】:Mandiant と VirusTotal による脅威検出

logo logo
特徴:
・攻撃者の特定、プロファイル
・Mandiant アナリストの分析によるため信頼度が高い
特徴:
・最も多くのマルウェアサンプルの集成
・解析後の Raw データ
用途:
・SOC L2/L3 分析
・攻撃者の紐付け
・レッドチーム演習
・戦略的インテリジェンス
用途:
・マルウェア解析と特定
・アラートトリアージ
・IOC の関連付け

セキュリティ業界の最前線で活躍する Mandiant のナレッジと、世界最大のクラウドソース・マルウェア・リポジトリである VirusTotal のマルウェアサンプルによって、トップクラスの脅威検出能力を提供します。

脅威情報のエンリッチメント

gti-ss
【実際の画面のスクリーンショット】

Google TI の特徴として、Mandiant と VirusTotal の様々なソースからの情報を組み合わせ、脅威に関する関連情報を付加することができます。

代表的なものとして以下のようなものが挙げられます。

  • 統合されたリスクスコア
  • VirusTotal の技術的な洞察
  • Mandiant の帰属情報
  • 活動状況のテレメトリー
  • IoC やマルウェア検体の評価、解析、情報提供
  • Exploit 成功時のリスクと影響度
  • 悪用する攻撃者の情報

SCCE と Google SecOps の関係性

SCCE ↔ Google SecOps への拡張

scce-secops
【図:SCCE と Google SecOps の関係性】

SCCE と Google SecOps は相互に拡張・遷移していく関係性です。

SCCE ➜ Google SecOps の場合

まずは SCCE から始め、Google SecOps へアップグレードすることで、追加の機能を最大限に活用することができます。
シンプルなアップグレードプロセスとして、よりセキュリティのカバー範囲を広げることができます。

Google SecOps ➜ SCCE の場合

Google SecOps から SCCE へ移行することで、Google Cloud 以外(AWS・Azure)へマルチクラウドの CNAPP を実現することができます。

Google SecOps への統合で包括的にカバーする

solution
【表:領域ごとの対応ソリューション】

これまで紹介したソリューションは、複数組み合わせても決して重複したり無駄になることはありません。
むしろ、Google TI・Mandiant・VirusTotal・SCCE それぞれを各領域で使うことでよりセキュリティのカバー範囲が広がります。

これらを Google SecOps として統合し、より安全な環境を目指すことが重要です。

おまけ

Google Cloud Security Community

community
【Google Cloud Security Community】

Google Cloud Security Community は、Google Cloud のセキュリティに関心を持つ専門家やユーザーが集まるオンラインコミュニティです。
Google Cloud のセキュリティに関する知識や経験を深め、他のユーザーと交流する場を提供しているため、ぜひ有効活用してみましょう。

  • 情報交換:最新のセキュリティ脅威や対策、Google Cloud のセキュリティ機能に関する情報交換
  • ベストプラクティスの共有:Google Cloud のセキュリティを最大限に活用するためのベストプラクティスの共有
  • ディスカッション:具体的なセキュリティ課題や疑問点についてのディスカッション
  • イベント:Google Cloud のセキュリティに関するウェビナーやワークショップなどのイベント開催

https://www.googlecloudcommunity.com/gc/Google-Cloud-Security/ct-p/googlecloud-security

まとめ

本セミナーでは IT 業界で最もホットな領域に Google Cloud としてどのようにアプローチしていくのか、様々な課題にどのようなソリューションで対応していくべきかを深く広く語っていただきました。

  • Google Threat Intelligence:(Mandiant + VirusTotal)× Google
  • Security Command Center Enterprise:マルチクラウド CNAPP への展開、または、Google SecOps への足掛かり
  • Google SecOps:SCCE に加え GTI や Mandiant の脅威インテリジェンスを生成 AI で活用可能な統合ソリューション

本記事を参考に、より安心安全で確実な SecOps を成し遂げてください。

Discussion