Japan 公式ブログ
Google の企業向けソリューションに関する公式な情報やユーザーの事例などを、いち早く皆さんにお届けします。
RSA 2008 Conference の基調講演より - "Googleのセキュリティ対策"について
2008年5月7日水曜日
2008年5月7日
Posted by 高橋智浩 (エンタープライズ Postini セールス)
4月24日、RSA 2008 Conference において、Enterprise Security and Compliance Director、Scott Petryが、Google のセキュリティ対策について講演の機会をいただきました。
Scottの話を要約すると、セキュリティを脅かす脆弱性そのものは、昔も今も基本的には大きく変わるところはありません。劇的に変わっているのは、セキュリティー保護を行うべき対象を取り巻く環境である点です。
昔は、データは全て社内に保管管理されていたので、社内からの漏洩や社内への進入阻止だけを主に考えて対策を取っていれば問題ありませんでした。また、守るべき対象も脅威となる手口も明白なため、ある特定の動作を禁止することで保護が可能でした。たとえば、ファイアウォールによるポートブロックなどを思い浮かべていただければご納得いただけるでしょう。
一方現在は、個人はもとより企業ベースでもインターネット上のあらゆるリソースを活用して業務の生産性を向上するようになってきています。必然的に守るべきデータは社内外に分散するようになりました。この劇的な環境変化のために、今までのような社内への侵入阻止や社内からの情報漏洩を防ぐといったアプローチだけでは万全なセキュリティとは言えません。セキュリティを脅かす新たな脆弱性の存在やその脆弱性を利用した不正アクセスの手口を事前に知ることはできませんので、事前になにかを設定して禁止するすることで守ることもできません。
セキュリティを高めるために、Googleでは次のような取組みをしています。
セキュリティーチームによるコード管理 - 製品コード開発に際し、特に脆弱性を突かれやすい部分をこのチームで開発、管理し、共通モジュールとして Google の全サービスに組み込んでいます。
セキュリティー教育の徹底 - 全ての社員にセキュリティ教育を徹底しています。エンジニアに対しては、さらにセキュアなコードを開発 するための強化トレーニングも実施します。
コードレビューの徹底化 - 複数人のエンジニアがいろんな視点から開発中の製品ソースコードをチェックし、(今まで知られている攻撃を受けてしまうような)脆弱性が入り込むのを防いでいます。
"Attacks = Lessons" - 私達は保護すべき対象に対する不正アクセスの手口を事前に全て把握することはできません。攻撃を受けた時に即座に詳細ログを取得し、解析を行うことにしています。その結果を元にセキュリティチームによってコードが開発され、十分なコードレビューの後に製品に反映させています。
しかしこれだけでは十分ではありません。私達が気づいていなかった脆弱性を発見し報告してくれた人との関係を良好に保つことも大事です。Googleは、新たな脆弱性の報告を受けた場合、即座に内容を解析し報告者に対して修正時期のコミットを行うとともに、その日時までは報告いただいた脆弱性を公表しないよう「お願い」をしています。
0 件のコメント :
コメントを投稿
Labels
#GoogleCloudSummit
#GoogleNext18
#GoogleNext19
77 min Lunch
add on
admin
Advanced Solutions Lab
AI
AI Hub
AI Platform
Android
Anthos
API
App Engine
App Maker
apps
Apps script
ASL
atmosphere
Atmosphere Tokyo
AutoML
AutoML Natural Language
AutoML Translation
bigquery
Box
Calendar
Case Study
Chorme OS
Chrome
Chrome Enterprise
Chrome Enterprise 導入事例
Chrome for Work
Chrome ウェブストア
chromebook
chromebooks
Chromebooks for Education
Chromebooks for meeting
Chromebooks for Work
Chromebox
Chromebox for digital signage
Chromebox for meetings
Chronicle
Cisco
Cloud
Cloud Armor
Cloud AutoML
Cloud AutoML Natural Language
Cloud AutoML Translation
Cloud AutoML Vision
cloud connect
Cloud Dataflow
Cloud Identity
Cloud IoT Core
Cloud Load Balancing
Cloud Memorystore for Redis
Cloud monitoring
Cloud OnAir
Cloud Pub/Sub
Cloud Ranking
Cloud Services Platform
Cloud Storage
Cloud TPU
compliance
compute engine
Contact Center AI
Container Engine
Coursera
Deloitte
developers
Dialogflow Enterprise Edition
Drive for Work
Dropbox
earth api
Education
enterprise
Enterprise Japan
event
Evernote
Expo
Firebase
FISC
Forrester
G Suite
G Suite Business
G Suite for Education
G Suite 事例
G Suite 導入事例
G+
gadget
GAE
GCE
GCP
GCP 導入事例
GCP 認定資格チャレンジ
GDPR
GEO
GEP
GfWtips
GKE
gmail
Gmail、新機能
Gone Google
GoneGoogle
Google App Engine
Google Apps
Google Apps Blog
Google Apps for Education
Google Apps for Work
Google Apps Script
Google Apps ユーザー事例
Google Apps 導入事例
Google atmosphere
Google calendar
Google calender
Google classroom
Google Cloud
Google Cloud Certification
Google Cloud Next '18 in Tokyo
Google Cloud Next '19 in Tokyo
google cloud platform
Google Cloud Search
Google Cloud Summit '18
Google Cloud 認定資格チャレンジ
Google Commerce Search
Google Derive
Google Docs
Google Docs API
google drive
Google Drive for Work
Google Earth
google enterprise
Google Enterprise Day
Google for Education
Google for Work
Google form
Google hang-out
Google hung-out
google map
Google maps
google maps api
google maps api premier
Google Maps APIs
Google Maps for Work
Google Maps Platform
Google Message Continuity
google search appliance
Google Shopping
Google Sites
Google Springboard
Google Storage for Developers
Google Video
Google Wave
Google スライド
Google ドキュメント
Google ドライブ
Google フォーム
Google マップ
Google+
GoogleApps
GoogleApps、新機能、spreadsheets
groups
gsa
Hangouts Meet
healthcare
Hybrid Cloud Platform for Google Cloud
Inbox
INSIDE
iOS
iphone
ISAE 3402 Type II
ISO 27018
IT
Jamboard
japan
Kubeflow Pipelines
Looker
Lotus Notes
Machine learning
map
maps api
Maps 導入事例
Maps-sensei
Mapsコーナー
media
microsoft office
migration
mobile
new features
Next
Next Tokyo
OAuth
Office 365
Office of the CTO
Osaka
partner
Partner Interconnect
partner program
Partner Summit
postini
pricing
Qwiklabs
region
research
RSA
SAP
SAS70
search
Security
Security Key
seminar
Shizuoka
Signage
Sites
SMB
SSAE 16 Type II
startup
Status Dashboard
TensorFlow
Trial
Upload any files
vault
Veolia
Viacom
Virtual Conference
VMware
あっぷす先生
あっぷす先生 誤解をとく!
あっぷす先生会社訪問
イベント
インフラストラクチャ
おしえて!あっぷす先生
おしえて!くらうど先生
オフライン
クラウド
くらうど先生
サイネージ
サポート
セキュリティ
チームドライブ
チェンジマネジメント
デジタル トランスフォーメーション
テレワーク
パートナー
ハングアウト
プライバシー
まっぷす先生
ランキング
リージョン
ワークインサイト
円周率
海底ケーブル
企業検索
機械学習
互換性
事例
小売
新機能
働き方
認定資格
Archive
2019
8月
7月
6月
5月
4月
3月
2月
1月
2018
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2017
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2016
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2015
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2014
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2013
12月
11月
10月
9月
7月
6月
5月
4月
3月
1月
2012
12月
11月
10月
9月
8月
7月
6月
5月
4月
2月
2011
12月
10月
9月
8月
7月
5月
4月
2月
2010
12月
11月
10月
9月
7月
6月
5月
3月
2月
1月
2009
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2008
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
2007
12月
Feed
Follow @googlecloud_jp
Useful Links
G Suite
Google Cloud Platform
Google 検索アプライアンス
Google Maps
G Suite 公式アップデート情報
0 件のコメント :
コメントを投稿