- Google Cloudに関する記事
GCP のセキュリティが丸わかり 基礎や仕組みを5分で解説
こんにちは。クラウドエース編集部です。
初めてクラウドサービスを利用する際に、多くの人が心配するポイントが、セキュリティ対策についてです。
Google の提供するクラウドサービス GCP(Google Cloud)では、さまざまな視点から厳重なセキュリティ対策が実施されています。しかし、その内容を深く正しく理解していないと、どうしても導入時に不安に感じてしまうかもしれません。
今回は、GCP(Google Cloud)のセキュリティ対策の仕組みや内容について、具体的な例を交えながら解説していきます。
GCP におけるセキュリティの考え方
まずは、GCP(Google Cloud)でのセキュリティ対策を理解するために、Google におけるセキュリティの考え方や文化について見てみましょう。
セキュリティルールと文化の徹底
Google には、全社員のセキュリティ意識を高めるための独自の文化やルールがあります。その文化やルールは、雇用プロセスから社員研修、セキュリティに関するイベントの開催などを通じて徹底されています。
例えば、雇用プロセスにおいては、社員を採用する前に学歴や職歴の検証や身元照会が行われます。職種によっては、各国の労働関連の法令規制で認められる範囲での犯歴、信用、出入国、安全についての調査がされるケースもあるようです。
また、全社員に対して入社時研修の一環としてセキュリティ研修が実施され、その後も在籍中は継続的にセキュリティにまつわる研修が行われます。職務によっては、安全なコーディング方法、プロダクト設計、脆弱性自動テストツールなどを学ぶ専門のセキュリティ研修も追加されます。また研修以外にも、セキュリティやプライバシーについて考えるイベントが定期的に開催されています。
自社の業務を保護するという観点からも、Google ではセキュリティを最優先事項として掲げています。このような雇用プロセスや研修の実施を通じて、セキュリティ優先を体現していると言えるでしょう。
専任のセキュリティ・プライバシー担当チームの設置
Google では、特定の部門において、セキュリティおよびプライバシーの専門家で構成されたチームがそれぞれ配置されています。
セキュリティチームとは、Google の防御システムの運用、セキュリティインフラストラクチャの開発、セキュリティポリシーの適用などを担当するチームです。プライバシーチームは、設計文書の見直しやコードレビューを行い Google のプライバシー要件が満たされていることを確認するチームで、すべての Google サービスの立ち上げに参加しています。
加えて、精鋭のセキュリティ研究者チームとして「 Project Zero 」というチームも作られています。このチームでは、特にプログラムの脆弱性の発見と修正プログラムの提供を専門に行っています。
各クラウドサービスにおいて、同様のセキュリティ対策が行われていますが、中でもGoogle の Project Zero は脆弱性の発見から修正プログラムの提供までの時間が短いことが特徴的です。具体的には、90日以内に修正プログラムが提供される確率はベンダー全体で84%であるのに対して、Google ではその数値が96% となっています。
このようにセキュリティやプライバシーに特化したチームを作ることで、Google では常に安全性の高いサービスの提供を実現しているのです。
責任共有モデルについて
このように、厳重なセキュリティ対策が行われている Google ですが、クラウドサービスの利用にあたってはセキュリティ対策の全てをベンダーに依存してはいけません。これは、GCP に限らず、どのサービスを利用しても言えることです。
Google では、クラウドサービスの提供にあたり、Google とユーザーとでセキュリティの責任を共有する「責任共有モデル」を採用しています。
例えば、GCP(Google Cloud)の IaaS である Google Compute Engine(GCE)ではコンテンツ、アクセスポリシー、デプロイなどの責任はユーザーにあるとし、監査ログ、ネットワーク、暗号化、ハードウェアをはじめとしたインフラは Google にあると明確に区分して提示しています。
このような責任範囲を理解することで、ユーザーは自社で責任を持って管理すべきところ、管理しなくていいところを明確にすることができます。結果として、人材やコストのリソースを正しく配分できるようにもなるでしょう。
GCP におけるセキュリティ対策の具体例
ここまで、Google のセキュリティ対策の概要や文化について紹介してきました。続いては、GCP(Google Cloud)について、具体的にどのようなセキュリティ対策が行われているのかについて見てみましょう。
なお、ここで紹介する内容の詳細は、「 Google のセキュリティに関するホワイトペーパー」としてインターネット上で公開されています。
物理的なセキュリティ対策
まずは、データセンターやハードウェアなど、物理的なセキュリティ対策について紹介します。
Google のデータセンターは、生体認証、金属検知、カメラ、車両障害物、レーザーを使った侵入検知システムなど、複数の物理的なセキュリティ対策によって保護されています。加えて、侵入者を検知し追跡できるカメラを設置して24時間365日監視を行い、さらに警備員による定期的なパトロールも実施されています。なお、データセンターへアクセスできるのは、少数の Google 社員のみです。
データセンター内の全ての機器はバーコードなどで追跡され、金属探知機や動画監視などにより持ち出せない仕組みとなっています。ディスクの廃棄の際にはシュレッダーで細かく砕かれるため、復元されるリスクもありません。
データの暗号化
GCP(Google Cloud)では、デフォルトでデータ保存の際に暗号化されます。データはストレージ用に分割され、さらにそれらは個別に暗号化されています。
ちなみに、Google ではウェブサイトの表示を暗号化する HTTPS 推奨の取り組みも行っています。Google からあるウェブサイトを閲覧しようとした際に「保護されていない通信です」という警告が表示された経験がある人もいるのではないでしょうか。これは、暗号化されていない HTTP サイトを開こうとしたときに表示される警告文です。
このような仕組みを導入することで、全てのウェブサイトに対して暗号化を推奨し、通信の傍受や悪用の防止を図っています。
不正アクセス防止
GCP(Google Cloud)では、不正アクセスを防止するために、多層防御の原則に基づいたセキュリティ対策が行われています。
例えば、データの機密性と安全性を確保するために、個々のユーザーのデータを他のユーザーから分離して保管しています。そして、顧客データへのアクセスが許可されているのは、ごく少数の Google 社員のみです。Google 社員のアクセス権限とそのレベルは職務と役割によって決められている上、データにアクセスする場合には承認が必要な仕組みとなっています。加えて、Google 社員によるアクセスは、専用のセキュリティと内部監査チームによりモニタリングされます。
このように、何層にもセキュリティ対策を重ねることで、顧客データを確実に守っているのです。
なお、Google では、サービス提供のためのデータ処理をほぼすべて自社で行っていますが、顧客サポートや技術サポートなどを行うために、第三者機関を利用する場合もあります。その場合にも、提携先のセキュリティおよびプライバシー対策を評価した上で、所定のセキュリティ、機密保持、プライバシーの各契約を締結してからの利用となります。
インシデント対策
厳重なセキュリティ対策が取られている GCP(Google Cloud)ですが、インシデントに備えた対策も行われています。
GCP(Google Cloud)で何かしらのインシデントが発生した場合には、先述の専門のセキュリティチームがその内容を記録して、重大度に応じて優先順位が設定されます。
インシデントの対応にあたるスタッフは、万が一の事態に備えて、日頃からサードパーティツールや独自ツールの使用など、犯罪科学や証拠取り扱いの訓練を受けているとのこと。そしてユーザーの機密情報が保存されるシステムなどの重要な分野においては、内部関係者による脅威やソフトウェアの脆弱性など、さまざまなシナリオが想定された対応計画のテストまで実施されているそうです。
また、セキュリティ上のインシデントの早期解決のため、セキュリティチームは24時間体制で全社員からの問い合わせに対応しています。
GCP のセキュリティに関する第三者機関からの評価
このように、さまざまなセキュリティ対策が取られている GCP。その安全性を維持するために、世界中でのセキュリティ関連法令のコンプライアンスを確認する専用の内部監査チームも設置されています。
もちろん、社内での監査だけでなく、第三者機関を通じての評価・監査も行われています。具体的に言うと、セキュリティ、プライバシー、コンプライアンス統制を保証するために、毎年、国際的に認められた監査機関による以下のような第三者監査を受けています。
目的・概要 | |
---|---|
SSAE16 / ISAE 3402 Type II | サービスに対するデータ保護の文書化と検証 |
SOC 2 / SOC 3 | 内部統制を監査法人や公認会計士が検証 |
ISO 27001 | セキュリティ管理と制御を規定したセキュリティ管理標準規格 |
FISMA Moderate | アメリカ国立標準技術研究所に規格されたセキュリティ基準 |
PCI DSS v3.0 | クレジット業界におけるグローバルセキュリティ基準 |
このようないくつもの国際的な監査を定期的に受けることで、GCP のセキュリティの堅牢性を証明しているのです。
まとめ
ここまで、GCP(Google Cloud)のセキュリティの概要や仕組みについて紹介してきました。このような Google のセキュリティに対する厳重な取り組みをしっかりと理解することで、初めてのクラウドサービス利用でも安心して導入を決められるのではないでしょうか。
下記の資料より、セキュリティも含めた3大クラウドの比較ができますので、ぜひダウンロードして、ご覧になってください。
この記事を共有する