Japan 公式ブログ
Google の企業向けソリューションに関する公式な情報やユーザーの事例などを、いち早く皆さんにお届けします。
The Forrester Wave: Data Security Portfolio Vendors の 2019 年 Q2 版で Google Cloud がリーダーに
2019年6月27日木曜日
※この投稿は米国時間 2019 年 6 月 12 日に Google Cloud blog に
投稿
されたものの抄訳です。
このたび、The Forrester Wave
TM
: Data Security Portfolio Vendors の 2019 年第 2 四半期版
レポート
において、Google Cloud がリーダーに選ばれました。このレポートは、ベンダーのデータ セキュリティ製品ポートフォリオを評価したもので、クラウドとオンプレミスの両方の製品を対象としています。調査対象の 13 社の中で、Google Cloud は戦略部門で最高のスコアを獲得しました。
企業のデータ セキュリティを容易でスケーラブルなものに
このレポートは、Google Cloud のデプロイの容易さと機能のスケーラビリティの高さが顧客から評価されていると指摘しています。その例として、社内の機密データを洗い出し、分類、編集する
Cloud Data Loss Prevention
(DLP)などを挙げています。
私たちは、クラウド環境内でのデータの利用、共有、保護の状況を可視化するサービスを、お客様にとって導入しやすい形で提供することにも力を注いでいます。そうしたサービスには、
Google Cloud Platform
(GCP)向けの
Cloud Security Command Center
や、G Suite 向けの
セキュリティ センター
が含まれます。これらはセキュリティに関する実用的な知見を引き出すことに役立ちます。
セキュリティは Google Cloud の中心軸
Google Cloud は戦略の中心にセキュリティを位置づけている、と同レポートでは述べています。私たちは以前、セキュリティを最優先にすれば、他のすべてが後に続くということを
詳細に論じた
ことがあります。また、
お客様のデータはお客様のもの
であり、
データはお客様の管理下にある
という基本姿勢を、クラウドのお客様に対して明確にしています。
BeyondCorp
モデルと
コンテキスト認識アクセス
(Context-Aware Access)を通じたゼロトラスト アプローチのサポートにおけるアクセス制御の粒度についても、同レポートでは Google Cloud の優位性を認めています。
Forrester が Google Cloud のセキュリティ ポートフォリオをどのように評価しているかを詳しく知りたい方は、
こちら
からレポートのコピー(無料)をダウンロードしてください。
Google Cloud は、セキュリティ以外のさまざまな分野においても、業界のアナリストからリーダーであると評価されています。詳細は
こちら
をご覧ください。
- By Michael Aiello, Director, Product Management, Security and Privacy, and Reena Nadkarni, Group Product Manager, Security & Enterprise Applications
セキュアなエンドユーザー コンピューティングを実現する多層的アプローチ
2019年6月19日水曜日
※この投稿は米国時間 2019 年 5 月 30 日に Google Cloud blog に
投稿
されたものの抄訳です。
社員の大多数が光り輝く本社で働く時代は、クラウドをベースとするモバイル ワーカーの時代に取って代わられようとしています。どこでも仕事ができるようにすると、生産性が向上し、コラボレーションが進み、社員のやる気も上がります。しかしこれは、セキュリティとコンプライアンスの面で新たな課題が生まれるということでもあります。
私たちは今年 4 月に開催した Google Cloud Next '19 において、セキュアなエンドユーザー コンピューティングへの取り組みについて
プレゼンテーション
を行いました。いま現実に起こっていることを考えると、タイムリーで重要なテーマでした。
Google Cloud が提供するエンドユーザー コンピューティングのエコシステムは、
Google Cloud Platform
(GCP)を基礎としています。GCP は、最初からセキュリティ優先で作られた専用のインフラストラクチャをベースとする、独自の強力なセキュリティ機能を提供します。GCP を利用すると、パートナー ツールの幅広いエコシステムを統合できるほか、ISO 27000 のような
極めて厳格なグローバル セキュリティ標準
による検証をサポートすることができます。
エンドユーザー コンピューティングに対する私たちの多層的なアプローチでは、上述したインフラストラクチャによる基礎に加えて、アプリケーション、ユーザー、デバイスの各層にセキュリティ機能が組み込まれています。以下では、Google Cloud のエンドユーザー コンピューティング スタックを見ていきましょう。
アプリケーションのセキュリティ
ブラウザ経由でアプリケーションにアクセスするエンドユーザーが増えていることから、
Chrome ブラウザ
はクラウド アプリケーションへの安全で信頼性の高いアクセスを、プラットフォームを問わず提供します。また、私たちは継続的に Chrome ブラウザのセキュリティ強化に取り組んでおり、お客様とビジネス データの保護を支援します。たとえば、
Google Safe Browsing
などの機能、定期的なセキュリティ アップデート、サンドボックス化、サイトの分離などは、潜在的な脅威に対する企業やユーザーの保護を一歩先に進めます。
さらに、Gmail や Google ドキュメント、ドライブなどすべての
G Suite
アプリケーションは、ユーザーが直面するさまざまな脅威を自動的にブロックするといった、積極的でインテリジェントなアプローチでセキュリティに臨んでいます。G Suite は、ユーザーの保護、デバイスの管理、コンプライアンスの徹底、データ セキュリティの確保のためのシンプルで合理的な手段を管理者に提供します。
加えて、Google の DNA は透明性を中核としており、皆さんのデータは Google ではなく皆さんのものだということを明確にしておきたいと思います。私たちは皆さんのデータを第三者に販売したり、広告を G Suite に表示したりすることはしません。広告目的で G Suite サービスからデータを集めたり、利用したりすることも決してありません。
ユーザーのセキュリティ
エンタープライズ モバイルでは、エンドユーザーの現在地や使用デバイス / ネットワークに関係なく業務を遂行できる環境が求められます。このような新しい現実のもとでは、ユーザーのセキュリティについても新しいアプローチが必要です。
私たちは、モバイルでクラウドベース、そして境界のない世界でのセキュリティ強化のために、「ゼロトラスト」の企業セキュリティ モデルである
BeyondCorp
を開発しました。BeyondCorp は、管理対象をネットワーク境界から個別のユーザー / デバイスへとシフトし、ID、デバイスの状態、コンテキストに基づいてアクセスを許可します。これにより、管理者は従来よりも粒度の細かいセキュリティ管理を行える一方で、ユーザーはどこでもどのようなデバイスでも安全に作業できるようになります。
BeyondCorp を有効にするうえで大きな意味を持つのが、ID、アクセス、デバイスの統一的な管理ソリューションである
Cloud Identity
です。Cloud Identity は、
多要素認証
によってアカウントのセキュリティを強化するとともに、Google の
Titan セキュリティ キー
をはじめとする FIDO セキュリティ キーとシームレスに連携し、新たな保護層を提供します。しかも、
Android フォンも FIDO セキュリティ キーとして使える
ようになり、フィッシングやアカウント乗っ取りに対する便利で強力な防御手段となっています。
デバイスのセキュリティ
Google は、さまざまフォーム ファクターや価格帯の
Android
および
Chrome Enterprise
デバイスを提供しています。Android と Chrome デバイスはいずれも設計上セキュアであり、多層防御セキュリティ モデルを採用しています。Verified Boot、アプリケーションのサンドボックス化、オンデバイス暗号化、バックグラウンドでの定期的なセキュリティ アップデートなどにより、堅牢で Always On のデバイス セキュリティを目指しています。Android および Chrome デバイスのセキュリティに対する私たちのアプローチについては、最近投稿された
ブログ記事
をご覧ください。この記事では、Gartner の『
Mobile OSs and Device Security : A Comparison of Platforms
』レポートから明らかになった点を取り上げています。
デバイスの安全性は、デバイス上で実行されるソフトウェア ツールの安全性と同程度です。
Google Play プロテクト
は、世界で最も広く使われているマルウェア対策ソリューションであり、毎日 500 億のアプリケーションを検証し、20 億台以上のデバイスを保護しています。Managed Google Play を使用すると、Google Play プロテクトで保護されたアプリケーションを、Chrome と Android の両デバイスのユーザー向けにプッシュ、更新、リモート設定を行うことができ、サードパーティのアプリケーション ストアを経由したサイドローディングを防ぐことができます。
データセンターからデバイスまでのセキュリティ
私たちが、インフラストラクチャからアプリケーション、ユーザー、デバイスに至る各層の防御を連携させているのは、エンドユーザー コンピューティングのテクノロジー スタックで機能する多層的なセキュリティ ソリューションを提供し、企業がセキュリティを犠牲にすることなく、モバイル環境でより生産的に業務を遂行できるようにするためです。もっと詳しく知りたい方は、
Next '19 でのプレゼンテーション
をご覧いただくとともに、
こちら
からお問い合わせください。
- By Rob Sadowski, Trust & Security Lead and Eugene Liderman, Director, Android Security Strategy
G Suite のデータ セキュリティに関するよくある質問(と回答)
2019年4月3日水曜日
※この投稿は米国時間 2019 年 3 月 7 日に Google Cloud blog に
投稿
されたものの抄訳です。
G Suite は、ユーザー管理、デバイス制御、コンプライアンス確保のためのシンプルで効率的な方法を IT 管理者に提供し、データ セキュリティの複雑さの解消に貢献します。これは、セキュリティ ツールは管理者がデプロイした場合にのみ役に立つという考えに基づいています。
私たちはお客様と頻繁に会い、データ セキュリティに関する同様の悩みを数多くお聞きしています。この投稿では、先ごろ開催された
RSA カンファレンス
の精神に則って、最もよく寄せられる質問をいくつか取り上げ、組織のデータを安全に保つことに役立つ回答とベスト プラクティスを示したいと思います。
質問 1 : データを最も安全に保護するには、どのような構成を採用すべきか
組織には特定のセキュリティ ポリシーのセットが必要です。それらの強化に役立つ指針を以下にいくつか示します。
第 1 に、
モバイル端末の基本管理
を行います。G Suite にアクセスするモバイル端末は、誰かが G Suite アカウントを追加した時点で、直ちにこの基本管理が自動的に有効になります。これにより管理者は、パスワードの適用やアカウントのリモート ワイプといった基本的なセキュリティ制御機能を使って従業員の端末を保護でき、従業員が自身で iOS や Android にプロファイルをインストールする必要はありません。基本管理は、誤って無効にしないように注意を喚起することをお勧めします。
第 2 に、モバイル端末の基本管理を全面的に導入したら、さらに一歩推し進めて、
モバイル端末の詳細管理
を設定することを検討してください。
こちらのヘルプ センターのページ
では、設定方法を段階的に解説しています。
第 3 に、
フィッシングと不正なソフトウェアからの保護を有効にし
、不審なコンテンツを的確に特定します。
Google Safe Browsing
のような技術との統合により、Gmail はすでに、迷惑メール、ビジネス メール詐欺(BEC)の脅威、フィッシング メールの 99.9 % 以上をブロックし、受信トレイに届かないようにしています。さらに、私たちが提供している他の高度な保護を有効にすることもお勧めします。
こちらのヘルプ センターのページ
では、保護を有効にする方法について説明しています。
最後に、
セキュリティに関する推奨の対処法
を
管理コンソール
で調べて
利用しましょう
。G Suite Enterprise のお客様に対しては、私たちのほうでお客様の固有の環境を分析し、ユーザーとデータをより良く保護することに役立つカスタム アドバイスを提供します。その中には、ファイルの共有方法の詳細や、データの保存方法の改善に関する情報、モビリティ設定とコミュニケーション設定に関する推奨事項などが含まれます。
以上は初歩的なアドバイスの一部にすぎません。皆さんの組織にとって何が最適かを判断できるのは皆さん自身なので、
こちらのチェック項目
に目を通し、組織に固有のセキュリティ ニーズを踏まえたうえで、一連のセキュリティ対策をどのように展開するのが最適かを検討してみてください。
質問 2 : 不審な動きを見つけたら、何をすべきか
私たちは、皆さんが脅威に先んじることをお手伝いしたいと考えています。管理コンソールの
アラート センター
が役に立ちます。アラート センターは、セキュリティ脅威や重大なシステム アラートの発生時にそれらの通知を表示します。こうしたアラートから得られる情報を利用すれば、組織がドメイン レベルとユーザー レベルの両方でどれだけセキュリティ上の脅威にさらされているかを的確に評価できます。
さらに、G Suite Enterprise のお客様の場合は、
セキュリティ センター
を使用して、端末がどのような原因で侵害されたかや、不審な電子メールが送信または受信されたかなどを掘り下げて調べ、必要に応じてユーザーのアカウントを一時的に停止することができます。これらはすべて、セキュリティ センターに備わる調査ツールから行うことが可能です。
質問 3 : どうすればデータの引き出しを検出し、改善できるか
G Suite のユーザーは、ファイルの公開状況を、セキュリティ センターの専用
ダッシュボード
を使ってモニタリングできます。このダッシュボードは、外部と共有されているファイルや、リンクが公開されているファイルのスナップショットを提供します。ダッシュボードは定期的にチェックするようにしてください。
セキュリティ調査ツール
を使用すると、特定のファイル共有について詳しく調べたり、ファイルのアクセス権を監査したりできます。
複数のファイルに IRM(Information Rights Management)制御を設定したり、それらのファイルに対する特定ユーザーのアクセスを禁止したりすることも可能です。
質問 4 : 組織のポリシーを満たすように G Suite を使用するにはどうすればよいか
Google のデータセンターはグローバルに分散しているため、多国籍企業が取り組むレイテンシ低減に一役買うことができます。ただし、データの地理的な保管場所に関する要件を設けている組織もあり、私たちはそうしたニーズへの対応にも尽力しています。お客様は、特定の G Suite アプリケーションのプライマリ データが保管されるリージョンを、データ リージョンを使って指定できます。グローバルに、米国で、あるいは欧州で保管されるように指定することが可能です。データ リージョンの設定は
すばやく簡単に行えます
。最小ユーザー数の条件はなく、対象データのロケーションはいつでも変更できます。
また、G Suite Business または Enterprise のお客様の場合は、
Vault
を使用して組織全体または特定の組織単位で保存ポリシーを設定すれば、特定の日付範囲とクエリ条件に応じて重要なデータを追跡できます。
- By Reena Nadkarni, Group Product Manager, G Suite and Sam Lugani, Security Product Marketing, G Suite
クラウド セキュリティを牽引する Google Cloud の新サービス
2018年7月26日木曜日
*この記事は米国時間 7 月 25 日に Keyword に
投稿
されたものの抄訳です。
クラウドへの移行には綿密な計画や ”ハードワーク“ が求められますが、もっと根本的な点において重要なのは「信頼」です。クラウド プロバイダーがデータの安全性を保証し、脅威から守ってくれるという信頼に加え、管理者がきちんと状況を把握できるように、高い透明性を保った上で、上記のことを実践してくれるという信頼が必要です。脅威がますます複雑になる中、クラウド プロバイダーに対しては、セキュリティ イノベーションの最前線に立ち、システム保護の新しい方法を生み出すよう絶えず努力することが求められています。
私たち Google は、お客様のさらなる保護を目的に、
20 件以上のセキュリティ拡張
を今年 3 月に発表しました。それから 4 か月という短い期間にセキュリティ機能をさらに追加、対象も拡大しました。この記事では、その詳細と、これらがお客様に与える影響や価値についてご紹介します。
本日発表の新機能、新サービスは以下のとおりです。
Context-aware access 機能(ベータ リリース): VPC Service Controls をご利用の一部のお客様のみ利用可。Cloud IAM、Cloud IAP、Cloud Identity をご利用されているお客様において、近く利用可能となります。
Titan Security Key : Google Cloud のお客様は利用可。近く Google Store で購入可能になります。
Shielded VM(ベータ リリース)
Binary Authorization(近くベータ リリース予定)
Container Registry Vulnerability Scanning(近くベータ リリース予定)
Cloud Armor geo-based access control(ベータ リリース)
Cloud HSM(近くベータ リリース予定)
Access Transparency(近く正式リリース予定)
G Suite セキュリティ センター 調査ツール(早期試用プログラムで提供)
G Suite data regions(正式リリース)
アプリやサービスへのアクセスをよりセキュアかつ便利に
仕事に最も適したデバイスで、基幹業務アプリケーションにアクセスしたいというニーズが高まってきています。従来のアクセス管理ソリューションは画一的で扱いづらく、セキュリティのために柔軟性を犠牲にするようなところがありました。
これに対処するため、私たちは
Context-aware access
を導入します。Context-aware access は、Google Cloud 上のアプリケーションやサービスだけでなく、その枠を越えて組織のセキュリティと柔軟性を高めることを目指す Google の
BeyondCorp ビジョン
の要素を数多く実装する、イノベーティブなアクセス管理アプローチです。Context-aware access を導入すれば、GCP API、リソース、G Suite、サードパーティ SaaS アプリケーションに対して許可されたアクセスを、ユーザーの識別情報、位置、リクエストの状況に基づいてきめ細かく定義、制御することができます。これにより、操作の複雑さを解消し、位置やデバイスの違いを意識することなくアプリケーションにシームレスにログインできるようにしつつ、セキュリティも強化されます。Context-aware access 機能は、
VPC Service Controls
をご利用の一部のお客様が利用できます。また、
Cloud Identity and Access Management
(IAM)、
Cloud Identity-Aware Proxy
(IAP)と
Cloud Identity
をご利用のお客様も近くご利用いただけるようになります。
Google が開発した完全性検証用ファームウェアを内蔵する
FIDO
セキュリティ キーの
Titan Security Key
も本日発表しました。私たちは以前から、認証情報の盗難による被害を最小限に抑えるため、クラウド管理者のような高い権限を持つユーザーにとって最も効果的なフィッシング対策の認証手段となるセキュリティ キーの使用を推奨してきました。Titan Security Key は物理キーの完全性が Google によって保証されており、アカウントが保護されているという安心感を一層高めてくれます。Titan Security Key は Google Cloud のお客様であれば利用可能で、近く Google Store で誰でも購入できるようになります。
インフラストラクチャのセキュリティ強化
ワークロードをクラウドに移行するにあたっては、インフラストラクチャに対する信頼がきわめて重要です。私たちの目標は、高度のセキュリティ機能を備えた頼れるインフラストラクチャを提供し、そこに組み込まれた保護機能をお客様が活用できるようにすることです。
今回ベータ リリースした
Shielded VM
は、高度なプラットフォーム セキュリティ機能を活用して VM の改竄防止を支援します。Shielded VM を導入すると、VM のベースラインと実行時状態をモニタリングし、それらの変化に対処できます。Shielded VM のデプロイ方法については
こちら
をご覧ください。
コンテナ化されたワークロードを運用する企業では、VM の完全性を確認するだけでなく、信頼できるコンテナだけをセキュアなソフトウェア サプライチェーンの一部として Google Kubernetes Engine にデプロイする必要があります。近くベータ リリースする予定の
Binary Authorization
を導入すれば、コンテナ イメージをデプロイする際に署名による検証を義務づけることができます。Binary Authorization は、イメージの適切なビルドとテストを実施する既存の CI/CD パイプラインと統合できるほか、脆弱なパッケージが含まれているイメージのデプロイを防ぐ
Container Registry Vulnerability Scanning
と併用することも可能です。Container Registry Vulnerability Scanning は、Ubuntu、Debian、および Alpine のイメージの脆弱性スキャンを自動実行してイメージの安全なデプロイを保証します。
Container Registry Vulnerability Scanning
と
Binary Authorization
の詳細はそれぞれのウェブサイトをご覧ください。
Google Cloud の充実したグローバル ネットワークは、パフォーマンスとセキュリティの両面でお客様に大きなメリットを提供します。その具体的なサービスの 1 つである
Cloud Armor
は、Google 検索、Gmail、YouTube の保護で使われているのと同じグローバル インフラストラクチャに基づいた DDoS およびアプリケーション防御サービスとして機能します。本日ベータ リリースした
Cloud Armor geo-based access control
(地理ベースのアクセス制御機能)を使用すれば、アプリケーションに接続しようとするクライアントの地理的位置に基づいてサービスへのアクセスを制御できます。Cloud Armor の機能としてはこれ以外にも、IP アドレスに基づいたトラフィックのホワイトリスティングおよびブロッキング、SQL インジェクションおよびクロスサイト スクリプティング攻撃からの防御を目的とした事前に組み込まれているルールのデプロイ、選択したレイヤ 3-7 のパラメータに基づいたトラフィック制御などがあります。Cloud Armor は、Google のグローバルな負荷分散サービスと連携しており、防御ルールを規定するリッチでオープンな
ルール定義言語
とともにポリシー フレームワークを提供します。これにより、独自の要件に基づいてアプリケーション レベルの DDoS 防御を大規模に展開できます。
データの保護
データ保護は、企業ワークロードをクラウドで実行するときの最重要課題です。私たちは、お客様の側で何もしなくてもデフォルトですべてのデータを暗号化する唯一のクラウド プロバイダーであることに誇りを持っていますが、最も重要な情報資産を保護するための追加オプションを多くのお客様が求めていることも理解しています。
近くベータ リリースする予定の
Cloud HSM
は、クラウドでホスティングされるマネージド ハードウェア セキュリティ モジュール(HSM)サービスです。暗号鍵をホスティングし、FIPS 140-2 レベル 3 を満たす内容で HSM の暗号化処理を実行します。このフルマネージド サービスを導入すれば、HSM クラスタ管理という運用上のオーバーヘッドを気にせずに、最も機密性の高いワークロードを保護できます。Cloud HSM サービスは
Cloud Key Management Service
(KMS)と密接に統合されているため、ハードウェア内で生成および保護される鍵の作成や使用が非常に単純になり、BigQuery や Google Compute Engine、Google Cloud Storage、Google Cloud Dataproc などの CMEK(Customer-Managed Encryption Keys)と併用できます。詳細は
Cloud HSM のウェブページ
をご覧ください。
より強力な保護のレベル向けに、私たちは最近
Asylo
もリリースしました。Asylo は、高い機密性が求められるコンピューティング環境でのアプリケーションおよびデータの機密性と完全性を保護するために Google が開発した
オープンソース フレームワーク
です。Asylo が
開発者たちの関心を集め、その勢いが今も続いていること
を私たちはうれしく思っています。詳細は
Asylo のウェブサイト
をご覧ください。
透明性、洞察力、制御力の強化
クラウドへの信頼は透明性から生み出されると私たちは考えています。クラウドへの移行に際して、組織のセキュリティ目標の達成に必要な可視性、洞察力、制御力が強化されるツールを提供したいと考えております。
私たちは、
データの暗号化
など、クラウドで必要とされる作業の方法を説明するドキュメントを充実させました。また、Google のプラットフォーム上にあるお客様のデータを扱わなければならないごく限られた状況においては、
リアルタイムに近い可視性
も提供します。この種の機能としていち早く投入した GCP 向けの Access Transparency についても、近く正式にリリース予定です。Access Transparency の詳細は
こちらのウェブサイト
をご覧ください。
G Suite のお客様向けとしては、
調査ツール
という新機能を
セキュリティ センター
に追加しました(早く試してみたい方は
こちら
からお申込み下さい)。管理者がこの新ツールを使用すると、ドメイン内で発生しているセキュリティ問題を見つけ出し、すばやく対応することができます。たとえば、複数のデータ ソースにまたがって全社的な検索を実行すれば、どのファイルが社外と共有されているかを把握できます。検索結果を 1 つにまとめ、相関関係を分析して、複数のファイルに対するアクセス制御を一括で実行することが可能です。また、G Suite のレポートや監査データを
管理コンソールから Google BigQuery へ
と簡単に移せるようになりました。さらに GCP のお客様向けとして、新たに
セキュリティ パートナー 5 社のツールを Cloud Security Command Center に統合
し、Google Kubernetes Engine で実行されているコンテナのリスクを把握しやすくしました。
最後になりましたが、現在は多くのお客様が、世界中に分散している Google データセンターを活用してレイテンシを最小化し、地理的な冗長性の向上に役立てています。ただ、一部の組織にはデータの格納場所に関する特別な要件があり、私たちはそのニーズへの対応についてもコミットしています。この取り組みの第一歩となるのが
G Suite data regions
であり、G Suite Business および Enterprise のお客様は、G Suite アプリケーションにおける一部のプライマリ データについて、それが格納されるリージョンを指定(グローバル、米国、欧州)できるようになりました。
以上のアップデートに加えて、私たちは先週、
Password Alert
という Chrome ブラウザの新しいポリシーを発表しました。これは、コントロールできない管理外のサイトで従業員が会社のパスワードを再利用するのを防ぐ機能です。アカウント情報の流出防止に役立ちます。
今後も多くのセキュリティ機能を提供
Google Cloud は、セキュリティ強化の取り組みが認められ、
『Forrester Wave™ : Public Cloud Platform Native Security』の 2018 年第 2 四半期レポート
でリーダーの 1 つに選ばれました。非常に喜ばしいことではありますが、現状に満足するわけにはいきません。もっとセキュアなビジネス環境を構築は、誰にとっても良いことです。私たちはこれからもイノベーションを追い求めながらお客様の環境の安全性を高める方法を提供していきます。詳細は
こちらのセキュリティ ページ
をご覧ください。
- By Jennifer Lin, Product Management Director, Google Cloud
Gmail ユーザーのプライバシー保護とセキュリティ確保
2018年7月12日木曜日
* この記事は米国時間 7 月 3 日に Keyword に
投稿
されたものの抄訳です。
私たち Google は、お客様がメールにどのようにアクセスし、利用したいかをお選びいただけるように、開発者のアプリケーション(たとえばメール クライアントや旅行プラン作成アプリ、CRM システム等)と
Gmail をインテグレート
できるようにしています。ただし、Gmail への全面的なアクセスを許可するにあたっては、Gmail とインテグレーション可能なアプリの開発者やアプリ自体の徹底的な検証を継続的に行っています。また、Gmail を利用している企業の管理者と一般ユーザーの双方に対して、データ利用の透明性とデータ管理の手段を提供しています。
Google 以外が提供するアプリケーションにどのような権限を与えたかは、
セキュリティ診断
にアクセスすることで確認でき、不要なアクセス権限が付与されていれば取り除くことが可能です。G Suite を利用している企業の管理者の場合は、Google 以外が提供するアプリに対して、管理下にあるユーザーのデータへのアクセスを許可するかを
ホワイトリスト方式
で決められます。
お客様のデータの安全確保は私たちにとって最優先事項です。この投稿では、企業および一般のユーザーの両アカウントに対する Google の検査プロセスとユーザーが行える管理方法について説明します。
選択肢の提供と、セキュリティ侵害や詐欺アプリからの保護
Google 以外が提供するアプリをはじめとする活気に満ちたエコシステムは、お客様に様々な選択肢を提供し、メールというサービスからお客様が最大限の成果を引き出す上で有益なものです。ただし、Google 以外が提供するアプリが Gmail のメッセージにアクセスするには、複数のステップからなる審査プロセスが課せられています。審査内容には、開発者の自動審査と不動による審査、アプリの合法性を確認するためのプライバシー ポリシーとホームページの評価、アプリが説明どおりに動作することを確認するためのアプリ内テストが含まれます。
Google 以外が提供するアプリが
Google の審査に合格
するためには、次の 2 大要件を満たす必要があります。
アプリの正確な説明 :
アプリについて正確に説明し、ユーザーのデータをどのように利用するのかを明らかにする必要があります。意図を偽ってはならず、プライバシーに関する明確な情報開示の手段をわかりやすい形で提供しなければなりません。
関係のあるデータのみを利用 :
アプリは、その機能に必要な最小限のデータへのアクセスだけを求め(それ以上は認められません)、それをどのように使っているかを明確に示さなければなりません。
私たちは、Google 以外が提供するアプリが Google の
ポリシー
に合致しているかを継続的に評価し、合致していないと判断した場合はデータへのアクセス許可を取り消します。
ユーザー自身によるデータ保護
透明性および管理手段の確保は、常にデータ プライバシーの中心的な原則です。私たちは、そうした原則を自らの製品に確実に反映させるために絶えず努力してきました。
Google 以外が提供するアプリにおいては、それらがデータにアクセスする以前に、必ずそのアプリがアクセスできるデータのタイプとデータの使い方を示す許可画面が表示されます。
アクセスを許可するにあたっては、この画面をしっかり確認することを強くおすすめします。
また、お客様が自身の情報をいつでも管理できるように以前から機能を提供しています。たとえば
セキュリティ診断
は、データにアクセスできるすべての Google 以外が提供するアプリを表示しています。潜在的に危険なアプリにはフラグが立ち、過去に与えた許可を取り消すことができます。許可の確認と管理は
myaccount.google.com
のアカウント設定ページでも行えます。
G Suite 管理者向けのツール
G Suite の管理者は、
接続できる OAuth アプリのホワイトリスト
を作成し、 Google 以外が提供するアプリ対し、管理下のユーザーが、アクセスを許可できるデータのスコープを指定することができます。こうすることで、G Suite のユーザーは、所属組織によって検証かつ信頼されているGoogle 以外の OAuth アプリのみにアクセスを認められるようになります。
業界最先端のセキュリティと AI 機能を提供する Gmail
Gmail は、スパムやフィッシング メールを 99.9 % シャットアウトし、受信トレイに届かないようにするなど、ワールドクラスのセキュリティ機能を備えています。私たちはこうした機能を提供するためにメールの自動処理を行っていますが、これは業界の標準的なプラクティスであり、作業効率の向上を支援する
スマート リプライ
などのインテリジェント機能を提供するうえでの基礎にもなっています。
私たちが
広告表示のためにメールの内容を読み取ったり、機械的な処理を行うことはありません
。API アクセス料を外部の開発者から徴収することもありません。Gmail の主要なビジネス モデルは、
G Suite
の一部として企業に有料サービスを提供することです。確かに一般ユーザー向けの Gmail には広告が表示されますが、これはメールの内容に基づくものではなく、
広告のカスタマイズはいつでも変更可能
です。
メールの自動処理を理由に、Google が利用者のメールを読んでいるのではないかといった疑問やご指摘をいただくことがあります。Google では、ユーザーからの依頼と同意がある場合、もしくは、バグや不正利用の調査等セキュリティ上のやむを得ない場合を除き、Google のいかなる社員もユーザーの Gmail を読むことはありません。
プライバシーとセキュリティ保護のための取り組みに終わりはありません。私たちは常に、お客様を守るためのより良い方法を探し続けています。最近では、
Google アカウントの透明性向上
、
広告表示設定の強化
、
悪意のあるアプリからの保護を強化するための新しい OAuth 保護の追加
といった方策を講じました。また、保護機能の改善策についても継続的に発表しています。Keyword ブログの “
Safety & Security
” の最新記事をチェックしてください。プライバシーとセキュリティに関する Google のコミットメントについては
privacy.google.com
をご覧ください。
- Post by Suzanne Frey, Director, Security, Trust, & Privacy, Google Cloud
クラウド上でビジネスを守る新たな手法
2018年4月2日月曜日
*この記事は米国時間 3 月 21 日に、Gerhard Eschelbeck (Vice President of Security & Privacy) によって投稿された
もの
の抄訳です。
生産性を加速させるコラボレーション ツールや、イノベーションを促進するプラットフォーム、 AI を活用した顧客インサイトの分析精度向上ツールなど、クラウドは以前にも増して、ビジネスを変革させる場となっています。また、多くの企業が自社データの保護や、セキュリティを確保する場所として、よりクラウドを活用するようにもなっています。
先日 Urs Hölzle が
ブログ
で紹介したように、セキュリティを最優先事項として捉えれば、残りはすべてついて来るというのが Google 創設以来の信念です。Google は、常に進化するセキュリティ課題を解決するために必要な機能を開発し続けています。本日、Google では、お客様がセキュリテ ィ環境の制御を徹底し、さらに拡張するための 20 の機能強化を発表します。
Google Cloud Platform
、
G Suite
、
Chrome Enterprise
のアップデートの詳細については、それぞれのリンクからご確認ください。ここでは、特に、新たに追加した 3 つの機能を例にご紹介します。
先例のない制御で、さらに効果的にデータを保護
Google Cloud は、Titan
チップ
などのカスタム ハードウェアから、保存・転送中もデフォルトで行われる
データ暗号化
まで、その設計、構築、運用にセキュリティが最優先事項として組み込まれています。Google のお客様はこれらをベースに、それぞれのニーズや必要とする保証のレベルに合わせて、自由にセキュリティ コントロールを展開することができます。本日、Google は、幅広い保護機能を追加するための
VPC サービス コントロール
を発表します。
現時点で α 版として提供している VPC サービスコントロールは、 GCP のフルマネージドのストレージおよびデータ処理機能を利用しながら、機密データを非公開に保つことができる機能です。 アプリケーション内全域においてデータの流出を防ぐために目に見えない境界を構築し、そのバーチャルな境界を自由に設定、再設定あるいは解除する権限を持つことを想像してみてください。これは、GCP 上の API ベースのサービスに使えるファイアウォールのようなものと考えても良いでしょう。適切に定義された VPC (仮想プライベート クラウド) サービス コントロールにより、管理者は、データ 違反や内部脅威によるクラウド サービスからのデータ漏洩を防ぐ高度な制御を行うことができます。
このマネージド サービスによって、企業はクラウド リソースとハイブリッド VPC ネッ トワークとの間で専用通信を構成することができます。オンプレミス ネットワークから GCP サービスで保存されたデータまで境界セキュリティを拡張することにより、企業は安心してクラウドで機密データのワークロードを実行できます。
VPC サービスコントロール では、管理者はアクセス コンテキスト マネージャを使って、どのユーザー が GCP リソースにアクセスできるかを、より正確に管理することができます。お客様においてはアクセスポリシーを作成し、ユーザーのロケーション、IP アドレス、エンドポイントのセキュリティ ステータスのようなコンテキスト属性に基づいてアクセス権を付与できます。インターネットからクラウド リソース上のデータへのアクセスを許可する場合に、ポリシーに沿って保護を適切なレベルに保つことができます。
Google Cloud は、組織が物理的なオンプレミス環境で実現できるシンプルさ、速度、 柔軟性をはるかに上回る、API ベースサービスの仮想セキュリティ境界を提供する初のクラウドプロバイダーです。
実用的なセキュリティ インサイトによるデータリスクの可視化
クラウド サービスの利用が増え続けることで、組織におけるクラウド フットプリントとそのインフラ ストラクチャのセキュリティ ステータスの明確な可視化がこれまで以上に重要になっています。企業は、データ漏洩につながるセキュリティ インシデントの脅威を防ぐために、適切なデータや行動につながるインサイトを必要としています。これにお応えすべく、本日、Google では
Cloud Security Command Center
アルファ版 の提供を開始します。
Cloud Security Command Center は、企業のデータ収集や、ビジネスに損害や損失をもたらす脅威の検出と対処をサポートするための、GCP 向けのセキュリティおよびデータリスク プラットフォームです。まず、Cloud Security Command Center は、App Engine、Compute Engine、Cloud Storage、Cloud Datastore にまたがるクラウド アセットについて状況を集約し可視化します。ユーザーは、プロジェクトの数やデプロイされているリソース、機密データの保存場所、ファイアウォ ールの構成等を素早く管理できます。継続的なディスカバリ スキャンによって、企業はクラウド アセットの履歴を確認でき、その環境内で変更された内容を正確に把握し、不正な変更があれば適切に処理することができます。
Cloud Security Command Center は、クラウド リソースへの強力なセキュリティ インサイトも提供します。たとえば、セキュリティ チームは、クラウド ストレージ バケットがインターネットに対して開かれているかどうか、個人を特定できる情報を含んでいるかどうか、 クラウド アプリケーションがクロスサイト スクリプティング(XSS)の脆弱性から影響を受けやすい状態かどうかなどについて判断できます。
最後に、Cloud Security Command Center は、Google や他の大手 セキュリティ ベンダーが提供する情報の活用もサポートしています。管理者は、Google のセキュリティ チームが開発した組み込みの異常検出機能を使用して、ボットネット、暗号通貨マイニング、疑わしいネットワーク トラフィックのような脅威を検知できます。また、Cloudflare、CrowdStrike、Dome9、RedLock、Palo Alto Networks、Qualys のようなベンダーからの分析結果を統合し、DDoS 攻撃、エンドポイントの侵害、コンプライアンス ポリシー違反、ネ ットワーク侵入、インスタンスの脆弱性や脅威を検出します。継続的なセキュリティ分析や脅威インテリジェンスにより、お客様は集中管理用のダッシュボードや API を通じ全体のセキュリティの健全性について、より優れた評価を行い、リスクに対して迅速に対応できます。
これは、Google が企業向けに提供している優れた可視化ツールの一例にすぎません。
今年早くに
Google では、G Suite をご利用のお客様に対してセキュリティ分析や推奨事項を提供する G Suite 向けの
セキュリティ センター
を発表しました。本日、Google はセキュリティ センターへの追加機能を発表しました。これには、フィッシングの脅威や疑わしい端末アクティビティをハイライト表示する新しいグラフも含まれます。これらの改善に関する詳細については、
G Suite
と
GCP
についてをご覧ください。
お客様のデータ取扱い方法の透明性
クラウド プロバイダーの選択において、信頼性は何よりも大切です。Google は、お客様がご自身のデータの取扱いをすべて確認できるよう、可能な限りオープンで透明性を保ちたいと考えています。Cloud Audit Logging は、どの管理者が、何を、どこで、いつ、そしてなぜお客様の GCP プロジェクトを扱ったか、といった質問にお答えします。
また、
アクセスの透明性
では、Google のエンジニアが GCP のお客様のコンテンツに対して処理を行った場合には、必ず実行したアクションやサポートについて変更不可能な監査証跡を提供します。アクセスの透明性は、Google の管理者による操作を、ビジネス上の妥当性を持つ操作(例えば、お客様が作成した特定のチケットに対応する操作、あるいはサービス停止から復旧するための操作など)のみに制限するような、堅牢な制御の上に構築されています。
上記に加えて、クラウド監査ログとアクセス 透明性ログは、お客様のクラウド環境において、管理者のアクティビティの包括的な可視化を可能にします。Google は、信頼は透明性によって築くことができると確信しています。クラウドプロバイダーによる管理について、GCP が高いレベルの可視化ツールを提供する初のプロバイダーであること誇りに思います。
企業にとってクラウド セキュリティが意味する事
今日ご紹介したのは、企業がより簡単で安全にクラウドでのビジネスを構築・拡大するために、Google Cloud が提供するサービスの一例です。今後も同様に多数のサービスが登場します。
ESG 社のシニア アナリストであるダグ・ケイヒル氏は次のように述べています。「企業がクラウドを使い始める過程において、信頼が大きく影響します。CEO や CIO が、コントロールを放棄することなく、クラウドを利用することで大きなメリットを得られると納得する必要があります。今回の発表により、Google Cloud はより優れた制御と分析情報を顧客に提供し続けていくでしょう。また、アクセスの透明性が実現するクラウド環境内での管理アクティビティのさらなる可視化は評価に値します。セキュリティの基本的な対策がすでに講じられている安心を顧客に与えつつ、脅威の変化に合わせて絶えず進化し続けていくでしょう」。
Credit Karma、
Lahey Health
、
Sanmina Manufacturing
といったお客様は、Google Cloud を利用して自社のデータを安全に管理しています。
Credit Karma 社の最高技術責任者であるRyan Graciano 氏は次のように述べています。「データに基づく予測推奨システムを用いて、パーソナル ファイナンスという複雑な環境下で会員をナビゲートするという、当社の使命の遂行において、(Google が提供する)強力なセキュリティを支える体制は重大な役割を果たしています。ユーザーの信頼は、当社のビジネスに非常に重要です。そのため、クラウド プロバイダーを選ぶ際、セキュリティは極めて重要です。Google Cloud の徹底したアプローチは、当社の高い審査基準を満たしており、私たちが最適な商品の構築に専念する時間を増やすことを可能にしています」。
Google は、より安全なビジネス環境は、すべての人に有益であると考えています。これからもより安全な環境でビジネスを支援できる方法を模索してまいります。本日のセキュリティに関する発表について詳しくは、
GCP
、
G Suite
、
Chrome Enterprise
をご覧ください。
クラウドのセキュリティ
2018年3月26日月曜日
*この記事は米国時間 3 月 19 日に、Urs Hölzle (Senior Vice President, Technical Infrastructure) によって投稿された
もの
の抄訳です。
セキュリティは現代における大きな課題のひとつです。セキュリティインシデントのためにデータを失う企業や政府は後を絶ちません。たった一度の侵害や漏洩のために何百万ドルもの罰金が科せられたり、ビジネスチャンスを失ったり、またなによりも大事な顧客の信頼を失う可能性まであります。
このため、セキュリティは CEO や取締役会にとってますます重要な事項として認識されるようになっています。私は今週、Google Cloud CEO の Diane Greene をはじめ多くの同僚と一緒に、 New York で開催される会合に出席する予定です。その会合では各社の CEO 100 名以上と、クラウドのセキュリティについて話し合うことになっています。
セキュリティの問題は、最終的には人に帰結する問題です。サイバーセキュリティ攻撃は、その理由に関わらず、攻撃を行うのが個人であれ組織であれ、結局のところ人がすることなのです。
こうした攻撃では、フィッシング メールのような、人間の性質を利用した手口がよく用いられます。そして、最終的に被害を被るのは人です。
ある報告
によれば、 2017 年だけで 1 億 7900 万件を超える個人情報が漏洩したと言われています。
私たちは、セキュリティを人の問題として捉え、一丸となって取り組むべきだと考えています。
クラウドの活用による脅威への対応
クラウド プロバイダーは、各種の脅威に備えて巨大な専門家チームを擁しています。そのようなチームの規模は、多くの企業が内部で抱えるチームの規模をはるかに凌ぎます。実際にそれぞれの企業が自社でユーザーを保護しようとしたら、世界中のセキュリティ専門家を総動員しても足りないでしょう。
金融サービスから医療、小売業までさまざまな業界で、自社のデータやお客様を守るために、クラウドが提供する自動化やスケーリングが活用されています。これにより、企業の従業員は、自分の仕事に専念することができます。この動向が示すのは、多くの企業が、私たちと同じく「クラウドに移行していないならば、ビジネスを危険にさらしている可能性が高い」という結論に至っているということです。
今年 1 月に
CPU の脆弱性
が公表されました。これは、テクノロジー業界を震撼させるような発表ですが、クラウドを利用する企業の多くは、通常どおり業務に従事することができました。Google Cloud では、ライブ マイグレーションでインフラ ストラクチャを更新したため、お客様によるシステムの再起動も、ダウンタイムもなく、実質的なパフォーマンスに影響を与えることなく対応を終えました。
Google Cloud の対応詳細についてはこちらをご覧ください
。お客様にまったく影響なく対応が完了したことから、お客様から、脆弱性に対する対応が完了しているのかというお問い合わせをいただいたほどでした。
人間は決して完全なコードを書けるわけではありません。これからもセキュリティの脆弱性が明らかになることはあるでしょう。しかし、クラウドではそうした脆弱性に対して容易に対処できます。新たに出現する脅威を発見し抑制するクラウド セキュリティ チーム、多数のシステムを大規模なスケールで更新する能力、ユーザーのスキャン・更新・保護の自動化などのクラウドの特性が、情報と人々を保護する上で大きく貢献しています。
Google Cloud のセキュリティ
セキュリティは、設立当初から Google にとって最優先事項でした(本当に最初からそうなんです)。Google では、約 20 年にわたりクラウド上で安全にサービスの提供を行っています。Google には 10 億人以上が使用するサービスが 7 つあり、私たちは休むことなくこれらを脅威から保護しています。さらに、Google Cloud Platform (GCP) も毎日 10 億 以上の IP に接続されています。Google は、セキュリティはイノベーションに力を与えると信じています。セキュリティを優先すれば、残りの事はすべてうまく行くと言っても過言ではありません。
セキュリティは細部への注意とこだわりが重要です。Google では 2010 年に業界で初めて
SSL メールをデフォルト
で導入し、2014 年に
U2F セキュリティ トークン標準
を作成しました。Chrome は 2016 年に
ポスト量子暗号をサポートする最初のブラウザ
となりました。2017 年にはクラウド インフラストラクチャのマシンと周辺機器の両方を対象とした
Titan(ハードウェアの信頼基盤を確立する専用チップ)
を導入しました。これらは、Google がセキュリティについてどれほど細部にまで注意を払っているか、そして進化し続ける脅威を把握するために Google が業界を牽引する役割をどのように果たしているかを表しています。
加えて、Google の
Project Zero チーム
は、インターネットに潜む脆弱性を常に探しており、実際にこのチームが貢献した例として、「Heartbleed」や、最近の「Spectre」や「Meltdown」といった脆弱性の発見が挙げられます。また、セキュリティバグ発見への協力を呼びかけるために、
Vulnerability Reward Program
を通じ、セキュリティ コミュニティに対するインセンティブの提供も行っています。私たちはセキュリティを取り巻く環境の複雑さを理解した上で、この困難な課題を解決する方法を見つけるべく多くの時間を費やしています。インフラ ストラクチャを構築する方法、製品を開発する方法、運用する方法を定義し、セキュリティに関する原則を策定してきました。
たとえば、Google では、事後的に何かを開発してセキュリティを強化するだけでは不十分だと考えています。セキュリティは、すべての設計の基盤となるべきであり、古い枠組みに外からとってつけたようなものではいけません。だからこそ Google では常時進化する複数のレイヤーからなるセキュリティを構築し、単一の技術に依拠しない形で、真の意味での防御を可能にしています。
企業にとって、セキュリティを最優先事項とし、ユーザー保護への責任を果たすことが今まで以上に重要視されています。これは、Google にも当てはまります。すべての企業は人々に対する説明責任があり、ビジネスにはユーザーの信頼が欠かせません。セキュリティをきちんと整備しなければ、ビジネスは成り立たないのです。
これが、セキュリティを向上させる手段として、私がクラウドに情熱を注ぐひとつの理由です。Google は、インターネット上でユーザーを保護するために常に全力を注いできました。Google Cloud ではその機能を活用して、企業がそれぞれのユーザーを保護できるようにしています。
クラウドにおけるセキュリティ向上の取り組みについて、順次お知らせします。引き続きご注目ください。
新しい研究:クラウドのセキュリティを進化させる方法
2018年3月5日月曜日
*この記事は米国時間 2 月 27 日に、 Maya Kaczorowski (Product Manager, Google Cloud) によって投稿された
もの
の抄訳です。
今週、McKinsey 社が「
パブリック クラウドに安全に移行する
ために」というレポートを発表しました。世界中の約 100 社の IT セキュリティの専門家とのインタビューの結果がまとめられています。レポートでは、Google Cloud と McKinsey のセキュリティ専門家が専門知識を持ち寄った調査結果として、クラウドおよびハイブリッド環境における IT セキュリティの戦略的フレームワークがまとめられているほか、セキュリティを優先した形でのクラウドへの移行方法に関する推奨事項も提示されています。
この調査結果には、パブリック クラウドの採用が加速している原因として、技術的柔軟性、よりシンプルなスケーリング、運用コストの低減など、多くの人々にとって既知の事実も含まれていました。一方、注目する点としては、多くの最高情報セキュリティ責任者(CISO)は、もはやセキュリティがクラウドの採用を思い留まらせる理由とは見ておらず、むしろクラウド採用に向けたチャンスとみなしている事実がこの調査によって明らかとなったことです。レポートによれば「多くの場合 CISO は、クラウド サービス プロバイダーのセキュリティ リソースによって、自社のリソースが圧縮可能であると認めている」と記されています。これらの企業では、セキュリティの向上のために、クラウド サービスをいかに採用し、構成するかに焦点が集まっています。
適切な実装でのパブリック クラウド採用が、IT セキュリティの総所有コスト(TCO)を大幅に削減する
これを実現するには、企業、クラウド プロバイダー、サードパーティのサービス プロバイダーが、共有されたセキュリティ モデル内で、高い透明性を持ち、協力して業務にあたる必要があります。Google Cloud では、これまで長きにわたり、透明性があってこそ、信頼は築かれるという信念を掲げ続けてきました。Google の
インフラストラクチャ セキュリティ
に関する詳細概要を以前リリースしましたが、その中では、
Google の責任共有モデル
や、より低い階層でのユーザー、お客様保護に向けた方法についても説明しています。私たちは 、今般の McKinsey による詳細な調査結果においても同様のアプローチが取り上げられたことを嬉しく思っています。
共通のセキュリティ アプローチとトレードオフ
すべての企業には異なる IT ニーズが存在しますが、レポートでは、企業がクラウド サービスの採用時に、セキュリティに関してある 2 つの共通の意思決定を下している事実が示されています。その意思決定とは、(1)境界を定義すること、(2)クラウドでより優れた管理やパフォーマンス、セキュリティを得るためにアプリケーションを再構築するかどうかを決定すること、の 2 点です(興味深い事実としては、調査対象企業の中で上記 2 つの意思決定を行った企業は、全体の中でたった 27% の企業のみでした。変化は難しいものです)。
この調査では、バックホーリング、クリーンシーティング、そしてデフォルトのクラウド プロバイダー制御の採用という、境界セキュリティに関する 3 つの共通の形が示されています。
●
バックホーリング
では、企業は、データセンターをパブリック クラウドに接続する外部ゲートウェイを使用することにより、IT セキュリティをオンプレミスで管理し続けることができます。調査対象の企業の約半数が、現在このモデルを使用しています。 しかし、このモデルを使用し続ける予定の企業は 11% に留まっており、その理由としては、クラウドが持つ俊敏性のような特定のメリットの実現が妨げられていることが挙げられています。
●
クリーンシーティング
では、「仮想境界」に関して IT セキュリティを再設計する必要が生じ、複数のクラウド ネイティブ ツールやサービスを利用しなければならないため、より多くの投資と専門家を必要とします。
●
クラウド プロバイダー制御を利用
する方法は、最も費用対効果が高いソリューションですが、クラウド プロバイダーによっては、自治権が制限されたり、提供される機能が制限されたりする場合があります。
McKinsey はこれら 3 つのモデルを使用した上で、クラウド向けアプリケーションを再構築するかどうかという点と併せて、クラウド セキュリティの 6 つの型を区別しています。それぞれの型には、独自のトレードオフが存在します。
クラウドへと移行する際、セキュリティに関する唯一絶対の「正解」はなく、企業の専門家、柔軟性、コスト決定に応じて方法は異なります。
また、1 つの型のみを使用しなければならないというわけでもなく、 たとえば、Evernote は自社の
Google Cloud Platform への移行ストーリー
について次のように説明しています。
「必要なコントロールのほとんどは、Cloud Platform に同等のものがありました。保存されたデータの暗号化については、自社で設計したことがないセキュリティ制御を得ることができました。IP ホワイトリスティングなどの一部の制御では、従来のネットワーク制御に依存するのではなく、自分たちのセキュリティ アーキテクチャを適応させる必要がありました」
。
- Rich Tener 氏、Evernote セキュリティ担当ディレクター
クラウド セキュリティの経済性
今回のレポートでは、クラウド サービス プロバイダーのセキュリティ制御に頼ることが、「最も費用対効果が 高いアプローチ」であるとしたほか、「組織はますますアプリケーションをパブリック クラウドに移行するようになっており、ネイティブ CSP 制御を用いる傾向があるため、セキュリティ運用と設備投資のコストは減少傾向にある」と述べています。主にクラウド プロバイダーの制御を採用し、並行してアプリケーションの再構築を進める企業の 80% において、費用の削減がありました。
クラウド移行を計画する場合、セキュリティに関してはどの分野に注力するべきでしょうか。 McKinsey は、企業が実際に行っている内容を調べるため、以下の分野でのクラウド セキュリティ制御の適用方法について企業関係者への調査を行いました。
●
ID とアクセス管理(IAM)
: 企業の 60% は、オンプレミス IAM ソリューションを使用していますが、わずか 3 年でその数は半減するとの予想が回答者から寄せられました。 Google では、既存の ID を Google Cloud で使用できるようにし、クラウドの権限を
IAM
でネイティブに管理できるようにする
Google Cloud Directory Sync
というツールを提供しています。
●
暗号化:
保存データと転送中のデータの両方を暗号化していると答えた回答者は過半数に上り、今から 3 年以内に実施予定であると答えた回答者を含めると、その数はさらに多くなります(両方のカテゴリで 80% 以上)。Google Cloud では、
デフォルトで保存データを暗号化し
、
転送中のデータ
も物理的な境界を超える際に暗号化されま す。
●
境界セキュリティ:
今日、40% の企業が、データ トラフィックをバックホールしており、既存のオンプレミス ネットワーク セキュリティ制御を使用していますが、その数は減少すると予想されており、同じ方法を 3 年後も使用していると回答した企業の数は 13% に留まります。Google Cloudでは、企業がクラウドベースの境界制御に移行しやすくなるよう、
専用相互接続、IPsec VPN トンネル、ダイレクト ピアリング、キャリア ピアリング
を使用して、ユーザーがオンプレミス環境にアクセスできるようにしています。Google Cloud ユーザーは
Virtual Private Cloud(VPC)
を使用して境界を制御することも可能です。
●
アプリケーション セキュリティ:
回答者の 65% が、クラウドベースのアプリケーションに関するセキュリティ構成基準を定義していると答えましたが、ツールを使用したりテンプレート ベースで実施したりしていると答えた回答者は 20% 未満でした。これに取り組むため、 Google Cloud では 、一般的な脆弱性についてアプリをスキャンする
Cloud Security Scanner
と呼ばれる自動化された手段を提供しています。
●
オペレーション モニタリング:
回答者の 64% は、クラウド用に新たなツールを作成するのではなく、既存の SIEM ツールを使用してクラウド アプリケーションをモニタリングしているとしています。Google Cloud ユーザーは、Stackdriver から好きな SIEM に
ログをエクスポート
できます。
●
サーバー側エンドポイント:
回答者の 51% が、クラウド サービス プロバイダーの サーバー側エンドポイントのセキュリティへのアプローチに高い信頼を置いています。 Google Cloud のお客様は、エンドポイント セキュリティのためのさまざまな
パートナー ツール
を利用できます。
●
ユーザー エンドポイント:
回答者の 70% が、パブリック クラウドを採用すると、 ユーザー エンドポイントに変更を加える必要が生じると考えています。Google では、 自社の従業員がどこからでも作業できるように
BeyondCorp
企業セキュリティ モデル を作成しており、Google のお客様は
Identity Aware Proxy
を使用して同様のことを行えます。加えて
Chromebooks
は、自動ソフトウェア更新を提供し、制限付きのサンドボックス内でアプリケーションを実行します。
●
ガバナンス:
パブリック クラウドを採用する際、企業はガバナンスやコンプライアンスの要件に対応していく必要があります。回答者の関心が集中したのはデータの場所や金融規制でした。Google Cloud は、PCI、SOX、HIPAA など広範囲にわたる
コンプライアンス
に対応しています。 今般のレポートには、クラウド移行成功に向け、戦術的な 10 段階に分類化された計画も含まれています。詳細については、
レポートをダウンロード
してご確認ください。
G Suite、新たなセキュリティ管理機能の拡充を発表
2017年2月3日金曜日
※この投稿は、米国時間 2017年1月31日に、Reena Nadkarni PRODUCT MANAGER, G SUITE によって
投稿
されたものの抄訳です。
クラウドは企業に、スケールメリット、スピード、TCOの削減、といった様々なメリットを、そしてユーザーには大きな利便性をもたらします。G Suite は、インテリジェントなクラウド型プロダクティビティ スイートとして、これまで世界中のビジネスを支えてきました。現在
Whirlpool
、
PWC
、および
Woolworths
をはじめとする 300 万を超える企業が G Suite を活用して効率的にビジネスを進めています。
一方で、機密情報保護のための統制を強化していくことは、企業にとって日々大きな課題となっています。そこで G Suite は本日、お客様をはじめ CTO や規制当局が必要とする高度な管理機能(下記)を備えた、
G Suite Enterprise
エディションの提供を開始します。
セキュリティ キーの強制によるエンタープライズ品質のアクセス制御
Google ドライブ および Gmail のデータ損失防止(DLP)機能、Gmail のS/MIME 暗号化によるメールセキュリティの強化
BigQuery と Gmail の連携による、より高度な分析と洞察
会社のデバイスやシステムにアクセスできるユーザーを管理する
セキュリティー キー使用の強制
:
2011 年に、ユーザーが Google アカウントにログインする際のセキュリティ強化機能として2 段階認証を導入しました。2 段階認証プロセスでは、管理者はセキュリティキーの使用をユーザーに促すことができます。セキュリティキーは、ユーザーにとって使いやすく、フィッシングのような攻撃への対策としてより安全です。セキュリティキーは、ノート PC に直接プラグインしたり、Bluetooth や NFC を用いてモバイル機器とペアリングすることができるので、テキストを介してコードを取得する必要がありません。本日、管理者がセキュリティキーを持つユーザーだけにログインを制限できる権限を追加しました。また管理者は、セキュリティキーの展開を管理し、使用状況レポートを表示することもできます。
G Suite を利用してアカウントセキュリティを強化した Stripe の例
インターネットビジネスを運営するためのソフトウエアプラットフォームである Stripe は、世界中の何十万もの企業に対して年間数十億ドルもの処理を行っています。Stripe の従業員は毎日、G Suite を使用してコミュニケーションとコラボレーションを迅速に、効果的かつ安全に行っています。またセキュリティキーのおかげで、フィッシング詐欺や不正な電子メールアクセスに対処するための高度な認証コントロールを行うことができています。Stripe のセキュリティチームメンバーであるブライアン・バーグ氏は次のように語っています。
「Stripe を使用するお客様の期待に応えていくために、我々はセキュリティへの取り組みを最重要視しています。セキュリティキーは、利便性とアカウントセキュリティの向上を両立させる非常に効果的な方法です。セキュリティキーの使用を強制することにより、デスクトップとモバイルデバイスの両方で、全従業員のセキュアなログインを容易に実施できると考えています。」
社外に共有されるデータの統制
Google ドライブのデータ損失防止(DLP)機能
:
2015 年に、セットアップが簡単なルール、OCR イメージスキャンの認識機能、高度なカスタマイズ機能を備えた DLP for Gmail をリリースしました。そして本日、DLP を Google ドライブに拡張し、管理者が機密データを保護し、保存できるコンテンツを制御し、ユーザーが誤って機密データを外部と共有することを防ぐことができるようになりました。G Suite における DLP 機能のセキュリティは標準的な DLPを超えるものです。ルール設定が容易でコンテンツの OCR 認識が画像で保存されるので、管理者は簡単にポリシーを実施し、データの共有方法を制御できます。
Gmail の S/MIME 暗号化
:
Gmail のセキュリティーに関しては、メールを安全に保つためのあらゆるセキュリティー対策がバックグラウンドで施されています。また、業界基準の認証をサポートし、なりすましメールを防いでいます。しかし残念ながら、あなたがメールをやり取りしている相手が利用する他のメールサービスでは、データ保護のための同様の対策を講じていない可能性があります。そのため、S/MIME 暗号化のための独自の証明書を持ち出すオプションを提供することで、さらなる保護を提供します。 管理者は S/MIME の使用を強制でき、特定の組織単位のニーズに基づいて DLP ルールを設定できます。
社員の行動を理解する
Gmail のログと BigQuery の統合
:
Gmail のログには、管理者が課題を洗い出し洞察を深めるための貴重な情報が含まれています。 本日より、BigQuery の統合により、Gmail ログの分析をより簡単に行えるようになりました。管理者は高性能なカスタムクエリーを実行してデータを分析し、カスタムダッシュボードを構築できます。
サードパーティのメールアーカイブ
: Google Vault を使用すると Gmail コンテンツを簡単にアーカイブでき、またリーガルホールドや監査レポートの保持も遵守します。一部の組織では、HP Autonomy や Veritas などのサードパーティ SMTP アーカイブソリューションのサービスを利用していますが、それらサードパーティのアーカイブソリューションを Gmail に簡単に統合できるようになりました。
本日発表した、
G Suite Enterprise
エディションは、企業のお客様がより安心してお使いいただけるよう、お客様のニーズを踏まえて設計されたものです。Google Cloud が提供する G Suite を活用して、ビジネスの革新をより早く、より安全に行う方法を
ご覧ください
。
Labels
#GoogleCloudSummit
#GoogleNext18
#GoogleNext19
77 min Lunch
add on
admin
Advanced Solutions Lab
AI
AI Hub
AI Platform
Android
Anthos
API
App Engine
App Maker
apps
Apps script
ASL
atmosphere
Atmosphere Tokyo
AutoML
AutoML Natural Language
AutoML Translation
bigquery
Box
Calendar
Case Study
Chorme OS
Chrome
Chrome Enterprise
Chrome Enterprise 導入事例
Chrome for Work
Chrome ウェブストア
chromebook
chromebooks
Chromebooks for Education
Chromebooks for meeting
Chromebooks for Work
Chromebox
Chromebox for digital signage
Chromebox for meetings
Chronicle
Cisco
Cloud
Cloud Armor
Cloud AutoML
Cloud AutoML Natural Language
Cloud AutoML Translation
Cloud AutoML Vision
cloud connect
Cloud Dataflow
Cloud Identity
Cloud IoT Core
Cloud Load Balancing
Cloud Memorystore for Redis
Cloud monitoring
Cloud OnAir
Cloud Pub/Sub
Cloud Ranking
Cloud Services Platform
Cloud Storage
Cloud TPU
compliance
compute engine
Contact Center AI
Container Engine
Coursera
Deloitte
developers
Dialogflow Enterprise Edition
Drive for Work
Dropbox
earth api
Education
enterprise
Enterprise Japan
event
Evernote
Expo
Firebase
FISC
Forrester
G Suite
G Suite Business
G Suite for Education
G Suite 事例
G Suite 導入事例
G+
gadget
GAE
GCE
GCP
GCP 導入事例
GCP 認定資格チャレンジ
GDPR
GEO
GEP
GfWtips
GKE
gmail
Gmail、新機能
Gone Google
GoneGoogle
Google App Engine
Google Apps
Google Apps Blog
Google Apps for Education
Google Apps for Work
Google Apps Script
Google Apps ユーザー事例
Google Apps 導入事例
Google atmosphere
Google calendar
Google calender
Google classroom
Google Cloud
Google Cloud Certification
Google Cloud Next '18 in Tokyo
Google Cloud Next '19 in Tokyo
google cloud platform
Google Cloud Search
Google Cloud Summit '18
Google Cloud 認定資格チャレンジ
Google Commerce Search
Google Derive
Google Docs
Google Docs API
google drive
Google Drive for Work
Google Earth
google enterprise
Google Enterprise Day
Google for Education
Google for Work
Google form
Google hang-out
Google hung-out
google map
Google maps
google maps api
google maps api premier
Google Maps APIs
Google Maps for Work
Google Maps Platform
Google Message Continuity
google search appliance
Google Shopping
Google Sites
Google Springboard
Google Storage for Developers
Google Video
Google Wave
Google スライド
Google ドキュメント
Google ドライブ
Google フォーム
Google マップ
Google+
GoogleApps
GoogleApps、新機能、spreadsheets
groups
gsa
Hangouts Meet
healthcare
Hybrid Cloud Platform for Google Cloud
Inbox
INSIDE
iOS
iphone
ISAE 3402 Type II
ISO 27018
IT
Jamboard
japan
Kubeflow Pipelines
Looker
Lotus Notes
Machine learning
map
maps api
Maps 導入事例
Maps-sensei
Mapsコーナー
media
microsoft office
migration
mobile
new features
Next
Next Tokyo
OAuth
Office 365
Office of the CTO
Osaka
partner
Partner Interconnect
partner program
Partner Summit
postini
pricing
Qwiklabs
region
research
RSA
SAP
SAS70
search
Security
Security Key
seminar
Shizuoka
Signage
Sites
SMB
SSAE 16 Type II
startup
Status Dashboard
TensorFlow
Trial
Upload any files
vault
Veolia
Viacom
Virtual Conference
VMware
あっぷす先生
あっぷす先生 誤解をとく!
あっぷす先生会社訪問
イベント
インフラストラクチャ
おしえて!あっぷす先生
おしえて!くらうど先生
オフライン
クラウド
くらうど先生
サイネージ
サポート
セキュリティ
チームドライブ
チェンジマネジメント
デジタル トランスフォーメーション
テレワーク
パートナー
ハングアウト
プライバシー
まっぷす先生
ランキング
リージョン
ワークインサイト
円周率
海底ケーブル
企業検索
機械学習
互換性
事例
小売
新機能
働き方
認定資格
Archive
2019
8月
7月
6月
5月
4月
3月
2月
1月
2018
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2017
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2016
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2015
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2014
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2013
12月
11月
10月
9月
7月
6月
5月
4月
3月
1月
2012
12月
11月
10月
9月
8月
7月
6月
5月
4月
2月
2011
12月
10月
9月
8月
7月
5月
4月
2月
2010
12月
11月
10月
9月
7月
6月
5月
3月
2月
1月
2009
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2008
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
2007
12月
Feed
Follow @googlecloud_jp
Useful Links
G Suite
Google Cloud Platform
Google 検索アプライアンス
Google Maps
G Suite 公式アップデート情報