Google Cloud
2019 年以降に注目すべきセキュリティのトレンド
2019年1月22日
Google Cloud Japan Team
※この投稿は米国時間 2019 年 1 月 4 日に Google Cloud blog に投稿されたものの抄訳です。
ソフトウェアのセキュリティを確保し、組織とユーザーを既知の脅威から守るためには効果的な予防策と不断の努力が必要ですが、それだけでなく、新たなリスクを見つけて対処する積極的な姿勢も必要です。
私たち Google Cloud は両方を実践しています。目に見えないところでお客様の安全を自動的に守るサービスから、お客様の固有のニーズに合わせてセキュリティ体制を強化するのに役立つツールや推奨事項に至るまで、セキュリティ対策を容易にするプロダクトを提供しています(ベスト プラクティスの一部については “taking charge of your security/data” シリーズの投稿をご覧ください)。また、新しく現れる脅威にいつも目を光らせ、対策方法を探しています。2018 年初めに Project Zero チームが CPU の脆弱性(Spectre、Meltdown)を見つけて公表したのは、その一例です。
2019 年を迎えるにあたって、セキュリティのことを毎日考えている Google Cloudのメンバーが注目しているセキュリティ トレンドの一部を紹介しましょう。
2SV の裏をかく攻撃の登場 : 攻撃されやすいターゲットは、より安全な 2SV 方式の採用を
ユーザーアカウントの保護は 2 段階認証(2SV)、あるいは 2 要素認証(2FA)と呼ばれる方式によって大きく前進し、ほとんどのアプリケーションがこれらを標準として採用しています。しかし、2SV はどれも同じというわけではなく、攻撃者たちは、フィッシングや電話番号乗っ取りを通じて SMS コードのような使い捨てパスワードを横取りするなど、弱い方式の 2SV の裏をかく方法を見つけようとしています。一般に、これらの攻撃は会社役員や政治家、クラウド管理者など、攻撃効果の高いユーザーをターゲットにしています。今後は、リスク拡大に伴って、FIDO 標準を使ってフィッシング対策が強化された 2SV を採用するサービスが増えていくでしょう。ユーザーはセキュリティ キーで認証を受けられるようになり、フィッシングやアカウント乗っ取りから保護されるようになります。- Christiaan Brand(Google Cloud プロダクト マネージャー)
真のパスワードレス時代に向けて大きく前進 : 新しい方式が主流に
2019 年にはセキュアなパスワードレス ログインが主流になり始めるでしょう。これは、W3C と FIDO の API が主要なブラウザや OS プラットフォームに組み込まれて機能する本格的な「パスワードレス」時代の幕開けを告げるものです。最初は、指紋などの生体認証手段の提示で再ログインが可能になる機能がウェブサイトで提供されます。初回ログインを含む包括的なパスワードレスの採用まではまだ時間がかかりますが、将来はコンピュータの近くでスマートフォンのロックを解除するといったシンプルかつセキュアな手順でウェブサイトにログインできるようになるでしょう。- Sam Srinivas(プロダクト管理ディレクター)
アイデア段階から実現段階へと進むゼロトラスト アーキテクチャ
企業がビジネスの基幹サービスをクラウド化し、いつでもどこでもどのデバイスでもビジネス リソースにアクセスしたいという社員の要望が高まるにつれて、セキュリティの世界では「ゼロトラスト」アーキテクチャとその実装方法がホットなトピックになってきています。このコンセプトを企業レベルで実現する最初の試みが Google の BeyondCorp モデルでした。2019 年には、パッケージ化された市販ソリューションを提供するプロバイダーやベンダーが増えるとともに、Istio のようなプロジェクトでこのコンセプトがアーキテクチャ レベルで実装されて、ゼロトラストへと向かう動きに拍車がかかることが予想されます。- Jennifer Lin(プロダクト管理ディレクター)
ユーザーの安全確保に向け機械学習と AI への依存を深める IAM ソリューション
IAM の担当者は引き続き、ユーザーとインフラストラクチャに対する攻撃の規模や範囲の拡大、攻撃の高度化に直面するでしょう。企業は、IT / セキュリティ チームの負担を軽減するために、膨大なデータと機械学習を活用して検出や構成、応答を自動化する IAM ソリューションの導入を進めるはずです。- Karthik Lakshminarayanan(プロダクト管理ディレクター)
自己管理型暗号鍵の認知度上昇と、プロバイダーによる鍵管理サービスの進化
自己管理型の暗号鍵を使用すると、データ アクセスを追加で制御したり、監査の明確性を高めたり、ポリシーや規制要件を満たしたりできるほか、プロバイダーのアクセスを制御するための手段を提供できます。ただし、今後数年のうちに顧客管理下にある暗号鍵の取り扱いミスが発生し、重要なデータの損失につながる可能性もあります。一方、クラウド プロバイダーは今後もネイティブな鍵管理機能の構築に取り組み、鍵管理の対象サービスを広げ、ユーザーに対してより粒度の細かい鍵管理オプションを提供するようになります。このようなプロバイダーによる鍵管理オプションは、顧客管理と、プロバイダーが保証する強固な耐久性、および可用性の間でうまくバランスを取るものになると予想されます。したがって、顧客管理の暗号鍵は引き続き進展しますが、その一方でプロバイダーによる鍵管理サービスにも注目が集まるでしょう。- Scott Ellis(Google Cloud プロダクト マネージャー)
コンテナなどのクラウド ネイティブな環境に対する攻撃の高度化
コンテナへの攻撃は過去にも例がありますが、その大半は VM への攻撃を真似たお手軽なものでした。たとえば、設定ミスや、公開コードに残された証明情報や機密情報を悪用するわけです。これらは、うっかり開けたままにしてしまったドアのようなものです。コンテナの採用が増えるに伴い、これからはコンテナのアーキテクチャと脆弱性に特化した高度な攻撃が現れるはずです。そのため、多くの管理者は、コンテナ セキュリティのベスト プラクティスをデフォルトで提供する強力なクラウド マネージド サービスを求めるようになるでしょう。- Maya Kaczorowski(Google Cloud プロダクト マネージャー)
オープンソース ソフトウェアで脆弱性が見つかることが増え、より厳格なテストが必要に
ソース コード リポジトリを介してオープンソース ソフトウェアに脆弱性を注入することは有効な攻撃手段になりえます。利用するオープンソース ソフトウェアの調査や検証を自身で行うユーザーは多くないからです。この方法による大規模な感染は決してありえないことではなく、脆弱性を継続的にスキャンするツールを使用する企業が増えるかもしれません。- Matthew O'Conno(OCTO プロダクト マネージャー)
古いシステムのデータ インシデント報告が GDPR 効果で前年の倍以上に
EU の一般データ保護規則(GDPR)は、EU 域内での個人識別情報(PII)に関連したデータ インシデントをデータ保護当局に報告することを義務づけており、違反すれば巨額の罰金が科せられます。これは英国だけのデータですが、自己申告されたデータ インシデントの件数は 2018 年上半期だけで 2017 年全体よりも 30 % 増えています。2019 年には GDPR による最初の罰金支払命令が下されると見られており、規制に基づく公開調査によって透明性が増せば、古いシステムの弱点が明るみになり、GDPR 対応のプライバシー管理ツールやプロセスを提供しているクラウドへの移行に拍車がかかる可能性があります。- James Snow(セキュリティ&コンプライアンス担当カスタマー エンジニアリング マネージャー)
ワークロードに対するアクセスのモニタリングや制御を提供するクラウド プロバイダーへの乗り換えが、厳しい規制を受けている企業を中心に増加
パブリック クラウドの導入にはインフラストラクチャをプロバイダーに管理してもらえるという大きなメリットがありますが、その反面、プロバイダーのアクティビティがよく見えず、うまく制御できない場合が多いという問題もあります。2019 年には、特に厳しい規制を受けている企業の間で、クラウド管理者がデータに対して実行できることを完全に可視化し、制御したいという要望が高まるでしょう。こうした企業は、自社のデータとワークロードを掌握できていることに対する、より確かな保証を求めるはずです。- Joseph Valente、Michee Smith(Google Cloud プロダクト マネージャー)
- By the Google Cloud security team
