Google Cloud Next Tokyo ’24、『Google Cloud ユーザー必見!盤石なセキュリティを効率的に実現する方法』のセッションを聴いてきましたのでそのイベントレポートです。

はじめに

Google Cloud を利用するにあたって、セキュリティというのは必須要件の一つだと考えています。

たとえば、Organization Policy の活用や、組織レベルのセキュリティの活用などが考えられます。

このセッションを聞くことで効率的に実現する方法を学びたいと思います。

セッション内容

このセッションは、 株式会社 サイバーセキュリティクラウド 小川 亮 氏の発表となります。

株式会社 サイバーセキュリティクラウド (以下、CSC) は数多くのセキュリティサービスを提供しているとのことです。

増加するクラウドインシデントとして、昨今の状況の話がありました。
クラウド上のお客様所有のサービスに対して、多くの致命的なインシデントや攻撃などが発生してパブリッククラウド上で被害を受けています。

だれが、対策するべきか? という問いに対して、誤った認識を持っている人もいます。

クラウドを利用する際には、クラウドサービスプロバイダーが全てのセキュリティ対策を実施してくれるわけではありません。
責任共有モデルに従って、対応する必要性があります。

IaaS、PasS、SaaS などの利用するサービスによって、それぞれセキュリティの対策の範囲が変わってきます。
責任範囲が大きく異なるため、PaaS、SaaS を活用すると責任範囲が少なくなることも、サービス実装上の重要な要素とのことです。

Googld Cloud のセキュリティ対策は、Google Cloud が全て行ってくれるわけではありません。
自社で適切なセキュリティコントロールを行う必要がある。とのことでした。

セキュリティを考える上で、『情報資産 x 脅威 x 脆弱性』の掛け合わせがセキュリティのリスクであるという点はクラウドセキュリティでも変わらないとのことです。

情報資産の価値によって緊急度や優先順位が変わるが、脅威はゼロにできない、脆弱性を減らして重要度に応じて優先順位をつけた対策が必要とのことです。

情報資産を管理する際には、下記のような観点が重要とのことでした。

守るべき情報資産は何か?
どこに配置されているのか?
責任者は誰で、誰が管理しているのか?
誰がアクセスできるのか? どういう操作をしたか?

クラウド上の情報はどんどん変わっていきます。そのためスナップショット的な対応では不足しているとありました。
Cloud Asset Inventory などを活用して、常に変化する環境に対応する必要があるとのことです。

脅威とは、個人情報や顧客情報のデータ漏洩、システム停止などを引き起こす不正アクセスです。
脅威を検出する Google Cloud のサービスとして、以下のようなものがあります。

  • SCC: Event Threat Detection
  • SCC: Virtual Machine Threat Detection
  • SCC: Container Threat Detection
  • SCC: Anomaly Detection

これらのサービスを活用して、脅威に対応する必要があるとのことでした。

また、Google Cloud 上の設定ミスを検知するサービスとして、

  • SCC: Web Security Scanner
  • SCC: Security Health Analytics
  • SCC: Security Posture Service

などが、利用できるとのことです。

クラウドセキュリティの課題

クラウドセキュリティの実践には、大きな課題があります。

  • 深刻なセキュリティ人材の不足
  • 組織全体からのサポート不足
  • 休日夜間の突発的な対応 / 大量のアラートへの対応

セキュリティ対策は売上を上げるようなものではないため、組織からの支援を得ることが難しいです。
また、インシデント発生時の即時対応が必要となります。

セキュリティ対策を始める際に、最初の構成が正しく出来ていない場合は大量のアラートが出てきます。

セキュリティの向上のためには、技術的な対応のほか、見える化をしていかなければ改善が難しいです。

これらの課題に対応するため、マネージドセキュリティサービス (以下、MSS) の活用が一つの手段とのことです。

自社で対応する場合、脅威や、設定ミス、問題が発生した場合には SRE / SOC などが対応するため、これらのリソースを自社で用意する必要があります。

MSS を活用した場合では、問題が発生した場合は MSS が一次請け、トリアージの対応を代行します。

CSC は常時保護・モニタリングを行うサービスとして、 CloudFastener を提供しています。
検出されたリスクについて対応するとともに、Google Cloud のアップデートに対応し、スピーディな導入が可能な MSS サービスとのことです。

セキュリティはサービス導入で完了することはありません。
コンサルティングとしてお客様の情報を把握したうえで、実施を行っていくとのことです。

MSS では、お客様の状況に応じて複数のサービスを活用してリスクコントロールを実施することができます。

所感

Google Cloud 上のリスクを管理する場合、技術的なサービスの活用だけでなく、組織の状況に合わせた対応が必要になることを伝えていただいたセッションでした。

エンジニア目線で考えた場合、どうしてもサービスの導入で完了しがちです。
導入時のサポートだけでなく、運用を開始した後のサポートも重要となります。

アイレットでは、CSC のパートナーとしてセキュリティサービスの導入を行っています。
本セッションでも名前の上がった CloudFastener についても、国内での第一号として取り扱いを始めさせていただいております。
Google Cloud のセキュリティに興味がありましたら、是非アイレットまでご連絡ください。