コンテンツへスキップ

Exabeam AIエージェントの行動分析およびAIセキュリティポスチャーインサイトのための初の接続されたシステムを発表。続きを読む

デモを見る

Google Cloudのセキュリティ:8つの主要コンポーネントと重要なベストプラクティス

  • 9 minutes to read

目次

    グーグル・クラウド・セキュリティとは?

    Google Cloud におけるセキュリティの確保には、データ、アプリケーション、およびインフラストラクチャを保護するための一連の実践、対策、および製品が含まれます。これには、ID およびアクセス管理、ネットワーク セキュリティ、転送中および静止中のデータの保護が含まれます。

    Google Cloudのセキュリティの焦点は、クラウド環境のすべてのレイヤーが脅威から確実に保護され、ユーザーが安全な方法でアプリケーションをデプロイし、重要なデータを保存できるようにすることです。

    Google Cloudのセキュリティの主要コンポーネントには、暗号化、検出メカニズム、運用を保護するための一連のポリシーと制御の実装が含まれます。グーグルは、インフラに統合されたセキュリティ・サービスを提供している。

    Googleは、コンプライアンス認証と監査プログラムにより、セキュリティとプライバシーの保護が適切に行われていることをお客様に保証することを意図しています。セキュリティ対策は、新たな脅威に対処するために継続的に進化し、企業のデータとアプリケーションを不正アクセスや潜在的な侵害から安全に保つ必要があります。

    これは、クラウドセキュリティに関する広範なガイドシリーズの一部である。

    Google Cloudの責任共有モデルを理解する

    他のパブリック・クラウド・プロバイダーと同様、Google Cloudは、クラウドとそのユーザーの間で分担されるセキュリティ・タスクの概要を示す責任共有モデルに従っている。このモデルでは、Googleは物理インフラから仮想化レイヤーまでのコンポーネントを管理・制御する。ハードウェア、ソフトウェア、ネットワーキング、設備など、基盤となるインフラはグーグルの責任である。

    ユーザーは、これらのクラウド内でデータを保護し、アプリケーション・セキュリティ、アイデンティティおよびアクセス管理を管理し、ネットワーク制御を構成する責任を負う。このモデルでは、セキュリティ・リスクを効果的に管理するために、ユーザーが自分の責任の所在を理解する必要がある。

    強力な認証方法やデータの暗号化など、ユーザーが管理する領域でセキュリティのベストプラクティスを実施することは極めて重要だ。グーグルが安全な基盤を提供してくれることを期待しつつも、これらのツールやプロセスを適切に使用する責任は顧客にある。

    Google Cloudセキュリティの主な構成要素

    1.インフラセキュリティ

    グーグル・クラウドのインフラ・セキュリティは、複数のセキュリティ・レイヤーを統合してハードウェア、ソフトウェア、オペレーションを保護する、深層防衛戦略に基づいているとされている。グーグルは、ハード化されたバージョンのLinuxとTitanチップのようなチップを使用してハードウェア・インフラを設計し、ハードウェアのルート・オブ・トラストを確立する。この設計は、「ベンダー・イン・ザ・ミドル」問題などのリスクを最小限に抑えることを意図している。

    このプラットフォームは、安全なサービス展開、運用デバイスのセキュリティ、ユーザーIDやインターネット通信の保護を保証する。これらの対策は、情報処理のライフサイクルの様々な段階で適用される。

    2.ネットワークセキュリティ

    他のクラウド・プロバイダーと同様、ネットワーク・セキュリティはグーグルと顧客の間で共有される責任である。グーグルは、パブリック・インターネットを介した安全で暗号化されたトラフィックを確保し、ネットワーク攻撃に対する防御を提供することが期待されている。顧客は、アプリケーションの境界を定義し、ネットワークのセグメンテーションを管理し、DoS防御のような追加の保護を実装する責任がある。

    Google Cloudの仮想プライベートクラウド(VPC)は、トラフィックをパブリックインターネットに公開することなく、リージョン間のプライベート接続を可能にするように設計されています。共有VPCでは、組織内の複数のプロジェクトが単一のVPCネットワークを安全に共有できる。VPCフローログ、グローバル分散ファイアウォール、VPCサービスコントロールなどの追加機能は、境界セキュリティを拡張し、ネットワーク監視とアクセス管理を可能にすることを目的としている。

    3.アプリケーションのセキュリティ

    Google Cloudにおけるアプリケーションのセキュリティ確保には、ビルトインツールと顧客主導のプラクティスの組み合わせが必要です。認証と承認の仕組みの実装、悪意のあるトラフィックのブロック、API のセキュリティ確保はお客様の責任です。

    Google Cloudは、一般的な脅威を軽減する可能性のあるWebアプリおよびAPI保護(WAAP)ソリューションを提供しています。これには以下が含まれます。クラウド・アーマーこれは、地域やレイヤー7パラメーターによってウェブリクエストをフィルタリングするものである、reCAPTCHAエンタープライズボット保護アピジーAPIゲートウェイDDoS攻撃のような脅威からAPIを保護することが期待されている。

    クラウドIDS (侵入検知システム)は、マルウェアやスパイウェアなどの脅威を検知するマネージド型のクラウド・ネイティブ・サービスを提供している。さらにクラウド負荷分散アプリケーションの可用性を確保するために、レイヤ3およびレイヤ4のDDoS攻撃から保護します。

    4.ソフトウェア・サプライチェーンのセキュリティ

    Google Cloudは、ライフサイクル・セキュリティを通じてソフトウェアのサプライチェーンの完全性を保護することを目指している。そのバイナリ認証このサービスは、デプロイ時にソフトウェア・コンポーネントの真正性を検証し、組織のポリシーに適合していることを保証するものだ。グーグルはまた、脆弱性スキャンなどの対策も統合している。アーティファクト登録を使った依存関係の洞察オープンソース・インサイト.

    このプラットフォームは、段階的なセキュリティ成熟度レベルを提供するSupply Chain Levels for Software Artifacts(SLSA)フレームワークの採用をサポートしている。このプラットフォームは、ビルドツール、テスト、プロセスの認証を通じて、顧客が信頼の連鎖を確立するのを支援するサービスを提供する。

    5.データセキュリティ

    Confidential Computingでは、データの使用中に暗号化を行うことができます。顧客は独自の暗号鍵(CSEK)を使用するか、Googleの鍵管理サービス(KMS)、ハードウェア・セキュリティ・モジュール(HSM)、または外部キー・マネージャー(EKM)を使用することができます。

    Google Cloudはまた、Cloud DLP(Data Loss Prevention)のようなツールを使って、組織が機密データを特定し、保護するのを支援することも目指している。このサービスは、不正アクセスやデータの流出を防ぐために、データを検出、分類、保護する。

    6.アイデンティティとアクセス管理

    グーグル・クラウドはクラウド・アイデンティティユーザー認証のためのIDプロバイダー(IdP)として、2段階認証やOktaやAzure ADなどのサードパーティIdPとの統合などの機能をサポートしている。認証クラウドIAM (Identity and Access Management)は、よりきめ細かなアクセス制御を提供し、組織がリソース全体で「誰が、どこで、何をできるか」を定義できるようにする。

    Google Cloud はまた、BeyondCorp Enterpriseを通じてゼロトラスト・アプローチをサポートし、指定された条件を満たさないユーザーやデバイスがリソースにアクセスできないようにすることを目指している。IAMポリシーとロールは、アクセス制御の一元管理を可能にする可能性がある。

    7.エンドポイントセキュリティ

    Google Cloudのエンドポイントセキュリティは、リソースにアクセスするデバイスが保護され、組織のポリシーに準拠していることを保証します。次のようなツールがあります。エンドポイント検証管理者はデバイスベースのアクセス制御を実施し、安全なデバイスだけがクラウドリソースに接続できるようにすることができる。

    Web Risk APIやSafe​ ​Browsingなどの脅威検知サービスは、悪意のあるURLをブロックし、フィッシングやマルウェアのリスクをユーザーに警告する。定期的なパッチ管理、ディスクの暗号化、セキュア・ブートにより、脆弱性をさらに最小化することを目指し、モバイル・デバイス管理(MDM)ソリューションと統合することで、コンプライアンス・ポリシーの実施、リスクの高いデバイス機能の制限、危険にさらされたエンドポイントのリモート・ワイプなどが可能になる。

    Google Cloudはまた、以下のようなゼロトラスト・セキュリティ・モデルを採用しています。ビヨンドコープ・エンタープライズこれは、デバイスやユーザーがリソースにアクセスする前にセキュリティ条件を満たすことを要求するものである。管理者は、次のようなツールを使用してエンドポイントのアクティビティを監視することができる。セキュリティ・コマンド・センターそしてクラウドロギング不審な行動を検知し対応する。

    8.セキュリティの監視と運用

    Google Cloudのセキュリティ監視と運用機能は、継続的な脅威の検知と修復を可能にすることを目的としている。そのセキュリティ・コマンド・センター集中監視ソリューションとして機能し、設定ミスの特定、脅威の検出、コンプライアンスの確保を行います。クラウドロギング監査ログは、管理者の活動やリソースへのアクセスを追跡し、「誰が、いつ、どこで、何をしたか」といった疑問に答えるのに役立ちます。

    その他のツールには、Googleの担当者が顧客のコンテンツに対して行ったアクションを記録する「Access Transparency」や、プレイブックの自動化、脅威インテリジェンス、ケース管理を通じてインシデント対応を簡素化する「Siemplify SOAR」などがある。

    関連コンテンツガイドを読むセキュリティ分析

    7 Google Cloudセキュリティのベストプラクティス

    Google Cloudを使用する場合、セキュリティを確保するために以下のプラクティスを考慮することが重要です。

    1.定期的なトレーニングと意識向上プログラムの実施

    サイバーセキュリティは常に進化している分野であり、攻撃者はシステムを悪用する新しい手法を開発しています。組織は、従業員、管理者、技術チームを対象に、最新の攻撃ベクトル、フィッシング手法、ソーシャル・エンジニアリングの手口に関する情報を得るためのトレーニング・セッションを頻繁に実施する必要があります。

    Google Cloud のセキュリティ・ベストプラクティス・センターは、ツール、文書、リソースの一元的なリポジトリーを提供する。さらに、組織は、特定のセキュリティニーズやユースケースに対応するように、これらのトレーニングセッションをカスタマイズする必要がある。例えば、開発者は安全なコーディングの実践に関するトレーニングが必要かもしれないし、管理者は誤った設定の認識と対処に重点を置くかもしれない。

    2.Google Cloud Security Blueprintsの活用

    セキュリティ ブループリントは、Google Cloud 環境全体でセキュリティを実装するための構造的なアプローチを提供します。これらのブループリントは、基本的なセキュリティ制御を構成するための規定ガイダンスを提供し、組織が最初からベストプラクティスに従うことを保証します。

    例えば、Google Cloud Security Foundations Blueprintには、デプロイメントパイプラインの保護、アイデンティティとアクセス制御の管理、静止時と転送時のデータの暗号化の実装について、ステップバイステップで説明されています。ブループリントは、Google Cloud を使い始めたばかりの組織にとって役立つ可能性があります。

    3.組織設計とリソースの分離を重視する

    Google Cloudでは、セキュリティと運用効率を維持するために考え抜かれた組織構造が不可欠です。リソース分離の原則により、チーム、プロジェクト、リソースが分離され、不正アクセスを防止し、重要なシステムへの偶発的な変更のリスクを低減します。

    Google Cloudのリソース階層は、分離と制御を強化することを目的としている。リソースをフォルダ、プロジェクト、課金アカウントに整理することで、組織は各階層に特化した IAM ポリシーを実装できる。例えば、機密性の高い本番環境リソースへのアクセスを特定のユーザーやチームに制限する一方で、開発環境には広くアクセスできるようにすることができる。

    また、リソースの分離により、企業はセキュリティ管理をより効果的に適用できるようになる。例えば、仮想プライベート・クラウド(VPC)やサブネットを使用したネットワーク・セグメンテーションにより、1つのネットワークで侵害が発生しても、他のネットワークに影響が及ぶことはありません。また、リソースを分離することで、機密データやシステムの境界が明確になり、コンプライアンス監査が容易になります。

    4.セキュリティワークフローの自動化

    自動化により、人的ミスのリスクを低減し、Google Cloud 環境全体で一貫したセキュリティ ポリシーの実施を保証します。Cloud Functions、Cloud Run、Cloud Buildなどのツールを使用して、ポリシーの適用、脆弱性のスキャン、脅威の検出などのタスクを自動化できます。

    例えば、組織は自動化されたワークフローを設定することで、設定ミスを検知し、手動で介入することなく修正することができる。ファイアウォールのルールが誤って変更され、一般からのアクセスが許可された場合、自動化された機能がその変更を検出し、安全な設定に戻すことができる。

    自動化によって、コンプライアンスへの取り組みも簡素化できる可能性がある。例えば、Infrastructure as Code(IaC)ツールを使用することで、企業はセキュリティポリシーを成文化し、デプロイメント全体で一貫して適用されるようにすることができる。

    5.強力なバックアップと災害復旧計画の採用

    バックアップとディザスタリカバリ戦略は、データ損失、システム障害、またはサイバー攻撃に直面しても、ビジネスの継続性を確保することを目的としています。グーグル・クラウドのクラウドストレージは、データをバックアップするためのスケーラブルなソリューションを提供します。バージョニングを有効にすることで、組織はデータの複数のコピーを保持し、不慮の削除やランサムウェア攻撃から保護することができます。

    組織はまた、可用性と耐障害性を向上させるために、重要なアプリケーションにマルチリージョンを導入すべきである。例えば、データベースを複数のリージョンで複製することで、あるリージョンで障害が発生した場合でも、サービスが稼働し続けるようにすることができる。バックアップとリカバリのプロセスを定期的にテストすることも同様に重要である。

    6.外部への露出を制限する

    外部への露出を制限することで、攻撃対象領域を減らし、攻撃者が脆弱性を悪用することをより困難にします。組織はGoogle CloudのVPCを利用してリソースを分離し、機密システムへのアクセスを制御できる可能性がある。ファイアウォールのルールは、必要なトラフィックのみを許可するように設定する必要があります。

    例えば、組織は特定のIPアドレスからの接続のみを許可することで、仮想マシンへのSSHアクセスを制限することができる。同様に、Google Cloud Armorのようなサービスは、DDoS攻撃やその他のWebベースの脅威からアプリケーションを保護するのに役立つ。デフォルトでは、組織はすべての受信トラフィックを拒否し、信頼できるソースのみを明示的に許可する必要がある。

    7.最小特権の原則に従う。

    最小特権の原則(PoLP)は、ユーザ、アプリケーション、およびサービスが、それぞれのタスクを実行するために必要な最小限の権限のみを持つことを保証し、偶発的または悪意のある誤用のリスクを低減します。例えば、ユーザに対してプロジェクトの "Editor "ロールを与える代わりに、組織は "Storage Object Viewer "や "Compute Instance Admin "といった特定のロールを割り当てるべきです。このようなきめ細かなアプローチにより、漏洩したアカウントやサービスの影響を最小限に抑えることができる。

    組織はIAMポリシーの定期的な監査を実施し、過剰な権限や古いロールを特定する必要がある。Google CloudのIAM Recommendercのようなツールは、パーミッションを自動的に分析し、より制限的なポリシーを提案するのに役立つ。さらに、多要素認証(MFA)を有効にすることで、機密アカウントの保護レイヤーを増やすことができる。

    関連コンテンツガイドを読むAIサイバーセキュリティ

    エクサビームGoogle Cloudセキュリティのサポート

    Exabeamは、Googleクラウド・セキュリティ・ソリューションとシームレスに統合することで、Googleクラウドのお客様のセキュリティ体制を強化します。組み込み済みのAPIとネイティブ・コネクタにより、ExabeamはGoogle Chronicle、Google Security Operations、その他のクラウドネイティブなセキュリティ・ツールからのデータ取り込みを簡素化し、迅速な脅威の検知と対応を実現します。

    行動分析と自動化された脅威調査を活用することで、ExabeamはGoogle Cloud環境全体の可視性を高め、アラートによる疲労を軽減し、セキュリティチームが真の脅威を迅速に特定できるようにします。ハイブリッド環境であれ、完全なクラウドベース環境であれ、ExabeamのAI主導型セキュリティオペレーションプラットフォームは、コンテキストに基づいた洞察を提供し、調査を迅速化し、コンプライアンス活動を合理化します。

    エクザビームは、セキュリティ情報・イベント管理(SIEM)ソリューションのリーディング・プロバイダーであり、UEBA、SIEM、SOAR、TDIRを組み合わせてセキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。

    主な特徴

    • スケーラブルなログ収集と管理:オープンプラットフォームは、ログのオンボーディングを70%高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
    • 行動分析:高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
    • 脅威対応の自動化:インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
    • 状況に応じたインシデント調査:Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
    • SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
    • NetMonによるネットワークの可視化:ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。

    Exabeamの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、コスト削減と業界トップクラスのサポートを維持しながら、セキュリティ人材のレベルアップを図り、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。詳細はExabeam.comをご覧ください。

    クラウドセキュリティの主要トピックに関するその他のガイドを見る

    コンテンツ・パートナーとともに、クラウド・セキュリティの世界を探求する際に役立つその他のトピックについても、詳細なガイドを執筆しています。

    不変バックアップ

    著者:N2W

    クラウド資産目録

    作成者:CloudQuery

    クラウド・ガバナンス

    作成者:CloudQuery

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。

    • 機能概要

      Exabeam Fusionグーグル・クラウド上

      今すぐ読む
    • ホワイトペーパー

      クラウドネイティブSIEMを選択するための戦略的フレームワーク

      今すぐ読む
    • ガイド

      すべてのCIOがSIEMについて尋ねなければならない9つの質問

      今すぐ読む
    • ブログ

      2025 年の解読MITRE ATT&CK ®Evals:明確化の要請とアナリストの手引き

      今すぐ読む
    • もっと見る