Google と Center for Internet Security, Inc. は今週、公共部門のデジタル セキュリティの向上を目標に Google Cloud Alliance を立ち上げました。
インターネット セキュリティ センターは、増大するサイバー脅威に対処し、CIS Critical Security Controls や CIS Benchmarks などの一連のサイバーセキュリティ プロトコルと標準を確立するために 2000 年に設立され、サイバー脅威に対処する州政府や地方政府を支援しています。
Google Cloudは共同声明で、Threat HorizonsレポートやMandiantウェブインテリジェンス部門からの知見を含むGoogleサイバーセキュリティ対策チームのメンバーとサービスを活用し、「特にクラウドの態勢と全体的なサイバーセキュリティの実践に関連する、より広範なテクノロジーエコシステムのセキュリティ確保」に取り組んでいくと述べた。
TechRepublicの報道によると、Googleは今月、JavaおよびPythonエコシステム向けのAssured Open Source Software(Assured OSS)サービスを無償でリリースしました。これは、政治的動機によるサービス拒否攻撃の増加傾向を受けての措置です。
検索エンジン大手はこれに応えて、政府サイト、ニュースサイト、独立系ジャーナリスト、投票や人権関連のサイトを対象に、分散型DDoS防御「Project Shield」をリリースした。
ジャンプ先:
- 州、地方、部族、領土政府の安全確保
- 倫理的なハッカーの保護
- 脆弱性の公開を義務付ける提案への対応
州、地方、部族、準州の政府組織のセキュリティ確保
Google Cloud は最近、連邦政府、州政府、地方自治体、教育機関をサポートするために Google Public Sector を設立し、2021 年 8 月に今後 5 年間で 100 億ドルを公共部門のセキュリティに投資すると発表していました。
インターネット セキュリティ センターは、マルチステートおよび選挙インフラストラクチャ情報共有および分析センターを運営しており、K-12 学校や選挙事務所などの重要なインフラストラクチャ サブセクターを含む州、地方、部族、および地域の政府組織の急速に変化するサイバーセキュリティのニーズをサポートしています。
CISとGoogleの今回の提携は、サイバーセキュリティに関する2つの強力な視点を結集し、これまでサイバーセキュリティの脅威にさらされ、これまで十分なサービスを受けられなかった米国の州、地方、部族、および準州の政府機関コミュニティに適用できるという点で、非常に刺激的です」と、CISのセールスおよびビジネスサービス担当エグゼクティブバイスプレジデント、ジーナ・チャップマン氏は声明で述べています。「公共部門のサイバーセキュリティニーズには、実装と運用サポートを含む、クラス最高かつ費用対効果の高いソリューションが求められています。私たちは、このコミュニティを支援するために、どのように協力できるかを楽しみにしています。」
倫理的なハッカーを保護し、脆弱性を未然に防ぐ
Google はまた、今月初めにサイバーセキュリティ政策・法律センターの支援のもとに立ち上げられた一連の別の取り組みの創設メンバーでもある。
- ハッキング政策評議会は、サイバーセキュリティ政策法センター(CCPL)の一部門であり、侵入テストなどの倫理的なハッキング活動を制限し、政府機関や一般の人々への脆弱性の早期開示を要求することを目的とした法案に対抗する。
- セキュリティ研究法的防衛基金は、公共の利益のためにサイバーセキュリティを推進する場合に、善意によるセキュリティ研究と脆弱性開示により法的問題に直面している人々に対する法的代理資金を支援します。
「簡単に言うと、第1201条は、ソフトウェアの技術的保護手段を回避できるツールを公開することに対する制限を設けています」と彼は説明した。「基本的に、ソフトウェアのセキュリティ対策を回避するツールを公開する場合、それに関する従来の制限があり、かなり広範囲に適用されますが、実際に執行されることはあまりありません。」
ガイガー氏は、ソフトウェアの脆弱性を見つけるために侵入テストを行う人が使用するツール自体が、必然的にソフトウェア保護手段を回避するように設計されているため、改革が必要だと述べた。
「これは、ペンテストに影響を与える改革すべき政策の一側面にすぎない」と彼は述べた。
脆弱性の公開を義務付ける提案への対応
その他の要件には脆弱性の特定に関する要件が含まれており、ゼロトラストの時代に政府機関に脆弱性を共有することは、実質的にそれを一般に公開することと同じであるため、企業にとって大きなリスクとなると彼は述べた。
参照: API の脆弱性に対する懸念が高まる (TechRepublic)
「脆弱性は継続的に発見されているので、攻撃対象領域を最小限に抑えたいのは当然です」と氏は言う。「しかし、新たな脆弱性が発見されるたびに生産プロセスを停止するというのは考えにくいことです。」
彼は、脆弱性が早期に開示されれば、これは必要になるだろうと説明した。具体的な例としては、欧州連合(EU)が提案しているサイバーレジリエンス法が挙げられる。
「もしこの法案が可決されれば、EUはGDPRがプライバシーに与えた影響と同じくらい、サイバーセキュリティに大きな影響を与えるだろう」とガイガー氏は述べた。「現在の草案では、ソフトウェアメーカーは、脆弱性が不正に悪用されたと判断した場合、24時間以内にEU政府機関に脆弱性を開示することが義務付けられる。懸念されるのは、24時間以内に脆弱性が修正または緩和される可能性が低いことだ。そうなると、緩和されていない脆弱性を持つソフトウェアパッケージの継続的なリストが、数十ものEU政府機関と共有されることになるかもしれない」とガイガー氏は付け加えた。
言い換えれば、NISAはそれを関係加盟国のコンピューターセキュリティ即応チームや監視当局と共有することになる、と彼は説明した。
「EU全体に関わるソフトウェアであれば、50以上の政府機関が関与する可能性があり、膨大な数の報告が寄せられる可能性があります。これは危険な状況であり、情報が敵対勢力に漏洩したり、諜報活動に利用されたりするリスクがあります」と彼は述べた。
CCPL によれば、ハッキング政策評議会は次のことを行います。
- 脆弱性の開示と管理、バグ報奨金、セキュリティのための独立した修復、誠実なセキュリティ研究、侵入テストのためのより有利な法的環境を構築します。
- セキュリティ、ビジネス、政策立案コミュニティ間の連携を強化します。
- セキュリティ研究、侵入テスト、脆弱性の開示と管理に対する新たな法的制限を防止します。
- 脆弱性開示ポリシーの効果的な導入とセキュリティ研究者の関与を通じて、組織の回復力を強化します。
同協議会の他の創設メンバーには、Bugcrowd、HackerOne、Intel、Intigriti、LutaSecurity などが含まれる。
