Well-Architected Framework のセキュリティの柱におけるこの原則では、全体的なセキュリティ戦略の一環として、堅牢なサイバー防御プログラムを構築するための推奨事項が示されています。Google Cloud
この原則では、脅威インテリジェンスを使用して、コアとなるサイバー防御機能全体でプロアクティブに 作業を進めることが重要であると、 The Defender's Advantage: A guide to activating cyber defenseで定義されているように強調しています。
原則の概要
システムをサイバー攻撃から防御する場合、攻撃者に対して大きな優位性がありますが、十分に活用されていません。Mandiant の創設者は、 「自社のビジネス、システム、トポロジ、 インフラストラクチャについて、どの攻撃者よりも熟知しているはずです。これは大きな優位性です」と述べています。この固有の優位性を活用できるように、このドキュメントでは、Defender's Advantage フレームワークにマッピングされた、プロアクティブで戦略的なサイバー防御プラクティスに関する推奨事項を示します。
推奨事項
クラウド ワークロードに予防的なサイバー防御を実装するには、次のセクションの推奨事項を検討してください。
サイバー防御機能を統合する
この推奨事項は、すべての 重点分野に関連しています。
The Defender's Advantage フレームワークでは、 サイバー防御の 6 つの重要な機能(インテリジェンス、検出、対応、検証、ハンティング、および 管制センター)を特定しています。各機能はサイバー防御ミッションの固有の部分に重点を置いていますが、効果的な防御を実現するには、これらの機能を適切に調整して連携させる必要があります。各機能が相互にサポートする、堅牢で統合されたシステムの構築に重点を置きます。段階的な導入が必要な場合は、次の推奨順序を検討してください。 現在のクラウドの成熟度、リソース トポロジ、特定の脅威の状況に応じて、特定の機能を優先することをおすすめします。
- インテリジェンス: インテリジェンス機能は、他のすべての 機能をガイドします。最も可能性の高い攻撃者、その戦術、手法、手順(TTP)、潜在的な影響など、脅威の状況を把握することは、プログラム全体でアクションの優先順位を付けるうえで非常に重要です。インテリジェンス機能は、関係者の特定、インテリジェンス要件の定義、データの収集、分析と配布、自動化、サイバー脅威プロファイルの作成を担当します。
- 検出と対応: これらの機能は、悪意のあるアクティビティの特定と対処を行うアクティブ 防御の中核を構成します。 これらの機能は、インテリジェンス機能によって収集されたインテリジェンスに基づいて行動するために必要です。検出機能には、検出を攻撃者の TTP に合わせ、堅牢なロギングを確保する体系的なアプローチが必要です。対応機能は、初期トリアージ、データ収集、インシデントの修復に重点を置く必要があります。
- 検証: 検証機能は、セキュリティ対策機能のエコシステムが最新の状態であり、設計どおりに動作していることを保証する継続的なプロセスです。この機能により、組織は攻撃対象領域を把握し、脆弱性が存在する場所を把握し、コントロールの有効性を測定できます。セキュリティ検証は、検出エンジニアリング ライフサイクルの重要な要素でもあり、検出のギャップを特定して新しい検出を作成するために使用する必要があります。
- ハンティング: ハンティング機能は、環境内のアクティブな 脅威をプロアクティブに検索します。この機能は、組織が検出機能と対応機能でベースライン レベルの成熟度を備えている場合に実装する必要があります。ハンティング機能は検出機能を拡張し、コントロールのギャップと弱点を特定するのに役立ちます。ハンティング機能は、特定の脅威に基づいて行う必要があります。この高度な機能は、堅牢なインテリジェンス、検出、対応の基盤を活用します。
- 管制センター: 管制センター機能は、他のすべての機能を接続する中央 ハブとして機能します。この機能は、サイバー防御プログラム全体の戦略、コミュニケーション、決定的なアクションを担当します。すべての機能が連携して動作し、組織のビジネス目標に沿っていることを確認します。管制センター機能を使用して他の機能を接続する前に、その目的を明確に理解することに重点を置く必要があります。
サイバー防御のあらゆる側面でインテリジェンス機能を使用する
この推奨事項は、すべての 重点分野に関連しています。
この推奨事項では、Intelligence 機能を強力なサイバー防御プログラムの中核として強調しています。脅威インテリジェンスは、脅威アクター、その TTP、セキュリティ侵害インジケーター(IOC)に関する知識を提供します。この知識は、すべてのサイバー防御機能全体でアクションを通知し、優先順位を付ける必要があります。インテリジェンス主導のアプローチは、組織に最も影響を与える可能性の高い脅威に対応できるように防御を調整するのに役立ちます。このアプローチは、リソースの効率的な割り当てと優先順位付けにも役立ちます。
次の Google Cloud プロダクトと機能は、脅威インテリジェンスを活用してセキュリティ運用をガイドするのに役立ちます。これらの機能を使用して、潜在的な脅威、脆弱性、リスクを特定して優先順位を付け、適切なアクションを計画して実装します。
Google Security Operations(Google SecOps) を使用すると、セキュリティ データを一元的に保存して分析できます。Google SecOps を使用して、ログを共通のモデルにマッピングし、ログを拡充して、ログをタイムラインにリンクすることで、攻撃の全体像を把握できます。 検出ルールの作成、IoC マッチングの設定、脅威ハンティング アクティビティの実行も可能です。このプラットフォームには、脅威の特定に役立つ、事前定義されたマネージド ルールであるキュレーテッド検出機能も用意されています。Google SecOps は、 Mandiant の最前線インテリジェンスと統合することもできます。 Google SecOps は、業界をリードする AI と、Mandiant and Google VirusTotal の脅威インテリジェンスを独自に統合しています。 この統合は、脅威の評価と、組織を標的とするユーザーと潜在的な影響を把握するうえで非常に重要です。
Security Command Center Google AI を搭載した Enterprise を使用すると、セキュリティ専門家は複数のクラウド環境にまたがるセキュリティ問題を効率的に評価、調査、対応できます。Security Command Center を活用できるセキュリティ専門家には、セキュリティ オペレーション センター(SOC)のアナリスト、脆弱性と体制のアナリスト、コンプライアンス マネージャーなどが含まれます。Security Command Center Enterprise は、セキュリティ データを拡充し、リスクを評価し、脆弱性の優先順位を付けます。このソリューションは、リスクの高い脆弱性に対処し、アクティブな脅威を修復するために必要な情報をチームに提供します。
Chrome Enterprise Premium は、脅威対策とデータ保護を提供し、ユーザーを データ漏洩のリスクから保護し、マルウェアが 企業管理のデバイスに侵入するのを防ぎます。Chrome Enterprise Premium では、ブラウザ内で発生する可能性のある安全でないアクティビティや潜在的に安全でないアクティビティを可視化することもできます。
Network Intelligence Centerなどのツールを使用したネットワーク モニタリングにより、ネットワーク パフォーマンスを可視化できます。ネットワーク モニタリングは、通常と異なるトラフィック パターンを検出したり、攻撃やデータの引き出しの試みを示す可能性のあるデータ転送量を検出したりするのにも役立ちます。
防御側の優位性を理解して活用する
この推奨事項は、すべての 重点分野に関連しています。
前述のように、ビジネス、システム、トポロジ、インフラストラクチャを十分に理解している場合は、攻撃者よりも優位に立つことができます。この知識の優位性を活用するには、サイバー防御の計画時に環境に関するこのデータを利用します。
Google Cloud は、脅威を特定し、リスクを把握し、潜在的な損害を軽減するために迅速に対応できるように、次の機能を提供します。
Chrome Enterprise Premium は、ユーザーをデータ漏洩のリスクから保護することで、企業デバイスのセキュリティを強化します。Sensitive Data Protection サービスをブラウザに拡張し、マルウェアを防止します。また、マルウェアやフィッシングに対する保護などの機能も提供し、安全でないコンテンツへの露出を防ぎます。さらに、拡張機能のインストールを制御して、安全でない拡張機能や検証されていない拡張機能を防ぐことができます。これらの機能により、オペレーションの安全な基盤を確立できます。
Security Command Center Enterprise は、包括的で継続的なリスク分析と管理を提供する継続的な リスクエンジン を提供します。リスクエンジン機能は、セキュリティ データを拡充し、リスクを評価し、脆弱性の優先順位を付けて、問題を迅速に修正できるようにします。Security Command Center を使用すると、組織は弱点をプロアクティブに特定して軽減策を実装できます。
Google SecOps はセキュリティ データを一元化し、タイムラインを含む拡充されたログを提供します。これにより、防御者はアクティブなセキュリティ侵害をプロアクティブに特定し、攻撃者の行動に基づいて防御を調整できます。
ネットワーク モニタリングは、攻撃を示す可能性のある不規則なネットワーク アクティビティを特定し、アクションの実行に使用できる早期インジケーターを提供します。データを盗難からプロアクティブに保護するには、データの引き出しを継続的にモニタリングし、提供されているツールを使用します。
防御を継続的に検証して改善する
この推奨事項は、すべての 重点分野に関連しています。
この推奨事項では、攻撃対象領域全体の強みと弱みを把握するために、ターゲットを絞ったテストとコントロールの継続的検証の重要性を強調しています。これには、次のような方法でコントロール、オペレーション、スタッフの有効性を検証することが含まれます。
- ペネトレーション テスト
- レッドチームとブルーチーム の演習、 パープルチーム の演習
- 机上演習
また、脅威を積極的に検索し、その結果を使用して検出と可視性を改善する必要があります。次のツールを使用して、実際の脅威に対する防御を継続的にテストして検証します。
Security Command Center Enterprise は、脆弱性を評価して修復の優先順位を付ける継続的なリスクエンジンを提供し、全体的なセキュリティ体制を継続的に評価できます。Security Command Center Enterprise は、問題の優先順位を付けることで、リソースを効果的に使用できるようにします。
Google SecOps は、脅威ハンティングとキュレーションされた検出機能を提供し、コントロールの弱点をプロアクティブに特定できます。 この機能により、脅威を検出する能力を継続的にテストして改善できます。
Chrome Enterprise Premium は、脅威対策とデータ保護機能を提供し、新しい脅威や進化する脅威に対処し、データ漏洩のリスクとマルウェアに対する防御を継続的に更新できます。
Cloud Next Generation Firewall(Cloud NGFW)は、ネットワーク モニタリングとデータ漏洩モニタリングを提供します。これらの機能は、現在のセキュリティ ポスチャーの有効性を検証し、潜在的な弱点を特定するのに役立ちます。データの引き出しのモニタリングは、組織のデータ保護メカニズムの強度を検証し、必要に応じてプロアクティブに調整するのに役立ちます。Cloud NGFW の脅威の検出結果を Security Command Center と Google SecOps に統合すると、ネットワーク ベースの脅威検出を最適化し、脅威対応を最適化して、プレイブックを自動化できます。この統合の詳細については、 クラウド防御の統合: Security Command Center と Cloud NGFW Enterprise をご覧ください。
サイバー防御の取り組みを管理して調整する
この推奨事項は、すべての 重点分野に関連しています。
サイバー防御機能を統合する で説明したように、 管制センター機能は サイバー防御プログラムの他の機能を相互接続します。この機能により、プログラム全体の調整と統合的な管理が可能になります。また、サイバーセキュリティに取り組んでいない他のチームとの連携にも役立ちます。管制センター機能は、権限と説明責任を促進し、俊敏性と専門知識を促進し、責任と透明性を推進します。
次のプロダクトと機能は、管制センター機能を実装する際に役立ちます。
- Security Command Center Enterprise は、サイバー防御オペレーションを調整、管理するための中央ハブとして機能します。ツール、チーム、データを、Google SecOps の組み込み対応機能と統合します。Security Command Center は、組織のセキュリティ状態を明確に可視化し、さまざまなリソースのセキュリティ構成ミスを特定できるようにします。
- Google SecOps は、ログのマッピングとタイムラインの作成によって、チームが脅威に対応するためのプラットフォームを提供します。検出ルールを定義して脅威を検索することもできます。
- Google Workspace と Chrome Enterprise Premium は、機密リソースへのエンドユーザー アクセスを管理および制御するのに役立ちます。 ユーザー ID とリクエストのコンテキストに基づいて、きめ細かいアクセス制御を定義できます。
- ネットワーク モニタリングは、ネットワーク リソースのパフォーマンスに関する分析情報を提供します。ネットワーク モニタリングの分析情報を Security Command Center と Google SecOps にインポートして、一元的なモニタリングと他のタイムライン ベースのデータポイントとの相関関係を確認できます。この統合により、不正なアクティビティによって発生する可能性のあるネットワーク使用量の変化を検出して対応できます。
- データ漏洩モニタリングは、データ損失インシデントの可能性を特定するのに役立ちます。この機能を使用すると、インシデント対応チームを効率的に動員し、損害を評価して、さらなるデータの引き出しを制限できます。また、現在のポリシーとコントロールを改善して、データ保護を確保することもできます。
プロダクトの概要
次の表に、このドキュメントで説明されているプロダクトと機能を示し、関連する推奨事項とセキュリティ機能にマッピングします。
| Google Cloud プロダクト | 該当する推奨事項 |
|---|---|
| Google SecOps |
サイバー防御のあらゆる側面でインテリジェンス機能を使用する:
脅威ハンティングと IoC マッチングを有効にし、
Mandiant と統合して包括的な脅威評価を実現します。
防御側の優位性を理解して活用する: キュレーテッド検出機能を提供し、セキュリティ データを一元化して、プロアクティブなセキュリティ侵害の特定を実現します。 防御を継続的に検証して改善する: 脅威検出機能を継続的にテストして改善できます。管制センターを通じてサイバー防御の取り組みを管理して調整する: 脅威対応、ログ分析、タイムライン作成のためのプラットフォームを提供します。 |
| Security Command Center Enterprise |
サイバー防御のあらゆる側面でインテリジェンス機能を使用する:
AI を使用してリスクを評価し、脆弱性の優先順位を付け、修復のための実用的な分析情報を提供します。
**防御側の優位性を理解して活用する** : 包括的なリスク分析、脆弱性の優先順位付け、弱点のプロアクティブな特定を提供します。 防御を継続的に検証して改善する: セキュリティ体制の継続的な評価とリソースの優先順位付けを行います。管制センターを通じてサイバー防御の取り組みを管理して調整する: サイバー防御オペレーションを管理、調整するための中央ハブとして機能します。 |
| Chrome Enterprise Premium |
サイバー防御のあらゆる側面でインテリジェンス機能を使用する:
ユーザーをデータ漏洩のリスクから保護し、マルウェアを防止し、
安全でないブラウザ アクティビティを可視化します。
防御側の優位性を理解して活用する: データ保護、マルウェア防止、拡張機能の制御により、企業デバイスのセキュリティを強化します。 防御を継続的に検証して改善する: データ漏洩のリスクとマルウェアに対する防御を継続的に更新することで、新しい脅威や進化する脅威に対処します。ミッション コントロールを通じてサイバー防御の取り組みを管理して調整する: きめ細かいアクセス制御など、機密リソースへのエンドユーザー アクセスを管理および制御します。 |
| Google Workspace | ミッション コントロールを通じてサイバー防御の取り組みを管理して調整する: きめ細かいアクセス制御など、機密リソースへのエンドユーザー アクセスを管理および制御します。 |
| Network Intelligence Center | サイバー防御のあらゆる側面でインテリジェンス機能を使用する: ネットワーク パフォーマンスを可視化し、通常と異なる トラフィック パターンやデータ転送を検出します。 |
| Cloud NGFW | 防御を継続的に検証して改善する: Security Command Center と Google SecOps との統合により、ネットワーク ベースの脅威検出と対応を最適化します。 |