Googleは「放置プロジェクトのRecommender」(Unattended Project Recommender)機能のパブリックプレビューを開始した。このツールの目的は、クラウドの利用率を改善し、忘れ去られてしまっている古いプロジェクトに起因するセキュリティの問題を解決することだ。
この放置プロジェクトのRecommender機能は、Google Cloudが提供している「Active Assist」の機能で、これを利用すれば、ネットワークへのアクセスやクラウドリソース、APIを必要としなくなった古いプロジェクト(例えば過去のプロトタイプのためのプロジェクトなど)を発見し、セキュリティリスクを減らす上で有用となるだろう。
Googleは2021年より、社内の放置プロジェクトを一掃するためのプロトタイプ作りの一環として、この機能を開発してきた。
Google Cloudによれば、同社のセキュリティチームも以前から放置プロジェクトの問題に目を向けていたという。そこで、プロダクトチームとセキュリティチームは、力を合わせて「google.com」の組織内の放置プロジェクトを調べ始めた。
この取り組みはアイデアとしては優れているが、さまざまなシグナル(API、ネットワーク、ユーザーの活動状況など)から、実際にプロジェクトが放置されているのか、それとも意図的に活動水準が下げられているのかを判断することは難しかった。
放置プロジェクトの削除には、放置されているプロジェクトを正しく特定できたとしても、誤って稼働中のワークロードに必要なコンポーネントを削除してしまい、取り戻せないデータの損失を招いてしまうリスクがある。一方で、不要なリソースに支払っているクラウド費用を削減できるほか、穴の空いたファイアウォールや、特権が付与されたサービスアカウントキーなどの設定に関する問題を減らすことで、攻撃者がリソースを暗号資産(仮想通貨)のマイニングに利用する、データを盗むといった問題を防げるというメリットもある。
Googleは「これらのリスクは、徐々に増加する傾向にある。最も新しいベストプラクティスやパッチは通常、放置されたプロジェクトに適用されていないためだ」と指摘する。
同社は、これらの問題を解決するために、顧客と協力しながら、実際のデータを使って何千もの放置プロジェクトを発見する作業を行った。
放置プロジェクトのRecommenderが使用している主なシグナルには、APIのアクティビティー(認証アクティビティーがあるサービスアカウントや消費されたAPIコールなど)、ネットワークアクティビティー、請求と使用量のアクティビティー、ユーザーアクティビティー、クラウドサービスの使用(アクティブなVM、BigQueryジョブ、ストレージリクエストなど)がある。
Google CloudのプロダクトマネージャーDima Melnyk氏とBakh Inamov氏は、「これらのシグナルをベースに、利用率の低いアクティビティーを持つプロジェクトを一掃するためのレコメンデーション(『低利用率』は、組織のプロジェクトを利用率でランク付けする機械学習モデルを利用して明確にされている)、あるいは利用率の高いプロジェクトを持つが、アクティブなプロジェクトの所有者がいないプロジェクトを再利用させるレコメンデーションを生成できる」と説明する。
この機能で得られた分析情報や推奨事項は、電子メールやチャットメッセージでプロジェクトオーナーに送られる場合がある。
また管理者は、誤って削除してしまったプロジェクトを復旧することも可能で、30日以内であればプロジェクトを復旧できる。ただしGoogleは、クラウドストレージやPub/Subリソースなどの一部のリソースは、30日の期間が経過する前に削除され、完全には回復できない場合があると説明されている。
フランスのスポーツ用品小売大手Decathlonは、この機能を使って775件のプロジェクトを削除したという。同社のクラウドセキュリティ担当者は、「不満を言った者は誰もいなかった」と述べている。水、廃棄物、エネルギー管理などの事業を行うフランスのVeoliaや、米国のファイルストレージ企業Boxもこのテクノロジーを試用している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。