★☆★JNSAメールマガジン 第172号 2019.10.4 ☆★☆

こんにちは
JNSAメールマガジン 第172号 をお届けします。

コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。

今回のメールマガジンはグーグル・クラウド・ジャパン合同会社の森永大志氏にご寄稿いただきました。

【連載リレーコラム】
クラウドセキュリティに対するGoogle Cloud の取り組み

グーグル・クラウド・ジャパン合同会社 カスタマーエンジニア 森永大志

ここ数年、沢山のお客様とパブリッククラウド導入についてお話する機会を頂戴していますが、お客様がクラウドを選択する目的は年々変わってきていると感じています。以前はコスト削減が一番の目的で、セキュリティはクラウド移行を阻害する要因のひとつでした。しかし最近では、自社でセキュリティを担保するより、クラウドを使ったほうがより高いセキュリティを低コストで確立できるという認識のお客様が増えてきています。今回はJNSAメールマガジンをお読みいただいている方々向けに Google のパブリッククラウドのプロダクトおよびサービスのスイートである Google Cloud Platform で、セキュリティとコンプライアンスを実現するために Google が行っている取り組みについて簡単に説明させていただきます。

Google ではセキュリティを最も重要な事項だと考えています。セキュリティを担保するためには単一の対策ではなく多層的な対策が必要不可欠です。
これには、セキュリティ文化や運用など技術的な要素以外も含まれます。

Google では社員を採用する前にバックグラウンドチェックを行い、入社後も定期的に全社員を対象としたセキュリティ研修を実施しています。また、社内にはセキュリティを専門にするチームがあり、世界有数のセキュリティ専門家が所属しています。このチームはプロダクトチームと連携し、Google が提供する全てのプロダクト、サービスについてセキュリティ評価、監査を行っています。セキュリティチームの中に「プロジェクト ゼロ」という専門チームがあります。このチームはゼロデイ攻撃を防ぐことを目的に設立され、様々なソフトウェアの脆弱性について研究しています。例えば、昨年彼らは、Spectreや Meltdown といったプロセッサの脆弱性を発見しました。このチームは指定の攻撃を防ぐことを目的とし、自社の利用だけではなく、これらのバグをソフトウェア ベンダーに報告して外部データベースに記録しています。

運用面でも様々な取り組みを行っています。例えばセキュリティモニタリングでは、内部のネットワークトラフィック、社員によるシステム操作、外部に知られている脆弱性などを対象に行なっています。内部のトラフィックで疑わしい動作がないかを確認するために、オープンソース、商用ツールに加え、独自に開発した相関システムも用いて解析を行っています。どんな対策を行っていても、セキュリティに100%はありえないため、万が一インシデントが発生してしまった際の対応を考えておくことは極めて重要です。そのため、インシデント発生時の行動方針、通知、エスカレーション、対処、および文書化のための手順などが整備されています。こちらのインシデント管理プログラムは、インシデントの処理に関する NIST ガイダンス( NIST SP 800-61 )に基づいて策定されています。

これに加えて、Google が独自に作り上げてきた技術がセキュリティを強固なものとします。Google では物理的なセキュリティを担保するためにデータセンターを設計しました。多層防御を念頭に置き、データセンターへの車両セキュリティゲートからフェンス、電子アクセスカードや生体認証など独自に作り上げた安全対策を行っています。そこで使用するサーバやネットワーク機器も独自に設計し製造したものです。一般販売されているハードウェアには、使用しないチップセットや周辺機器コネクタなどがあるため、そこが脆弱性を引き起こす可能性があるためです。また、その上で動く OS についても脆弱性のリスクを軽減するために無駄をなくしたものを使用しています。どんなに堅牢な物理セキュリティを行っていても、ずさんな廃棄をしていてはそこで漏洩の可能性が出てきてしまいます。そのため、Google では徹底したアセット管理を行い、全ての機器の場所と状態を、購入して破棄、破壊するまで管理しています。また、ハードドライブの破棄は、ディスクをゼロ書き込みで消去した後、削除されたことの検証、物理的な破壊を行い、データが万が一にも復元できない状態にしてから行います。

他にも、 Google のみならず、インターネット環境を安全にするための様々なセキュリティに対する取り組みを行っています。
こちら ( https://cloud.google.com/security/overview/whitepaper?hl=ja )に上記内容含め多くの取り組みを記載させていただいております。ぜひご一読ください。最後までお読みいただきありがとうございました。皆様が GoogleCloud Platform を使ってセキュアなサービスを構築する一助になることができれば幸甚です。

 

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

<ワンクリックアンケートお願い>
今回のメールマガジン172号の感想をお寄せください。
https://bit.ly/2kHCFru
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】
★「SECCON Beginners 2019 福岡」の参加登録を開始しました!
  詳細・登録は「SECCON2019」から↓
  https://www.seccon.jp/2019/

★社会活動部会では、総務省情報通信政策研究所の主任研究官を講師にお迎えして 「AIガイドライン説明会」を開催します。
 日時:2019年 10月8日(火)16:00-18:00
 参加については、JNSA事務局まで。

★事業コンプライアンス部会で策定した「サイバーセキュリティ業務における倫理行動宣言」に賛同いただいた企業を公開しております。
 https://www.jnsa.org/cybersecurity_ethics/


【事務局からのお知らせ】
★「JNSA全国横断セキュリティセミナー2019」参加受付中です。
 CAISとCISSPポイント、ITC実践力ポイント付与対象セミナーとなります。
 [札幌会場]
 日程:2019年10月23日(水)13時30分-17時00分
 会場:かでる2.7 710会議室(札幌市中央区北2条西7丁目)
[沖縄会場]
 日程:2019年11月7日(木)13時30分-17時00分
 会場:沖縄産業支援センター 大ホール(那覇市字小禄1831番地1)
 
 お申込みはこちら↓
 http://www.jnsa.org/seminar/2019/cross2019/

★JNSAは、(ISC)2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。
受講の際にはぜひ事務局までご連絡下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

↓ 以下、 JNSA会員企業からのご案内です
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
●▲■・‥‥……━━━━━━━━━━━━━━━━━━━━━━
ポスト2020に向けて、ヒトもテクノロジーも          
             「セキュリティをRe:デザイン」しよう
   https://www.gsx.co.jp/seminar/seminar_191029.html   
━━━━━━━━━━━━━━━━━━━━━……‥‥・・●▲■
今日、トレンドは変わろうともクラウド環境やリモート端末などセ
キュリティ対策を施す対象や目指すセキュリティ人材像は大きく変
化していないのが実情ではないでしょうか。
本セミナーでは、現在に至るまで施されてきたあらゆるセキュリテ
ィ対策をRe:デザインすべく、 最新のセキュリティ対策の考え方を
踏まえた、これまでとこれからをつなぐ未来のセキュリティデザイ
ンをご案内します。
・‥‥…━━━━━━━━━━━━━━━━━━━━━━…‥‥・
是非お気軽にご参加のほど、どうぞよろしくお願いいたします。
/// GSX /// グローバルセキュリティエキスパート株式会社 ///

============================================================

イベント名: Trend Micro DIRECTION
会期:2019年11月15日(金)10:00-18:00
会場:ザ・プリンスパークタワー東京
詳細:プログラムについては、下記特別サイトをご覧ください。
https://direction.trendmicro.com
事前登録制(無料)上記サイトよりお申し込みください。
本年は「Securing Your Connected World」をテーマとし
午前の特別講演では、内閣サイバーセキュリティセンター副センタ
ー長の山内様をお迎えし、日本のサイバーセキュリティ戦略をもと
に企業/組織に求められる対策についてお話しいただきます。
また、午後の専門セッションでは、働き方改革に伴うリモートワ
ークの普及やDevOpsを実現するためのコンテナ環境の利用、
IoT、5Gといった変化するIT環境に伴う、セキュリティのあるべき
姿を各専門分野のスペシャリストのセッションを交え解説します。
トレンドマイクロ株式会社

============================================================

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【名古屋】CTIセキュリティセミナー2019
―内部犯行から組織の重要情報を守るには―
2019年11月8日(金)14:00〜17:00(開場 13:30)
株式会社中電シーティーアイ
愛知県名古屋市東区東桜1-3-10 東桜第一ビル5階
参加費:無料(定員:先着90名様)
お申込み期限:2019年11月1日(金)
▼詳細/お申し込みはこちらからお願いします。
https://info.it-builder.jp/app/CTISS/welcome2019
━講演内容━━━━━━━━━━━━━━━━━━━━━━━━━
・「従業員を内部不正から遠ざけるために」 小屋 晋吾 氏
・「内部犯行やサイバー攻撃から
企業の秘密情報を守るための初手」 佐藤 将史 氏
株式会社中電シーティーアイ

============================================================

==============================
【無料セミナー】 トレノケート株式会社 主催
DX時代のIoTセキュリティ最新トレンド エッジからクラウドまで
==============================
本セミナーでは 従来の情報セキュリティ対策を踏まえ、
IoTを利用する上で想定すべき脅威とその対策を俯瞰し、
具体的な解決策を6社からご紹介します。
・アマゾン ウェブ サービス ジャパン株式会社
・株式会社ユビキタスAIコーポレーション
・ルネサス エレクトロニクス株式会社
・エス・ティー・マイクロエレクトロニクス株式会社
・IARシステムズ株式会社
・トレノケート株式会社
▼無料セミナーの詳細・お申し込みはこちらから▼
https://globalknowledge.smktg.jp/public/seminar/view/384

============================================================

▼▼ 「富士通SSLソリューションフォーラム2019」
▲▲ 〜 デジタルテクノロジーでみらいを創る 〜
富士通SSLは、プライベートフォーラム「富士通SSLソリューション
フォーラム2019」を10月17日〜18日に開催します。
本フォーラムでは、セキュリティやデータマネジメントの最新
ソリューションをはじめ、これからのDX時代を支えるテクノロジー
や新たな取り組みについてデモ展示形式でご紹介します。
また、各方面に精通した有識者を講師としてお迎えし、セミナーを
実施します。皆様のご来場をお待ちしております。
会 期:2019年10月17日(木)〜10月18日(金)
会 場:川崎市コンベンションホール(武蔵小杉)
↓詳細および参加申し込みはこちらから↓
http://www.fujitsu.com/jp/group/ssl/about/resources/events/forum/

株式会社富士通ソーシアルサイエンスラボラトリ(富士通SSL)

============================================================

マルウェアの最新トレンドがわかる!最新レポートを公開

セキュリティ情報サイト「マルウェア情報局」にて2019年
上半期のマルウェア検出状況をまとめたレポートを公開しました。

【 2019年 上半期レポートのトピック 】
・2019年上半期マルウェア検出統計
・Emotetの感染を狙ったばらまき型メール
・GandCrabの終焉
・圧縮・展開ソフトウェアの脆弱性を悪用したマルウェア
・売買される脆弱性情報

 ▼レポートの詳細はこちら▼
https://eset-info.canon-its.jp/lp/malware1909.html
[キヤノンマーケティングジャパン株式会社]

============================================================

脆弱性診断に必要なスキルを証明する"実"力主義の認定制度、
「UBsecure Certification」を創設しました。
第一弾として、Vexを使った脆弱性診断のスキルを証明する
技術者認定制度、「Vex Certification」のエントリーレベル試験
「Vex Certification Entry」の申込の受付を開始しました。
試験対策教材と1回分の受験チケットががセットになった、
「Entry試験パック」も販売開始しております。
"実"践的な、"実"力を試せる、"実"務に役立つ、認定制度です。
ぜひこの機会にチャレンジしてみませんか?

 ▼詳細はこちらから▼
https://www.ubsecure.jp/training/ubsecure-certification/

【株式会社ユービーセキュア】

============================================================

*************************************
JNSAメールマガジン 第172号
発信日:2019年10月4日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.