ニューヨーク市で開催されたGoogleの「There’s No Place Like Chrome」イベントでのDark Reading News Deskのインタビューにて、Googleのカスタマーエンジニアリング責任者であるLoren Hudziakが、Chrome EnterpriseとChrome OSが今日進化し続けるサイバーセキュリティの課題にどのように対応しているかについて語ります。Hudziakは、攻撃者が技術的な脆弱性ではなくソーシャルエンジニアリングを通じて人間の弱点を狙う傾向が強まっていると述べ、これを「シリコンベースの問題」から「カーボンベースの問題」への移行と表現しています。
セキュリティ制御は、これまでの断片的なエンドポイントソリューションではなく、ブラウザレベルで実装できるようになりました。このアプローチにより、デバイスの状態、ユーザーの身元、アクセス権限、データの取り扱いを検証しつつ、生産性を損なわないユーザー体験を維持することが可能です。
この書き起こしは明瞭さのため編集されています。
Terry Sweeney(Dark Reading寄稿編集者):Dark Reading News Deskへようこそ。Dark Readingの寄稿編集者、Terry Sweeneyです。今回はニューヨーク市で開催されているGoogleの「There’s no place like Chrome」イベントからお届けしています。ここでGoogleのカスタマーエンジニアリング責任者、Loren Hudziakさんにご参加いただきます。Lorenさん、本日はNews Deskにご出演いただきありがとうございます。
Loren Hudziak(Google カスタマーエンジニアリング責任者):もちろんです、Terry。ここに来られてとても嬉しいです。
Sweeney:ご存知の通り、脅威の状況は常に進化しています。新しい種類のランサムウェアやフィッシング攻撃は、AIの力もあり、ますます巧妙になっています。Chrome EnterpriseやChrome OSが、組織がこの非常にダイナミックな環境を乗り越えるのにどのように役立っているかについてお話しください。
Hudziak:はい、非常に興味深いポイントを挙げていただきました。脅威の状況は常に進化し続けていますが、今はその進化のスピードが格段に速くなっています。私が「シリコンベースの問題」と呼ぶ多くの問題はすでに解決されてきましたが、今起きているのは「カーボンベースの問題」で、多くの人が騙されたり、認証情報を漏らすように仕向けられたりしています。
多くの攻撃者にとっては、誰かを騙して認証情報を引き出す方が、ペンテストやDOS攻撃など膨大なリソースが必要な手法よりもはるかに簡単です。これらの技術は、私たちが推奨するベストプラクティスを支援し、人々を正しい方向に導く技術的要素も組み込まれています。
その一例がGoogleセーフサーチです。Googleが行っていることの一つ、いわば「サイドビジネス」のようなものですが、Googleは検索エンジンを持っています。世界中の情報を整理し、誰もがアクセスできて役立つものにするために、インターネット全体をインデックス化しています。その過程で、不正な活動に関与している、または関与していると疑われるサイトのデータベースを維持しています。
そのため、もしあなたが正しいことをしているつもりで、実は認証情報を盗もうとしているサイトをクリックした場合、私たちは警告を出します。また、管理者であれば、ユーザーがそのサイトに最初からアクセスできないようにすることも可能です。これは私たちが組み込んでいる多くの制御の一例にすぎません。もちろん、こうした仕組みが問題解決に大いに役立つはずです。
Sweeney:少し話題を変えますが、Googleのポートフォリオ全体に投資することで組織が期待できるセキュリティ上の利点について教えてください。
Hudziak:ここ数年で興味深い動きが見られます。多くの組織がウェブベースやSaaSベースの形態に移行しており、アプリは従来のような厚いクライアントではなく、よりブラウザベース、ウェブベース、プログレッシブウェブアプリなどになっています。
このような状況が進む中で、かつては「インターネットで調べ物をする」「ウェブを閲覧する」ためのものだったブラウザが、今や多くのビジネスが行われる共通の経路となっています。いわば交差点のような存在です。そのため、今では同じレイヤーで多くの制御を施すことができ、パッチワーク的なシステムで「このデスクトップを暗号化しなければ」「このマシンのウイルス対策を修正しなければ」といった対応をする必要がなくなります。
すべてをブラウザレベルで行えば、エンドポイントが何であろうと関係ありません。モバイルデバイスでも同じです。共通の経路として活用できれば、多くの制御やポリシーを適用できますし、積極的なセキュリティ対策も可能です。これらはChrome Enterprise Premiumだけでなく、Chrome OSや多くのSEM、DLPなどもブラウザレベルで実施されています。なぜなら、SaaSベースの環境こそが多くの組織が目指している変革だからです。
Sweeney:この経路を作ることで、仮想クライアントサーバー環境の両端を制御できるということですね。
Hudziak:その通りです。エンドツーエンドです。
Sweeney:なるほど。非常に説得力がありますね。
Hudziak:私もそう思います。はい、同意します。
Sweeney:セキュリティの分野では「最も弱いリンク」という言葉をよく耳にします。Googleの立場から見て、それはどういう意味だと考えますか?また、Googleが組織のITインフラ内の弱点にどう対応しているとお考えですか?
Hudziak:はい。ほとんどの場合、それは「人」です。セキュリティ侵害の約80%は、悪意ある行為者である場合もありますが、より多いのは無意識のうちに利用されてしまう人、あるいは「自分は企業市民として良いことをしている」と思っている人の個別の行動に起因しています。たとえば「このセキュリティメールに返信しなければ」と思って行動した結果、実は大量の企業データやDLPなどを漏洩させてしまうこともあります。
この「最も弱いリンク」への対応策として、必ずしも人間だけが問題とは限りません。人々が正しい判断をできるように支援する仕組みや、正しい判断が何かを教育することも必要です。
この問題には2つの側面があります。私が講演をする際、よく「この中でセキュリティが仕事の一部だという人は?」と質問します。セキュリティ担当者は必ず手を挙げますが、これはトリッククエスチョンで、実は「全員の仕事」なのです。
データに触れる人、企業システムに触れる人は、全員がセキュリティを意識する必要があります。これが一つの要素です。もう一つは、多層的な技術を導入し、どこかでミスや侵害があってもすぐに検知・対応・修復できる仕組みを整えることです。
Sweeney:本当にそのリンクをクリックしても大丈夫ですか?
Hudziak:はい、そのような仕組みです。または「本当にこのウェブサイトにアクセスしますか?これは悪意のある行為があるとわかっています」や、「Terry、あなたは企業のパスワードを企業所有でないサイトに入力しました。X日以内にパスワードを変更する必要があります」といった警告もあります。なぜなら、パスワードが安全でないサイトで流出し、誰かがそれを使って企業環境にアクセスしようとするのを防ぐためです。
Sweeney:トレーニングに何を追加すれば、方程式を強化し、エンドユーザーや組織に有利に働かせることができますか?
Hudziak:はい。先ほど述べた多くの保護策ですが、Googleでは「多層防御(ディフェンス・イン・デプス)」のアプローチを取っています。ユーザーがキーボードやマウスに触れる瞬間から、利用するアプリケーション、OS、ブラウザ、通信、ネットワーク、バックエンドのインフラまで、すべての段階にセキュリティ機構が組み込まれています。
それぞれのポイントで、ユーザーが何をしようとしているかに応じて適切な保護を提供する仕組みがあります。その一つが「ゼロトラスト」という考え方です。つまり、決して信頼せず、常にすべての段階で検証するということです。従来は「城と堀」型のセキュリティアーキテクチャで、企業ネットワーク内に入れば全てに自由にアクセスできるというものでしたが、これは非常に危険です。たとえば、ウイルス定義が古いデバイスでVPN接続してしまうと、何かを持ち込んでしまう可能性があります。
こうしたリスクに対して、技術を活用し、各段階で「このマシンは最新のアップデートがあるか?この設定か?この人は誰か?どの組織か?本当に本人か?何をしようとしているのか?」を確認し、必要に応じて特定のデータへのアクセスのみを許可したり、なぜそのデータを個人メールで送ろうとしているのかをチェックしたりします。
このように、すべてのレイヤーに仕組みを組み込むことで問題解決につなげますが、同時に日々の業務の妨げにならないよう、シームレスに行うことも重視しています。
Sweeney:なるほど。Lorenさん、希望と不安が入り混じった気持ちになりました。良いことですね。私たち双方にとって有益だったと思います。
Hudziak:私もそう思います。油断は禁物です。もし「この技術がすべて解決してくれる」と思い込んでしまったら、すでに…
Sweeney:負けですね。本日はDark Reading News Deskにお越しいただき、ありがとうございました。
Hudziak:どういたしまして。
Sweeney:今回はGoogleのLoren Hudziakさんにお話を伺いました。Dark Reading News DeskのTerry Sweeneyでした。ご視聴いただきありがとうございました。また次回お会いしましょう。