Google 社員が教えるクラウドを活用した最新のサイバーセキュリティ対策を徹底解説!
- Cloud
- Cloud Identity
- サイバーセキュリティ
本記事は、2021年12月1日に開催された Google の公式イベント「 Security Summit 」において、 Google Cloud Security Specialist の David Payne 氏が講演された「 Security @ Scale 〜クラウドで実現するスケーラブルで強固なサイバーセキュリティ〜」のレポート記事となります。
今回は「 Security @ Scale 」というキーワードに注目して、 Google のセキュリティに対する取り組みや Google Cloud (GCP)を活用した具体的なセキュリティ対策などを一挙にご紹介します。ぜひ最後までご覧ください。
なお、本記事内で使用している画像に関しては、 Security Summit「 Security @ Scale 〜クラウドで実現するスケーラブルで強固なサイバーセキュリティ〜」を出典元として参照しております。
それでは、早速内容を見ていきましょう。
目次
Security @ Scale とは?
Security @ Scale の概要と求められる背景
Security @ Scale とは、企業のセキュリティに対する考え方の一つであり、「より少ないリソースで、続々と登場する新しいテクノロジーに対応するためのセキュリティ体制を整備する」というアプローチのことです。
サイバーセキュリティは、単にセキュリティソフトを購入するだけで解決するものではありません。企業の中には、継続的に対応すべきセキュリティ業務が存在しており、その仕事を遂行するためには優秀な人材が必要になります。これは、オンプレミス環境でもクラウド環境でも同じことが言えます。
昨今、 IoT や AI などに代表される新しいテクノロジーが続々と登場しており、これに伴ってセキュリティ関連の仕事は増えています。しかし、その一方でセキュリティに関する仕事を対応できる人材は限られているため、需要と供給のバランスが崩れて「セキュリティギャップ」が生まれています。
つまり、最小限のリソースでセキュリティ業務を遂行できる体制構築「 Security @ Scale 」が求められているのです。
Google のセキュリティ体制
Google はグローバル単位で大規模なサービスを複数提供しています。代表的な例としては、 Google 検索や YouTube 、 Gmail などが挙げられます。ほとんどの方が、これらのサービスを利用したことがあるのではないでしょうか?
Google には 900名以上のセキュリティエンジニアが在籍しており、「攻撃者が人間である以上は、防御者も同じく人間であるべき」という考え方のもと、日々セキュリティに関する業務を行なっています。
先ほど挙げたサービスは数十億ものユーザーを抱えており、日々サイバー攻撃のリスクに晒されています。そこで、安全にサービスを運用するために「 Security @ Scale 」が必要になるわけです。
Security @ Scale の構成要素
「 Security @ Scale 」の構成要素としては、大きく分けて以下の3点が挙げられます。
様々な攻撃を防止するためには、セキュアな環境を構築することが重要になります。また、ビッグデータと機械学習を活用して、脅威を見つけることも企業にとっては大切な要素です。そして、クラウド API により、可能な限りセキュリティ業務を自動化することで、組織全体の生産性向上を実現できます。
「 Security @ Scale 」の目的はセキュリティエンジニアの排除でありません。数多くのサイバー攻撃を防止することがゴールであり、仮に攻撃を防止できない場合は脅威を検出し、早急に対策を講じることが求められています。
ここから先は、「 Security @ Scale 」の3つの構成要素について、それぞれ具体的な機能やサービスを交えながら、わかりやすくご説明します。
Google の Security @ Scale (セキュアな環境構築)
従来のセキュリティ対策
従来型のセキュリティでは、インシデントの防止よりも発生後の対応に重点を置いているケースが一般的でした。つまり、「安全ではない環境」が前提として存在し、後からセキュリティソリューションを導入するイメージです。
しかし、これではセキュリティ対策として十分であるとは言えず、インシデントを回避するのは難しい現状がありました。
Security @ Scale によるセキュアな環境構築のポイント
Google の「 Security @ Scale 」においては、以下3点がセキュアな環境を構築する上でのポイントになります。
攻撃させないために OS アプリやネットワークを最小限に抑えて、かつ、攻撃を拡散させないようにプロセスを分離します。そして、攻撃を存続させないために各層の信頼性を確認し、セキュリティの脅威に対する備えをしておくのです。
Security @ Scale の活用例
わかりやすい具体例としては、 Google が提供している ノート PC 「 Chromebook 」が挙げられます。 Chromebook はウェブブラウザのみで最小限の OS に留めており、データとアプリはクラウド上に存在します。また、明確な分離層が設けられており、 Titan チップは不正な変更がないように各層を確認し、異常がある場合は自己修復を行います。
このように、「 Security @ Scale 」の考え方のもとで、 Google はセキュアな環境構築を実践しており、それが実際に Chromebook のような有名プロダクトにも採用されているのです。
Google の Security @ Scale (ビッグデータと機械学習)
Cloud Identity
ビッグデータと機械学習の領域については、はじめに Cloud Identity をご紹介します。
Cloud Identity は Google の管理コンソールを用いて、ユーザーやアプリ、デバイスを一元管理できるソリューションであり、正規パスワードを使った不正アクセスを検知することも可能となっています。なお、 Google 社内では、 Cloud Identity とセキュリティキーを合わせて活用しており、さらなるセキュリティ強化を実現しています。
reCAPTCHA Enterprise
次に reCAPTCHA Enterprise をご紹介します。 reCAPTCHA Enterprise は reCAPTCHA v3をベースとした Web サイト保護のソリューションであり、 Google Cloud (GCP)の製品として提供されています。
そのため、 reCAPTCHA Enterprise は Google Cloud (GCP)の利用規約に準拠しているほか、「モバイル対応」や「2要素認証」など、 Google Cloud (GCP)のサービスならではの特徴を持っています。
Google は reCAPTCHA によって10年以上にわたり様々な Web サイトを保護してきました。 reCAPTCHA Enterprise は reCAPTCHA のテクノロジーを企業のセキュリティ課題に特化して再設計したサービスです。
そのため、スクレイピングや認証情報の読み取り、自動アカウント作成などの不正行為から Web サイトを守り、自動 bot の悪用による多額の損失を回避できます。また、 reCAPTCHA Enterprise は reCAPTCHA v3 と同様にユーザー負担をかけない設計になっている点も重要なポイントです。
reCAPTCHA Enterprise に関心のある方は以下の記事がオススメです。
web サイトのセキュリティ対策「 reCAPTCHA Enterprise 」とは?概要、メリット、料金体系、ユースケースまで徹底解説!
Chronicle
昨今、企業におけるデータ活用が注目を集めており、多くの会社がビッグデータを扱い始めています。しかし、データ量が増えれば増えるほど、安全なセキュリティを担保するのは困難になります。なぜなら、膨大なデータに対して脅威検知を行うためには、長い時間を要してしまうためです。
このような課題を解決するために、 Google は Chronicle という脅威ハンティングシステムを開発しました。 Chronicle は Google 検索と同じく超高速なデータ検索が大きな特徴となっており、1秒以内に数ペタバイトのデータに対して脅威検知を行うことができます。
Chronicle に挿入できるログの種類は多岐にわたり、代表的な例としては、ネットワークログやユーザーログ、 EDR ログなどが挙げられます。このように、ログの種類を問わずに超高速な脅威検知が行える点は Chronicle の大きなメリットだと言えるでしょう。
Google の Security @ Scale (クラウド API による自動化)
クラウドの自動化
記事の前半でも触れましたが、昨今はセキュリティ人材が不足傾向にあります。そのため、企業が効率的にセキュリティ対策を行うためには、クラウドの自動化をうまく活用し、最小限のリソースでセキュリティ体制を整備する必要があります。
以下、自動化プロセスの一例を図で示しています。
このように、 Google Cloud API を活用することで、様々なセキュリティ業務を自動化することができます。これにより、人的リソースを削減できるとともに、ヒューマンエラーによるミスの抑制にも繋がります。つまり、コストを抑えながらセキュリティ対策の精度を高めて、組織全体の生産性を大幅に向上できるのです。
オンプレミスにおけるサーバーがウイルス感染した際の対応プロセス
以下、オンプレミス環境において、サーバーがウイルス感染した際の対応プロセスを図で示しています。
このように、複数のチームが手動で作業を行うため、完了までに数日間かかるケースが一般的です。状況によってはさらに時間を要する場合もあり、ビジネスが完全に停滞してしまうリスクがあります。
Google Cloud (GCP)におけるサーバーがウイルス感染した際の対応プロセス
次に Google Cloud (GCP)環境において、サーバーがウイルス感染した際の対応プロセスを見ていきましょう。
Google Cloud (GCP)環境では、すべてのプロセスが完全に自動化されています。わずか数秒で作業が完了し、手動で行う箇所がないため、ヒューマンエラーによるミスもありません。正確かつ迅速な対応が求められるセキュリティ作業において、この点は非常に大きなメリットであると言えます。
クラウドの責任共有モデル
オンプレミスは自社ですべての運用を行いますが、クラウドには責任共有モデルというものが存在します。 IaaS や PaaS 、 SaaS などの提供形態ごとに若干の違いはありますが、主に Google がクラウドのセキュリティを管理し、ユーザーはクラウドの利用状況のセキュリティを管理します。
Google には900名以上のセキュリティエンジニアが在籍しているため、豊富な知識と経験をもとにクラウドセキュリティを安全に保護します。世界の最先端を走る Google のセキュリティチームに運用を任せられる点は、とても心強いと言えるのではないでしょうか?
IaaS や PaaS 、 SaaS の違いに関しては以下の記事が参考になります。
図解でわかる!SaaS、PaaS、IaaSの違いとクラウドサービスとの関係性について
Google Cloud (GCP)のセキュリティ関連サービス
ここまでご説明した通り、 Google Cloud (GCP)を活用することで、セキュリティ人材と最新のイノベーションを自社で使えるようになります。 Google Cloud (GCP)には、用途に応じて選べる様々なセキュリティサービスが搭載されており、新しいサービスや機能も日々追加されています。
自社のセキュリティを強化したいと考えている方は、 Google Cloud (GCP)を選択肢の一つに加えてみてはいかがでしょうか?
Google の Security @ Scale に関する Q&A
Q . reCAPTCHAはモバイルアプリケーションでは機能しないようですが、モバイルアプリケーションも保護するにはどうしたらよいでしょうか?
A .reCAPTCHA Enterprise であれば無料の reCAPTCHA とは異なり、Android や iOS 用のモバイル SDK が付属しているので、モバイルアプリケーションに対応しています。 こちらを利用いただけたら、Web サイトとモバイルアプリケーションの両方に同じレベルのボット対策を施すことができます。
Q . Cloud Identity は OKTA と統合可能ですか?
A .Cloud Identity は SAML や OIDC をサポートしているのでOKTA のような他の IdPs と統合できます。
まとめ
本記事では「 Security @ Scale 」というキーワードに注目して、 Google のセキュリティに対する取り組みや Google Cloud (GCP)を活用した具体的なセキュリティ対策などを一挙にご紹介しました。内容をご理解いただけましたでしょうか?
「 Security @ Scale 」をうまく取り入れることで、自社のセキュリティを手間なく強化することができます。セキュリティ人材やセキュアな環境構築、ビッグデータと機械学習、クラウド API による自動化など、必要なものをすべてカバーしています。
また、「 Security @ Scale 」の実現には Google Cloud (GCP)がオススメです。豊富なセキュリティソリューションが搭載されており、自社の状況に合わせて最適なものを自由に使うことができます。さらに、クラウド部分のセキュリティは Google のセキュリティチームに一任できる点も嬉しいポイントです。
本記事を参考にして、ぜひ Google Cloud (GCP)の導入を検討してみてはいかがでしょうか?
弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、
- Google Cloud (GCP)支払い代行
- システム構築からアプリケーション開発
- Google Cloud (GCP)運用サポート
- Google Cloud (GCP)に関する技術サポート、コンサルティング
など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。
Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!