「責任共有モデルでなく運命共有モデル」 Google CloudのMandiant買収につながる戦略セキュリティ分野へ本格参入

Google Cloudは2022年3月、セキュリティベンダーのMandiantを買収すると発表した。実現すれば、Google Cloudによるセキュリティビジネスへの本格参入を象徴する出来事になる。同社は、クラウドセキュリティは運命共有モデルに基づくべきだという考え方を強調している。

» 2022年04月05日 05時00分 公開
[三木泉@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Google Cloudは2022年3月8日(米国時間)、セキュリティベンダーのMandiantを買収する意向を発表した。Mandiantはセキュリティアドバイザリサービスやインシデント対応サービスを提供する企業。約54億ドルという巨額の買収は、Google Cloudのセキュリティ分野への本格参入を象徴する出来事となる。

 その1週間後に実施したブリーフィングで、Google Cloudバイス プレジデント/Chief Information Security Officer(CISO:最高情報セキュリティ責任者)のフィル・ヴェナブルズ(Phil Venables)氏は、「クラウドは責任共有モデルを超え、運命共有モデルになる 」と説明した。 これがMandiantを買収しようとしている理由につながってくる。

 ヴェナブルズ氏は、「Google Cloudのインフラではデフォルトで暗号化されるプライベートネットワーク通信など、セキュリティを後付けではなく、最初から織り込んでいる。加えてゼロトラストの原則に基づき、継続的な検証、広範なモニタリングに基づき、新たな脅威や問題に対応したインフラの定期的な更新を実施している」と説明した。

 「その上で、当社のセキュリティに関する知識を顧客に移転するためにはどうしたらいいかを、常に考えている」(ヴェナブルズ氏)

 そうした考えの表れの一つが、2021年10月に発表し、既に日本を含む各国で活動を始めている「Google Cybersecurity Action Team(GCAT、日本でのサービス名は『Googleサイバーセキュリティ対応チーム』)」だという。GCATは戦略的アドバイザリサービス、地域別のコンプライアンス認証、ベストプラクティスの導入支援、脅威インテリジェンス/インシデント対応サービスなどを提供する。同チームは基本的には有償でサービスを提供するが、新たにクラウドを採用する顧客に対しては、(セールスの一環として)セキュリティ戦略やデジタルセキュリティ変革プログラムなどに関するアドバイスを無償で提供する。また、IT変革ガイドやサイバー脅威に関するレポート、ブログなども公開している。

 「GCATは、Googleが全社から集めたセキュリティエキスパートで構成される、世界最高クラスのセキュリティアドバイザリチームだ。最初のクラウド採用から本格的なクラウド移行に至るまでの全プロセスで、顧客をガイドできる」(ヴェナブルズ氏)

 GCATでは、「Office of CISO」と呼ばれる部署が重要な役割を果たしているという。金融、ヘルスケア、公共機関など、規制業界でCISOを務めた経歴を持つ専門家が、自らの経験を生かし、顧客と直接協力する。顧客の声をGoogle Cloudのプロダクトチームに届け、影響を与える役割も担っているとヴェナブルズ氏は説明した。

Google Cloudのいう「運命共有(Shared Fate)モデル」とは

 「クラウド事業者はこれまで『責任共有(Shared Responsibility)モデル』を語ってきた。クラウド事業者は基盤となるインフラの面倒を見て、顧客がセキュリティ設定に責任を持つという概念だ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。