Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2024年のGoogle Cloud セキュリティ関連アップデートからみた クラウドセキュリテ...

Avatar for Momoko Murakami Momoko Murakami
January 15, 2025
0
8

2024年のGoogle Cloud セキュリティ関連アップデートからみた クラウドセキュリティ動向 / Cloud Security Insights in 2024: Learnings from Google Cloud Security Updates

DevFest Tokyo 2024 発表スライド

Avatar for Momoko Murakami

Momoko Murakami

January 15, 2025
Tweet

More Decks by Momoko Murakami

See All by Momoko Murakami
iret tech labo #20 今すぐ安全に Google Cloud を始めて (ついでに)認定資格も取ろう! / Getting Started on Google Cloud (and Certification)
Avatar for Momoko Murakami iret_mmurakami
0
180

Featured

See All Featured
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.8k
Docker and Python
Avatar for Tania Allard trallard
45
3.5k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
31
2.2k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
56
5.8k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1.1k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.5k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
2
550

Transcript

  1. Momoko Murakami アイレット株式会社 セキュリティエンジニア 2024年の Google Cloud セキュリティ関連アップデートからみた クラウドセキュリティ動向 GDG

    DevFest Tokyo 2024 1

  2. 01 02 03 アジェンダ Google Cloud のセキュリティサービス 2024年の主なアップデート 最近のクラウドセキュリティ動向 2

  3. 01. Google Cloud の セキュリティサービス 3

  4. 01. Google Cloud のセキュリティサービス Identity-Aware Proxy Identity and Access Management

    Cloud Identity ID管理 Access Transparency Security Command Center Cloud Next Generation Firewall VPC Service Controls Assured Workloads Cloud Data Loss Prevention Cloud Key Management Cloud Armor reCAPTCHA Enterprise Identity Platform Cloud IDS Organization Policy ネットワーク 制御 アプリ保護 データ保護 全体統制 ほか、各サービスの NW 設定など Chrome Enterprise Google Security Operations 4

  5. 01. Google Cloud のセキュリティサービス 2020 2021 2022 2023 2019 2018

    2017 2016 2014 2012 2011 2010 2008 App Engine Cloud Storage, BigQuery Cloud SQL Compute Engine Container Engine (現 Kubernetes Engine) Cloud IAM Cloud Spanner, Cloud Armor, Cloud DLP, Identity Aware Proxy, Cloud KMS, Organization Policy Cloud Identity, Identity Platform, Cloud Asset Inventory, VPC Service Controls, Security Command Center Secret Manager, Chronicle (現 Google Security Operations) reCAPTCHA Enterprise, Assured Workloads Access Transparency, BeyondCorp Enterprise (現 Chrome Enterprise) GCP から Google Cloud へ Cloud NGFW, Assured OSS 5

  6. 02. 2024年の主なアップデート 6

  7. 02. 2024年の主なアップデート Identity-Aware Proxy Identity and Access Management Cloud Identity

    ID管理 Access Transparency Security Command Center Cloud Next Generation Firewall VPC Service Controls Assured Workloads Cloud Data Loss Prevention Cloud Key Management Cloud Armor reCAPTCHA Enterprise Identity Platform Cloud IDS Organization Policy ネットワーク 制御 アプリ保護 データ保護 全体統制 ほか、各サービスの NW 設定など Chrome Enterprise Google Security Operations 7

  8. 02. 2024年の主なアップデート Identity-Aware Proxy Identity and Access Management Cloud Identity

    ID管理 Access Transparency Security Command Center Cloud Next Generation Firewall VPC Service Controls Assured Workloads Cloud Data Loss Prevention Cloud Key Management Cloud Armor reCAPTCHA Enterprise Identity Platform Cloud IDS Organization Policy ネットワーク 制御 アプリ保護 データ保護 全体統制 ほか、各サービスの NW 設定など Chrome Enterprise Google Security Operations 新サービス追加無し 8

  9. 02. 2024年の主なアップデート Identity-Aware Proxy Identity and Access Management Cloud Identity

    ID管理 Access Transparency Security Command Center Cloud Next Generation Firewall VPC Service Controls Assured Workloads Cloud Data Loss Prevention Cloud Key Management Cloud Armor reCAPTCHA Enterprise Identity Platform Cloud IDS Organization Policy ネットワーク 制御 アプリ保護 データ保護 全体統制 Privileged Access Manager ほか、各サービスの NW 設定など Chrome Enterprise Google Security Operations 9

  10. 02. 2024年の主なアップデート Privileged Access Manager (PAM) リリース Identity and Access

    Manager (IAM) 機能の1つとして、 必要な時に、必要な期間だけ、アクセス権限を申請・付与できる 特権アクセス管理 機能がリリースされました 10

  11. 02. 2024年の主なアップデート PAM リリース以前の運用 必要な時だけ権限付与するには、 手動の承認・付与プロセスを経る、申請・承認の仕組みを自前で構築する、3rd party の PAM 製品を使う、などが必要でした

    → 管理者以外にも普段使わない権限が常時付与されている状態になりがち 11

  12. PAM 活用で実現できること 02. 2024年の主なアップデート • 最小権限による運用 • 監査ログ記録 (申請・承認など) •

    付与した権限の取り消し 12

  13. 02. 2024年の主なアップデート Security Command Center (SCC) Enterprise tier リリース AWS

    や Azure にも対応し、SIEM や SOAR、CIEM などの機能も加え、 大幅強化されたEnterprise tier が CNAPP としてリリースされました CNAPP (Cloud Native Application Protection Platform): クラウドネイティブなシステムのセキュリティを統合管理するプラットフォーム CSPM、CIEM、ランタイム保護、脆弱性スキャン等々の機能を含む 13

  14. 02. 2024年の主なアップデート Security Command Center とは? 今年のアップデート以前は、主に以下のような機能がありました • Google Cloud

    リソースの設定不備チェック ◦ CIS Benchmarks などのフレームワークによるチェックも • Google Cloud のリソースに対する脅威検知 • GKE・GCE のランタイム脅威検知 • Google Cloud の他サービスからの脆弱性検出結果集約 ◦ GKE、GCE、Web Security Scanner 14

  15. 02. 2024年の主なアップデート マルチクラウド対応 AWS や Azure※ の • 設定不備チェック ◦

    いわゆる CSPM (Cloud Security Posture Management) ◦ 複数の検知事項を組み合わせて高リスクのリソースを特定する機能も • CIEM (Cloud Infrastructure Entitlement Management) ◦ 特権保有、MFA 未設定などのリスクのあるユーザーやロールを特定 • 脅威検知 ◦ クラウドのログに基づき異常・不正なアクティビティを検知 ※ Azure は未対応の機能あり 15

  16. 02. 2024年の主なアップデート Google Security Operations (旧 Chronicle) 統合 以下の機能が加わり、分析や自動対応が可能に •

    SIEM (Security Information and Event Management) • SOAR (Security Orchestration, Automation and Response) 生成 AI による検知の要約機能、検知ルール生成機能、 分析クエリ生成機能なども備えている 16

  17. 02. 2024年の主なアップデート デフォルト安全になる Organization Policy 追加 新規作成された Google Organization において、

    Service Account Key を作成不可にする Organization Policy が デフォルトで有効になりました 既存環境・新規環境ともに、漏えいした Service Account Key を 自動で無効にする Organization Policy がデフォルトで有効になりました その他3つほどデフォルト有効に https://cloud.google.com/iam/docs/release-notes#May_03_2024 17

  18. 02. 2024年の主なアップデート Organization Policy とは? Google Cloud のリソースの設定を一元管理するサービスで、 例えば以下のような制約を強制することが可能です •

    組織外部へのリソース共有を制限する • リソースを作成できるロケーションを制限する • 利用可能な Google Cloud サービスを制限する Folder Project Folder Policy-A Policy-A (継承) Policy-B (オーバー ライド) Project Policy-B (継承) 18

  19. 02. 2024年の主なアップデート 2025年 Google Cloud ログイン時の多要素認証 (MFA) 必須化 https://cloud.google.com/blog/products/identity-security/mandatory-mfa-is-coming-to-google-c loud-heres-what-you-need-to-know

    19

  20. 03. 最近のクラウドセキュリティ動向 20

  21. 03. 最近のクラウドセキュリティ動向 クラウドに対する脅威は変わらず Unit 42 Cloud Threat Report Vol.7 https://www.paloaltonetworks.com/prisma/unit42-cloud-threat-research

    Google Cloud Cybersecurity Forecast 2025 Report https://cloud.google.com/security/resources/cybersecurity-forecast 設定不備や、強い権限を持つユーザー/サービスアカウントは大きなリスク AIによる攻撃の増加も予想されている中、 守る側も AI などを活用してリスクの優先順位付けや自動対応を行う必要がある 21

  22. 認証・認可の管理の強化・効率化 境界で守られていないクラウド環境では、 ユーザーやサービスアカウントが攻撃の入口となるが、 侵害事例が後を絶たないため、クラウド側もサービスや機能強化を進めている • PAM や CIEM による最小権限の実現 •

    Organization Policy によるリスク除去 • MFA 必須化によるユーザー不正利用抑止 03. 最近のクラウドセキュリティ動向 22

  23. 03. 最近のクラウドセキュリティ動向 クラウド自身のセキュリティサービスで 他クラウドまで保護する これまでセキュリティベンダーがソリューションを提供していた領域 (マルチクラウド管理、複数機能による検知の統合分析など) を クラウド自体が機能として提供するようになってきている • Security

    Command Center Enterprise 料金面だけでなく、主となるクラウドや環境、サポート、運用面など 多角的に比較して選択するのをおすすめ 23

  24. 03. 最近のクラウドセキュリティ動向 既存の検知情報を組み合わせ、 早く効率よく対応する 真新しい検知サービスはもはや登場しなくなっているが、 複数のクラウドやデータソースからイベント・脆弱性情報を集約して 総合的に見てリスクの高いものを特定する、 生成 AI でセキュリティイベントの調査や対応を自動化するなど、

    効率化する仕組みが整ってきている • Security Command Center Enterprise 24

  25. おわりに 25

  26. デフォルト安全な方向に向かいつつある Google Cloud ですが、 AI の活用などにより攻撃は容易になり、 リスクを優先順位付けして効率よく対応する必要性が更に高まっています Google Cloud を既に使っている方も、これから使う方も、

    安全にサービスを提供・運用するために、 是非セキュリティ機能をご活用ください! 26

  27. Thank you! 27