ニュース
100%クラウドでサイバーセキュリティのリスク低減とコスト削減を実現する――、Google Cloudがセキュリティへの取り組みを説明
2018年2月19日 11:56
Google Cloud Japanは14日、Google Cloudのセキュリティを紹介するメディア向けのセミナーを開催した。G Suite、およびGoogle Cloud Platform担当のカスタマーエンジニアを務める小林直史氏が、先日提供を開始した「G Suite セキュリティセンター」を含め、Google Cloudのセキュリティの概要について、デモを交えながら紹介している。
すべてのレイヤーで多重構造のセキュリティ対策
あらためて説明するまでもなく、以前から多くのCIOは、サイバーセキュリティをITの重要な課題としてとらえている。また、CEOやCFOも企業コンプライアンスなどの視点から、サイバーセキュリティに高い関心を持っている。もはやサイバーセキュリティは、IT部門のみならず経営部門にとっても優先度の高い企業課題として認識されている。
その一方で、ITシステムの複雑化、テレワークの増加、次々に登場する新たな手法の脅威により、サイバーセキュリティへの対策も複雑化してきた。
小林氏は「アプリケーションやサービスごとに個別にセキュリティを考えなければならない現状を、われわれはパッチワーク・セキュリティと呼んでいる。システムが複雑化することでリスクも増大している」と述べた。
こうした現状がある一方で、「Googleはフルスタックでセキュリティに対応している」と述べた小林氏は、ハードウェアからユーザーのデータの取り扱いに至るすべてのレイヤーにおいて、多重構造でセキュリティを確保していると説明する。
G Suiteが提供するセキュリティサービス
「情報漏えいの8割は内部的な要因で発生しているが、そのセキュリティインシデントの要因が、ここ数年で変わってきている。以前は『不正なデータ持ち出し』や『デバイスの紛失』が主な要因だったが、最近は『管理ミス』や『誤動作』などオペレーションミスが要因となるケースが増えている」と述べた小林氏は、オペレーションミスからデータやユーザーを保護し、脅威を検出して状況把握するため、G Suiteにはさまざまなセキュリティサービスが提供されていると説明する。
Gmailでは、AIを使ってスパムメール(迷惑メール)やマルウェアの検出を行っている。既存の定義ファイルやパターンファイルによるマルウェアの検出に加え、ヒューリスティック(振る舞い)な検知が可能となり、スパムやフィッシングメッセージの99.9%をブロックするという。
さらにG Suite Enterpriseエディションでは、GmailやGoogle Driveの安全性を向上させる「データ漏えい防止(DLP)」機能を利用することもできる。Gmailの送信ファイルや添付ファイルにクレジットカード番号、マイナンバー、運転免許証番号などの情報が含まれいないかを確認し、これらの情報を検出した場合の振る舞いを事前に定義しておくことが可能だ。
なお、単なる数字の羅列が含まれたメールをすべて検出するわけではなく、例えばクレジットカード番号であれば、定義されたパターンとの一致やチェックサムとの一致を確認することで、クレジットカード番号であるかを判断するという。
また、DLPのルールをGoogle Driveに適用すれば、社内のみで共有可能な機密コンテンツを不用意に社外ユーザーと共有してしまうというオペレーションミスも防げるとした。
続けて、「Google Driveなどのクラウド上に、積極的にデータを保存する企業が増えている。大変ありがたいことに、最近では社内システムのストレージに保存するより、Google Cloudにある方が安全だと言ってくださるお客さまが増えている」と述べた小林氏は、データ保持、記録保持、検索、書き出し、監査レポートなどの機能を提供する「Google Vault」を紹介した。
Google Vaultを使用すれば、メール、ハングアウトチャット、Google Driveに保存されているデータの保持ルール(保存期間など)を設定することが可能になる。また、組織横断的に情報検索や書き出し、訴訟のため記録保全、監査操作ログの保持(改ざん不可能性を担保する)といった機能が提供されているという。
そしてGoogleは2018年1月に、G Suite Enterpriseエディション向けにより高いセキュリティ対策を実現するツールとして、「G Suite セキュリティセンター」の提供を開始した。
G Suite セキュリティセンターは、Googleによるリアルタイムセキュリティ分析から得られた洞察、あるいはベストプラクティスから得られた統合的なセキュリティ情報を、システム管理者やセキュリティ担当者にセキュリティダッシュボードで提示する。
デバイスの不審な挙動やマルウェアを検知したり、フィッシングの標的になっているユーザーなどのを可視化することで、攻撃される前に攻撃を食い止めるような対策を検討することができるという。
またセキュリティヘルスのページでは、セキュリティの設定状況を分析し、より効果的なセキュリティ対策をカスタマイズして提案してくれる。推奨事項は多岐にわたっており、データの格納方法やファイルの共有方法、モビリティや通信設定などに対応しているとのこと。
Googleはテクノロジーですべてのインターネット利用者に貢献する
Googleは「自社開発のテクノロジー」にこだわりがあり、ハードウェア、ソフトウェア、ネットワーク、ストレージ、アプリケーション、システム管理技術まで独自に開発している。
「あまり知られていないが、Googleはハードウェアを製造するベンダーでもある。納品先が自社なので公的な数字として表れていないが、サービス提供に使用しているサーバーや、チップセットなどは自分たちで開発している。さらにネットワークについても、拠点間を接続する海底ケーブルを敷設するなどGoogle自身が巨大なネットワークを持っている」(小林氏)。
2017年に発表されて話題になったセキュリティ専用のチップセット「Titan」も、Googleの独自開発だ。セキュアブートに加えて、マシンブート時にOSの命令セットに改ざんがあればブートを停止するなど、ハードウェアレベルで認証と起動の安全性を確保する。
物理面でのセキュリティ対策も多重構造で行われている。Googleのデータセンターは独自に設計した多重のセキュリティゲートで守られており、データセンターへのアクセスは、電子アクセスカード、警報、車両セキュリティゲート、外周フェンス、金属探知機、生体認証、レーザー光線による侵入検知システムなどにより厳重に管理されている。
さらに、Google Cloudに保存されたデータは自動的に暗号化され分散処理されるため、仮に物理的にストレージが盗難にあうなどの被害を受けた場合でも、保存されているデータを解読することはできないという。
小林氏は「Googleのデータセンターに入れる社員は、全社員の1%以下」と述べ、小林氏自身もデータセンターには入ることができないことを明かした。
なお、Googleは人材にも積極的に投資を行っている。社内には750人のセキュリティ専任技術者が在籍しており、2017年だけでも280件を超えるセキュリティ論文を公開している。最近よく耳にする「脆弱性発見報酬プログラム」を最初に導入したのもGoogleだという。
「システムの複雑性は著しくセキュリティリスクを高めるが、100%クラウドで提供するG Suiteのサービスは、ローカルデバイスにデータを残さず、サイバーセキュリティからのリスク低減とコスト削減に寄与する」と述べた小林氏は、さらにGoogleのこれからの取り組みについて「今後もGoogleはすべてのレイヤーでセキュリティへの投資を継続し、Google製品を利用するユーザーだけでなく、すべての人が安心してインターネットを利用できるよう研究や支援活動に参加し、社会に貢献していく」と述べている。
