クラウドのセキュリティ
Google Cloud Japan Team
*この記事は米国時間 3 月 19 日に、Urs Hölzle (Senior Vice President, Technical Infrastructure) によって投稿されたものの抄訳です。
セキュリティは現代における大きな課題のひとつです。セキュリティインシデントのためにデータを失う企業や政府は後を絶ちません。たった一度の侵害や漏洩のために何百万ドルもの罰金が科せられたり、ビジネスチャンスを失ったり、またなによりも大事な顧客の信頼を失う可能性まであります。
このため、セキュリティは CEO や取締役会にとってますます重要な事項として認識されるようになっています。私は今週、Google Cloud CEO の Diane Greene をはじめ多くの同僚と一緒に、 New York で開催される会合に出席する予定です。その会合では各社の CEO 100 名以上と、クラウドのセキュリティについて話し合うことになっています。
セキュリティの問題は、最終的には人に帰結する問題です。サイバーセキュリティ攻撃は、その理由に関わらず、攻撃を行うのが個人であれ組織であれ、結局のところ人がすることなのです。
こうした攻撃では、フィッシング メールのような、人間の性質を利用した手口がよく用いられます。そして、最終的に被害を被るのは人です。ある報告によれば、 2017 年だけで 1 億 7900 万件を超える個人情報が漏洩したと言われています。
私たちは、セキュリティを人の問題として捉え、一丸となって取り組むべきだと考えています。
クラウドの活用による脅威への対応
クラウド プロバイダーは、各種の脅威に備えて巨大な専門家チームを擁しています。そのようなチームの規模は、多くの企業が内部で抱えるチームの規模をはるかに凌ぎます。実際にそれぞれの企業が自社でユーザーを保護しようとしたら、世界中のセキュリティ専門家を総動員しても足りないでしょう。金融サービスから医療、小売業までさまざまな業界で、自社のデータやお客様を守るために、クラウドが提供する自動化やスケーリングが活用されています。これにより、企業の従業員は、自分の仕事に専念することができます。この動向が示すのは、多くの企業が、私たちと同じく「クラウドに移行していないならば、ビジネスを危険にさらしている可能性が高い」という結論に至っているということです。
今年 1 月に CPU の脆弱性が公表されました。これは、テクノロジー業界を震撼させるような発表ですが、クラウドを利用する企業の多くは、通常どおり業務に従事することができました。Google Cloud では、ライブ マイグレーションでインフラ ストラクチャを更新したため、お客様によるシステムの再起動も、ダウンタイムもなく、実質的なパフォーマンスに影響を与えることなく対応を終えました。Google Cloud の対応詳細についてはこちらをご覧ください。お客様にまったく影響なく対応が完了したことから、お客様から、脆弱性に対する対応が完了しているのかというお問い合わせをいただいたほどでした。
人間は決して完全なコードを書けるわけではありません。これからもセキュリティの脆弱性が明らかになることはあるでしょう。しかし、クラウドではそうした脆弱性に対して容易に対処できます。新たに出現する脅威を発見し抑制するクラウド セキュリティ チーム、多数のシステムを大規模なスケールで更新する能力、ユーザーのスキャン・更新・保護の自動化などのクラウドの特性が、情報と人々を保護する上で大きく貢献しています。
Google Cloud のセキュリティ
セキュリティは、設立当初から Google にとって最優先事項でした(本当に最初からそうなんです)。Google では、約 20 年にわたりクラウド上で安全にサービスの提供を行っています。Google には 10 億人以上が使用するサービスが 7 つあり、私たちは休むことなくこれらを脅威から保護しています。さらに、Google Cloud Platform (GCP) も毎日 10 億 以上の IP に接続されています。Google は、セキュリティはイノベーションに力を与えると信じています。セキュリティを優先すれば、残りの事はすべてうまく行くと言っても過言ではありません。セキュリティは細部への注意とこだわりが重要です。Google では 2010 年に業界で初めて SSL メールをデフォルトで導入し、2014 年に U2F セキュリティ トークン標準を作成しました。Chrome は 2016 年にポスト量子暗号をサポートする最初のブラウザとなりました。2017 年にはクラウド インフラストラクチャのマシンと周辺機器の両方を対象とした Titan(ハードウェアの信頼基盤を確立する専用チップ)を導入しました。これらは、Google がセキュリティについてどれほど細部にまで注意を払っているか、そして進化し続ける脅威を把握するために Google が業界を牽引する役割をどのように果たしているかを表しています。
加えて、Google の Project Zero チームは、インターネットに潜む脆弱性を常に探しており、実際にこのチームが貢献した例として、「Heartbleed」や、最近の「Spectre」や「Meltdown」といった脆弱性の発見が挙げられます。また、セキュリティバグ発見への協力を呼びかけるために、Vulnerability Reward Program を通じ、セキュリティ コミュニティに対するインセンティブの提供も行っています。私たちはセキュリティを取り巻く環境の複雑さを理解した上で、この困難な課題を解決する方法を見つけるべく多くの時間を費やしています。インフラ ストラクチャを構築する方法、製品を開発する方法、運用する方法を定義し、セキュリティに関する原則を策定してきました。
たとえば、Google では、事後的に何かを開発してセキュリティを強化するだけでは不十分だと考えています。セキュリティは、すべての設計の基盤となるべきであり、古い枠組みに外からとってつけたようなものではいけません。だからこそ Google では常時進化する複数のレイヤーからなるセキュリティを構築し、単一の技術に依拠しない形で、真の意味での防御を可能にしています。
企業にとって、セキュリティを最優先事項とし、ユーザー保護への責任を果たすことが今まで以上に重要視されています。これは、Google にも当てはまります。すべての企業は人々に対する説明責任があり、ビジネスにはユーザーの信頼が欠かせません。セキュリティをきちんと整備しなければ、ビジネスは成り立たないのです。
これが、セキュリティを向上させる手段として、私がクラウドに情熱を注ぐひとつの理由です。Google は、インターネット上でユーザーを保護するために常に全力を注いできました。Google Cloud ではその機能を活用して、企業がそれぞれのユーザーを保護できるようにしています。
クラウドにおけるセキュリティ向上の取り組みについて、順次お知らせします。引き続きご注目ください。
