クラウド セキュリティを牽引する Google Cloud の新サービス

*この記事は米国時間 7 月 25 日に Keyword に投稿されたものの抄訳です。

クラウドへの移行には綿密な計画や ”ハードワーク“ が求められますが、もっと根本的な点において重要なのは「信頼」です。クラウド プロバイダーがデータの安全性を保証し、脅威から守ってくれるという信頼に加え、管理者がきちんと状況を把握できるように、高い透明性を保った上で、上記のことを実践してくれるという信頼が必要です。脅威がますます複雑になる中、クラウド プロバイダーに対しては、セキュリティ イノベーションの最前線に立ち、システム保護の新しい方法を生み出すよう絶えず努力することが求められています。

私たち Google は、お客様のさらなる保護を目的に、20 件以上のセキュリティ拡張を今年 3 月に発表しました。それから 4 か月という短い期間にセキュリティ機能をさらに追加、対象も拡大しました。この記事では、その詳細と、これらがお客様に与える影響や価値についてご紹介します。

本日発表の新機能、新サービスは以下のとおりです。

• Context-aware access 機能（ベータ リリース）: VPC Service Controls をご利用の一部のお客様のみ利用可。Cloud IAM、Cloud IAP、Cloud Identity をご利用されているお客様において、近く利用可能となります。
• Titan Security Key : Google Cloud のお客様は利用可。近く Google Store で購入可能になります。
• Shielded VM（ベータ リリース）
• Binary Authorization（近くベータ リリース予定）
• Container Registry Vulnerability Scanning（近くベータ リリース予定）
• Cloud Armor geo-based access control（ベータ リリース）
• Cloud HSM（近くベータ リリース予定）
• Access Transparency（近く正式リリース予定）
• G Suite セキュリティ センター 調査ツール（早期試用プログラムで提供）
• G Suite data regions（正式リリース）

アプリやサービスへのアクセスをよりセキュアかつ便利に

これに対処するため、私たちは Context-aware access を導入します。Context-aware access は、Google Cloud 上のアプリケーションやサービスだけでなく、その枠を越えて組織のセキュリティと柔軟性を高めることを目指す Google の BeyondCorp ビジョンの要素を数多く実装する、イノベーティブなアクセス管理アプローチです。Context-aware access を導入すれば、GCP API、リソース、G Suite、サードパーティ SaaS アプリケーションに対して許可されたアクセスを、ユーザーの識別情報、位置、リクエストの状況に基づいてきめ細かく定義、制御することができます。これにより、操作の複雑さを解消し、位置やデバイスの違いを意識することなくアプリケーションにシームレスにログインできるようにしつつ、セキュリティも強化されます。Context-aware access 機能は、VPC Service Controls をご利用の一部のお客様が利用できます。また、Cloud Identity and Access Management（IAM）、Cloud Identity-Aware Proxy（IAP）と Cloud Identity をご利用のお客様も近くご利用いただけるようになります。

Google が開発した完全性検証用ファームウェアを内蔵する FIDO セキュリティ キーの Titan Security Key も本日発表しました。私たちは以前から、認証情報の盗難による被害を最小限に抑えるため、クラウド管理者のような高い権限を持つユーザーにとって最も効果的なフィッシング対策の認証手段となるセキュリティ キーの使用を推奨してきました。Titan Security Key は物理キーの完全性が Google によって保証されており、アカウントが保護されているという安心感を一層高めてくれます。Titan Security Key は Google Cloud のお客様であれば利用可能で、近く Google Store で誰でも購入できるようになります。

インフラストラクチャのセキュリティ強化

今回ベータ リリースした Shielded VM は、高度なプラットフォーム セキュリティ機能を活用して VM の改竄防止を支援します。Shielded VM を導入すると、VM のベースラインと実行時状態をモニタリングし、それらの変化に対処できます。Shielded VM のデプロイ方法についてはこちらをご覧ください。

コンテナ化されたワークロードを運用する企業では、VM の完全性を確認するだけでなく、信頼できるコンテナだけをセキュアなソフトウェア サプライチェーンの一部として Google Kubernetes Engine にデプロイする必要があります。近くベータ リリースする予定の Binary Authorization を導入すれば、コンテナ イメージをデプロイする際に署名による検証を義務づけることができます。Binary Authorization は、イメージの適切なビルドとテストを実施する既存の CI/CD パイプラインと統合できるほか、脆弱なパッケージが含まれているイメージのデプロイを防ぐ Container Registry Vulnerability Scanning と併用することも可能です。Container Registry Vulnerability Scanning は、Ubuntu、Debian、および Alpine のイメージの脆弱性スキャンを自動実行してイメージの安全なデプロイを保証します。Container Registry Vulnerability Scanning と Binary Authorization の詳細はそれぞれのウェブサイトをご覧ください。

Google Cloud の充実したグローバル ネットワークは、パフォーマンスとセキュリティの両面でお客様に大きなメリットを提供します。その具体的なサービスの 1 つである Cloud Armor は、Google 検索、Gmail、YouTube の保護で使われているのと同じグローバル インフラストラクチャに基づいた DDoS およびアプリケーション防御サービスとして機能します。本日ベータ リリースした Cloud Armor geo-based access control（地理ベースのアクセス制御機能）を使用すれば、アプリケーションに接続しようとするクライアントの地理的位置に基づいてサービスへのアクセスを制御できます。Cloud Armor の機能としてはこれ以外にも、IP アドレスに基づいたトラフィックのホワイトリスティングおよびブロッキング、SQL インジェクションおよびクロスサイト スクリプティング攻撃からの防御を目的とした事前に組み込まれているルールのデプロイ、選択したレイヤ 3-7 のパラメータに基づいたトラフィック制御などがあります。Cloud Armor は、Google のグローバルな負荷分散サービスと連携しており、防御ルールを規定するリッチでオープンなルール定義言語とともにポリシー フレームワークを提供します。これにより、独自の要件に基づいてアプリケーション レベルの DDoS 防御を大規模に展開できます。

データの保護

近くベータ リリースする予定の Cloud HSM は、クラウドでホスティングされるマネージド ハードウェア セキュリティ モジュール（HSM）サービスです。暗号鍵をホスティングし、FIPS 140-2 レベル 3 を満たす内容で HSM の暗号化処理を実行します。このフルマネージド サービスを導入すれば、HSM クラスタ管理という運用上のオーバーヘッドを気にせずに、最も機密性の高いワークロードを保護できます。Cloud HSM サービスは Cloud Key Management Service（KMS）と密接に統合されているため、ハードウェア内で生成および保護される鍵の作成や使用が非常に単純になり、BigQuery や Google Compute Engine、Google Cloud Storage、Google Cloud Dataproc などの CMEK（Customer-Managed Encryption Keys）と併用できます。詳細は Cloud HSM のウェブページをご覧ください。

より強力な保護のレベル向けに、私たちは最近 Asylo もリリースしました。Asylo は、高い機密性が求められるコンピューティング環境でのアプリケーションおよびデータの機密性と完全性を保護するために Google が開発したオープンソース フレームワークです。Asylo が開発者たちの関心を集め、その勢いが今も続いていることを私たちはうれしく思っています。詳細は Asylo のウェブサイトをご覧ください。

透明性、洞察力、制御力の強化

私たちは、データの暗号化など、クラウドで必要とされる作業の方法を説明するドキュメントを充実させました。また、Google のプラットフォーム上にあるお客様のデータを扱わなければならないごく限られた状況においては、リアルタイムに近い可視性も提供します。この種の機能としていち早く投入した GCP 向けの Access Transparency についても、近く正式にリリース予定です。Access Transparency の詳細はこちらのウェブサイトをご覧ください。

G Suite のお客様向けとしては、調査ツールという新機能をセキュリティ センターに追加しました（早く試してみたい方はこちらからお申込み下さい）。管理者がこの新ツールを使用すると、ドメイン内で発生しているセキュリティ問題を見つけ出し、すばやく対応することができます。たとえば、複数のデータ ソースにまたがって全社的な検索を実行すれば、どのファイルが社外と共有されているかを把握できます。検索結果を 1 つにまとめ、相関関係を分析して、複数のファイルに対するアクセス制御を一括で実行することが可能です。また、G Suite のレポートや監査データを管理コンソールから Google BigQuery へと簡単に移せるようになりました。さらに GCP のお客様向けとして、新たにセキュリティ パートナー 5 社のツールを Cloud Security Command Center に統合し、Google Kubernetes Engine で実行されているコンテナのリスクを把握しやすくしました。

最後になりましたが、現在は多くのお客様が、世界中に分散している Google データセンターを活用してレイテンシを最小化し、地理的な冗長性の向上に役立てています。ただ、一部の組織にはデータの格納場所に関する特別な要件があり、私たちはそのニーズへの対応についてもコミットしています。この取り組みの第一歩となるのが G Suite data regions であり、G Suite Business および Enterprise のお客様は、G Suite アプリケーションにおける一部のプライマリ データについて、それが格納されるリージョンを指定（グローバル、米国、欧州）できるようになりました。

以上のアップデートに加えて、私たちは先週、Password Alert という Chrome ブラウザの新しいポリシーを発表しました。これは、コントロールできない管理外のサイトで従業員が会社のパスワードを再利用するのを防ぐ機能です。アカウント情報の流出防止に役立ちます。

今後も多くのセキュリティ機能を提供

- By Jennifer Lin, Product Management Director, Google Cloud