2014年、Google のセキュリティへの取り組みについて ~総括~ 攻撃されにくく、より簡単に防御ができるように
2014年12月26日金曜日
本投稿は、12月18日に、Google for Work、Director of Security の Eran Feigenbaum によって投稿されたものの抄訳です。
皆さんが利用するデジタル情報は、安全でいつでも必要な時に使えるべきだと私達は考えています。オンライン上では、2014年にも、悪意を持った第三者によるセキュリティを犯すような事件や事故がみられましたが、悪意を持った人たちよりも一本先を進み続けることが大切だと考えています。Google は、攻撃されにくく、簡単に防御できるような仕組み作りに日々取り組んでいます。革新的なセキュリティ技術が必要とされるなか、その技術をいかに簡単に使用できるかも重要です。
Google では、セキュリティを極めて重要視しており、あらゆる製品や活動に組み込んでいます。これは、インターネット上の悪意あるユーザから、データーセンターやユーザーが利用しているデバイスを守ること、セキュリティコミュニティと協力するなどです。
2014年、Google は、これまで以上に高度なことに挑戦しました。新たなセキュリティ チーム (Announcing Project Zero)を立ち上げ、Google のエンジニアは、Heartbleed や Poodle といったインターネットの根幹を揺るがすような脆弱性の発見・修正に貢献し、さらに、顧客情報の安全性を向上する確実なステップを踏んできました。
- 2010年より、Gmail は既定で暗号化していましたが、2014年より、ユーザーが送受信する全てのメールについて、また、 Google のデーターセンター内における通信についても全て暗号化するようにしました。
- ブラウザとメール受信者の間の通信を暗号化する Chrome 機能拡張 End-to-End をリリースしましたが、去る12月18日、本機能をオープンソースコミュニティに対して GitHub にて共有するようにしました。
- Google は Google ドライブにファイルをアップロードする際の通信経路を暗号化するのみならず、Google サーバー内で保存されている時にも暗号化されることを保証しました。
- Google は、お使いのコンピュータの USB ポートを介して第二要素認証を行う物理的セキュリティキーの提供を開始しましたが、さらに、お客様の組織において、管理者がより簡単に管理できるような仕組みづくりにも取り組んでいます。
- IT ご利用環境に対してビジネスユーザがより権限を行使できるような機能として、ユーザーのアカウントを保護するためのウィザードや、デバイスの動作を監視するための新しいダッシュボードを提供しました。
- アンドロイド5.0 Lollipop の新しいセキュリティ機能を使って、簡単に、仕事で使用しているデバイスの安全性を強化できるようになりました。
- デバイス管理ソリューションを再構築し、iOS7、8をサポートできるようにするとともに、iPhone6、6 Plusをサポートできるようになりました。
上記に加え、Google Apps for Work、Education、Government、あるいは、Non-Profit (非営利)に対し、広告の配信を停止しました。セキュリティについては、第三者の監査機関により定期的に監査されますが、2014年の夏に、SOC3 セキュリティ 監査報告書上で、詳しい結果が著されています。
また、ISO 27001の認証が更新され、Google Cloud Platform は PCI 標準の認定を受けました。クラウド コンピューティングのための新しい ISO27018 のプライバシー標準の策定に参画し、今後もこういった活動を継続していきたいと考えています。
来年は、またオンライン上での脅威が続き、攻撃もより洗練されたものになっていくことは想像に難くありません。例えば、パスワード機構の向上のための Android における Smart Lock 機能を提供したり、また、Captchas での複雑な文字判別に代わる認証技術を開発するなど、私達もより高い技術力を持って対抗したいと思います。2015年にも、セキュリティへの投資を続け、ユーザーにとってよりシンプルで使いやすく、透明性の高いサービスを提供し続けられるように努力します。