Google Cloudは米国時間3月13日、法人向けの新たなセキュリティサービス「Security Command Center Enterprise(SCCE)」を発表した。Amazon Web Services(AWS)やMicrosoftの「Azure」にも対応し、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)とセキュリティ運用の統合自動化(SOAR)、脅威インテリジェンスを統合する業界初のプラットフォームだという。
Google Cloud カスタマーエンジニアリング担当グローバルマネージングディレクターのKyle Turner氏
SCCEは、提供中のセキュリティ運用管理サービス「Security Command Center(SCC)」を大規模刷新したものになる。従来は、Google Cloud環境のセキュリティの運用管理を対象としていたが、今回はマルチクラウド対応と膨大なセキュリティデータやAIを活用した、オンプレミスを含むクラウド環境のセキュリティリスクに包括的に対応するプラットフォームと位置付ける。
同社でセキュリティのカスタマーエンジニアリング担当グローバルマネージングディレクターを務めるKyle Turner氏は、ZDNET Japan取材に「クラウドの利用が広がる中で、クラウドの運用とセキュリティの運用が分断しており、ツールや扱えるデータもサイロ化している。SCCEは両者を連携することにより、セキュリティリスクへの対応や管理を合理化し、セキュリティ脅威への対応を高度化、効率化、迅速化することに貢献する」と説明し、CNAPPとSOAR、脅威インテリジェンスを統合している点が競合との差別化になると強調した。
同氏によると、コンテナーやサーバーレスなどのクラウドネイティブなアプリケーションインフラの普及に伴って環境の脆弱(ぜいじゃく)性や設定ミスなどを監視、対応するCNAPPの採用が進み、クラウドインフラのチームが所管することも多いという。他方で、セキュリティチームは各種のセキュリティシステムを運用しており、全体的なセキュリティ対策としては、チーム、ツール、データがサイロ化し、セキュリティリスクへの対応が難しくなるため、両者のセキュリティのワークフローを融合させていくという。
「Security Command Center Enterprise」のアーキテクチャーイメージ
SCCEでは、Google Cloud上に監視対象先のセキュリティ関連データを集約するデータレイクを土台とし、Googleのリスク判定エンジン、Google Cloud傘下のMandiantの脅威インテリジェンス、生成AI「Gemini」による「Google Security Fabric」、CNAPPとSOARのセキュリティ機能で構成されるアーキテクチャーを採用している。
データレイクには、従来のGoogle Cloudのデータに加え、APIなどを介してAWS(正式対応済み)とAzure(近日中に正式対応)、オンプレミス環境のセキュリティデータを集約できる。マルチクラウド対応についてTurner氏は、「まずはユーザーの多いGoogle、AWS、Azureからになる」とした。
SCCEによる運用フローは、システムで対象先のセキュリティ上の問題を監視、検知し、リスクの分析と評価を実行して管理者に通知する。同時に「ケース」を起案し、管理者に「MITRE ATT&CK」に基づいた対処方法をアドバイスする。管理者は、必要に応じて修復作業を行ったり、策定済みのプレイブックなどに基づいた自動処理などを実行したりできる。修復が完了すると、ケースのクロージング、リスク評価基準やセキュリティ状態の管理情報が更新される。ケースは、サードパーティーのITサービス管理(ITSM)ツールでも管理できる。
検知されたセキュリティ問題への対応では、インフラストラクチャー・アズ・コード(IaC)、アイデンティティー、意味づけされたデータを活用しての適切な修復を能動的に実行できるとする。セキュリティ脅威には、セキュリティ情報・イベント管理(SIEM)やSOARによる迅速かつ適切な対応を図れるとする。Turner氏は、これを「ビルトインされた修復(Built in remediation)」と特徴付ける。
またSCCEでは、Mandiant、VirusTotal、Googleの3つの脅威インテリジェンスをしており、Mandiantの脅威ハンティング「Mandiant Hunt」を組み合わせることで、ユーザーを狙う脅威への対応や備えに必要なMandiantの専門家のリソースを活用できるという。
ユーザーのセキュリティ運用業務を支援する目的で生成AIのGeminiも実装する。ユーザーが自然言語でGeminiに問いかけることにより、セキュリティ状態の分析や可視化、要約、レポート作成などの実行、脅威情報の提供、プレイブックや問題修復方法の自動作成などを行う。
「Security Command Center Enterprise」のダッシュボード画面
Googleは、早ければ4月上旬頃にSCCEの一般提供(GA)を開始する予定で、Turner氏は「セキュリティ運用のサイロ化を解消し、セキュリティリスクのライフサイクル管理を最適化して、さまざまなセキュリティ問題を正しい状態に復旧できることを支援する。これに脅威インテリジェンスと対応を組み合わせることで、包括的なセキュリティ運用の実現を支援したい」と述べる。
今後はユーザーの要望を鑑みて、Google、AWS、Azure以外のパブリッククラウドサービスへの対応や、セキュアアクセスサービスエッジ(SASE)など各種のクラウド型セキュリティ機能、Googleの「Chrome Enterprise」(Chromeブラウザーの法人向け管理機能)との連携拡大を検討していくという。
