Google Cloudの最高情報セキュリティ責任者(CISO)は米国時間1月16日、同社がSolarWindsのソフトウェアを使用していることを明らかにしたが、その利用は「限定されたもので、封じ込められている」と述べた。
Google Cloudが、同社初のCISOとしてPhil Venables氏を起用したことを明らかにしたのは2020年12月中旬のことで、米国でロシア政府によるものとみられるソフトウェアサプライチェーンに対するマルウェア攻撃の影響範囲が理解され始めた頃だった。
Goldman Sachs出身のベテランであるVenables氏は、Googleのシステムはこの攻撃の影響を受けなかったと説明している。
同氏は、Google Cloudのブログで「この攻撃について現在判明していることに基づいて判断した結果、私たちは、SolarWindsの問題によって影響を受けたGoogleのシステムはなかったと確信している」と述べた。
Venables氏はまた、Googleが自社と顧客をソフトウェアサプライチェーンの脅威から保護するために取っている対策についてのヒントをいくつか披露した。今回の攻撃は、ソフトウェア業界が互いに密接に依存し合っていることや、システムが既知の信頼できるサプライヤーからアップデートを受け取ることを前提としていることによるエコシステムの脆弱性を浮き彫りにした。
Venables氏によれば、Googleは安全な開発と継続的テストのフレームワークを使用して、よくあるプログラミングのミスを発見し、回避しているという。
「私たちは、開発プロセスにセキュリティバイデフォルトのアプローチを組み込んでおり、サプライチェーン攻撃のリスクも含めて、幅広い攻撃ベクトルを考慮している」と同氏は述べている。
同氏は、Google Cloudが信頼できるクラウドコンピューティングについてどう考えているかを説明した。この問題は、最終的にはハードウェアとソフトウェアをコントロールできているかどうかに帰結するという。
「私たちは安全性の確保を何か1つに頼ることはせず、何層ものチェックとコントロールの体制を構築している。これにはGoogleの独自設計のハードウェアや、Googleがコントロールしているファームウェア、Googleが吟味したOSイメージ、Googleがハードニングしたハイパーバイザーに加え、データセンターの物理的なセキュリティやサービスが含まれている。(中略)この水準のコントロールを行っていることが、当社や顧客のサプライチェーンリスクに対する暴露を減少させる結果を生んでいると考えている」とVenables氏は述べている。
Googleはまた、ソフトウェアについて、レビューとテストを経て適切にチェックインされたコードで構築されている、承認され隔離されたビルド環境で構築・署名したものであるかどうかを検証しているという。
また最後に、Googleでは、作者以外の1人以上のスタッフが、安全性を証明可能な方法で、開発者が提出したコードや設定の変更内容をレビューするように定めている。
Venables氏は、「慎重な扱いを要する管理上のアクションには、通常、別の人間による承認を義務づけている。そうしているのは、ミスであるか、悪意のある挿入であるかを問わず、想定外の変更が加えられるのを防止するためだ」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。