クラウド上でビジネスを守る新たな手法

*この記事は米国時間 3 月 21 日に、Gerhard Eschelbeck (Vice President of Security & Privacy) によって投稿されたものの抄訳です。

生産性を加速させるコラボレーション ツールや、イノベーションを促進するプラットフォーム、 AI を活用した顧客インサイトの分析精度向上ツールなど、クラウドは以前にも増して、ビジネスを変革させる場となっています。また、多くの企業が自社データの保護や、セキュリティを確保する場所として、よりクラウドを活用するようにもなっています。

先日 Urs Hölzle がブログで紹介したように、セキュリティを最優先事項として捉えれば、残りはすべてついて来るというのが Google 創設以来の信念です。Google は、常に進化するセキュリティ課題を解決するために必要な機能を開発し続けています。本日、Google では、お客様がセキュリテ ィ環境の制御を徹底し、さらに拡張するための 20 の機能強化を発表します。 Google Cloud Platform、G Suite、Chrome Enterprise のアップデートの詳細については、それぞれのリンクからご確認ください。ここでは、特に、新たに追加した 3 つの機能を例にご紹介します。

先例のない制御で、さらに効果的にデータを保護

現時点で α 版として提供している VPC サービスコントロールは、 GCP のフルマネージドのストレージおよびデータ処理機能を利用しながら、機密データを非公開に保つことができる機能です。 アプリケーション内全域においてデータの流出を防ぐために目に見えない境界を構築し、そのバーチャルな境界を自由に設定、再設定あるいは解除する権限を持つことを想像してみてください。これは、GCP 上の API ベースのサービスに使えるファイアウォールのようなものと考えても良いでしょう。適切に定義された VPC (仮想プライベート クラウド) サービス コントロールにより、管理者は、データ 違反や内部脅威によるクラウド サービスからのデータ漏洩を防ぐ高度な制御を行うことができます。

このマネージド サービスによって、企業はクラウド リソースとハイブリッド VPC ネッ トワークとの間で専用通信を構成することができます。オンプレミス ネットワークから GCP サービスで保存されたデータまで境界セキュリティを拡張することにより、企業は安心してクラウドで機密データのワークロードを実行できます。

VPC サービスコントロール では、管理者はアクセス コンテキスト マネージャを使って、どのユーザー が GCP リソースにアクセスできるかを、より正確に管理することができます。お客様においてはアクセスポリシーを作成し、ユーザーのロケーション、IP アドレス、エンドポイントのセキュリティ ステータスのようなコンテキスト属性に基づいてアクセス権を付与できます。インターネットからクラウド リソース上のデータへのアクセスを許可する場合に、ポリシーに沿って保護を適切なレベルに保つことができます。

Google Cloud は、組織が物理的なオンプレミス環境で実現できるシンプルさ、速度、 柔軟性をはるかに上回る、API ベースサービスの仮想セキュリティ境界を提供する初のクラウドプロバイダーです。

実用的なセキュリティ インサイトによるデータリスクの可視化

Cloud Security Command Center は、企業のデータ収集や、ビジネスに損害や損失をもたらす脅威の検出と対処をサポートするための、GCP 向けのセキュリティおよびデータリスク プラットフォームです。まず、Cloud Security Command Center は、App Engine、Compute Engine、Cloud Storage、Cloud Datastore にまたがるクラウド アセットについて状況を集約し可視化します。ユーザーは、プロジェクトの数やデプロイされているリソース、機密データの保存場所、ファイアウォ ールの構成等を素早く管理できます。継続的なディスカバリ スキャンによって、企業はクラウド アセットの履歴を確認でき、その環境内で変更された内容を正確に把握し、不正な変更があれば適切に処理することができます。

Cloud Security Command Center は、クラウド リソースへの強力なセキュリティ インサイトも提供します。たとえば、セキュリティ チームは、クラウド ストレージ バケットがインターネットに対して開かれているかどうか、個人を特定できる情報を含んでいるかどうか、 クラウド アプリケーションがクロスサイト スクリプティング（XSS）の脆弱性から影響を受けやすい状態かどうかなどについて判断できます。

最後に、Cloud Security Command Center は、Google や他の大手 セキュリティ ベンダーが提供する情報の活用もサポートしています。管理者は、Google のセキュリティ チームが開発した組み込みの異常検出機能を使用して、ボットネット、暗号通貨マイニング、疑わしいネットワーク トラフィックのような脅威を検知できます。また、Cloudflare、CrowdStrike、Dome9、RedLock、Palo Alto Networks、Qualys のようなベンダーからの分析結果を統合し、DDoS 攻撃、エンドポイントの侵害、コンプライアンス ポリシー違反、ネ ットワーク侵入、インスタンスの脆弱性や脅威を検出します。継続的なセキュリティ分析や脅威インテリジェンスにより、お客様は集中管理用のダッシュボードや API を通じ全体のセキュリティの健全性について、より優れた評価を行い、リスクに対して迅速に対応できます。

これは、Google が企業向けに提供している優れた可視化ツールの一例にすぎません。今年早くに Google では、G Suite をご利用のお客様に対してセキュリティ分析や推奨事項を提供する G Suite 向けのセキュリティ センターを発表しました。本日、Google はセキュリティ センターへの追加機能を発表しました。これには、フィッシングの脅威や疑わしい端末アクティビティをハイライト表示する新しいグラフも含まれます。これらの改善に関する詳細については、G Suite と GCP についてをご覧ください。

お客様のデータ取扱い方法の透明性

また、アクセスの透明性では、Google のエンジニアが GCP のお客様のコンテンツに対して処理を行った場合には、必ず実行したアクションやサポートについて変更不可能な監査証跡を提供します。アクセスの透明性は、Google の管理者による操作を、ビジネス上の妥当性を持つ操作（例えば、お客様が作成した特定のチケットに対応する操作、あるいはサービス停止から復旧するための操作など）のみに制限するような、堅牢な制御の上に構築されています。
上記に加えて、クラウド監査ログとアクセス 透明性ログは、お客様のクラウド環境において、管理者のアクティビティの包括的な可視化を可能にします。Google は、信頼は透明性によって築くことができると確信しています。クラウドプロバイダーによる管理について、GCP が高いレベルの可視化ツールを提供する初のプロバイダーであること誇りに思います。

企業にとってクラウド セキュリティが意味する事

ESG 社のシニア アナリストであるダグ・ケイヒル氏は次のように述べています。「企業がクラウドを使い始める過程において、信頼が大きく影響します。CEO や CIO が、コントロールを放棄することなく、クラウドを利用することで大きなメリットを得られると納得する必要があります。今回の発表により、Google Cloud はより優れた制御と分析情報を顧客に提供し続けていくでしょう。また、アクセスの透明性が実現するクラウド環境内での管理アクティビティのさらなる可視化は評価に値します。セキュリティの基本的な対策がすでに講じられている安心を顧客に与えつつ、脅威の変化に合わせて絶えず進化し続けていくでしょう」。

Credit Karma、Lahey Health、Sanmina Manufacturing といったお客様は、Google Cloud を利用して自社のデータを安全に管理しています。

Credit Karma 社の最高技術責任者であるRyan Graciano 氏は次のように述べています。「データに基づく予測推奨システムを用いて、パーソナル ファイナンスという複雑な環境下で会員をナビゲートするという、当社の使命の遂行において、（Google が提供する）強力なセキュリティを支える体制は重大な役割を果たしています。ユーザーの信頼は、当社のビジネスに非常に重要です。そのため、クラウド プロバイダーを選ぶ際、セキュリティは極めて重要です。Google Cloud の徹底したアプローチは、当社の高い審査基準を満たしており、私たちが最適な商品の構築に専念する時間を増やすことを可能にしています」。

Google は、より安全なビジネス環境は、すべての人に有益であると考えています。これからもより安全な環境でビジネスを支援できる方法を模索してまいります。本日のセキュリティに関する発表について詳しくは、GCP、G Suite、Chrome Enterprise をご覧ください。