セキュリティ基盤のブループリント

このガイドでは、Google Cloud のセキュリティのベスト プラクティスを独自の観点で示し、ユーザーがベスト プラクティスを導入または適応して、Google Cloud の資産に自動的にデプロイできるように編成されています。このドキュメントは、CISO、セキュリティ担当者、リスクまたはコンプライアンス責任者を対象としています。

クラウドの導入は企業全体で加速し続けており、パブリック クラウド インフラストラクチャの使用状況を調査する段階から、実際にパブリック クラウドを介してお客様に本番環境サービスを提供する段階へと移行する企業は増えています。従来、パブリック クラウドのセキュリティは、顧客が所有するインフラストラクチャとは本質的に異なります。これは、お客様とクラウド プロバイダの間でセキュリティに対する責任共有に線引きがあためです。図 1.1.1 は、クラウドのワークロードに対する従来の共有セキュリティのマトリックスを示しています。

図 1.1.1 共有セキュリティ責任

図 1.1.1 共有セキュリティ責任

Google Cloud のプロダクトとサービスには、従来の PaaS(Platform as a Service)から IaaS(Infrastructure as a Service)、SaaS(Software as a Service)などがあります。図 1.1.1 に示すように、ユーザーとクラウド プロバイダの間での従来の境界は、選択したサービスに基づいて変化します。パブリック クラウド プロバイダは、セキュリティに対する責任共有において、少なくとも堅牢で安全な基盤を確立できるようにする必要があります。プロバイダは、共有責任モデルの一部を理解して実行できるように支援する必要があります。

Google Cloud のサービスのカタログは急速に拡大しています。各 Google Cloud サービスは、さまざまな構成や制御を公開するため、ビジネスやセキュリティのニーズに合わせてカスタマイズできます。コア インフラストラクチャの作成と設定における Google の目標は、この独自のセキュリティ基盤のブループリントで、Google Cloud の主要なセキュリティ ベスト プラクティスをエンコードすることで、より迅速かつ安全に開始できるようにすることです。その後、信頼性が高く安全な基盤上に構築し、制御を最適化するか、体制のブループリントからサービス固有のセキュリティ ガイダンスを追加で利用できます。

Google は、リスク保護プログラムの最近の発表を機に、お客様とクラウド プロバイダの間の従来の共有責任のモデルから、さらに一歩進んだ運命の共有への取り組みを行っています。 このアプローチでは、Google が責任を持ってお客様と緊密に連携し、Google のプラットフォームに安全にデプロイしています。

セキュリティを考慮して開始

クラウド セキュリティは、以下を組み合わせるため、オンプレミス セキュリティとは異なります。

  • インフラストラクチャ、プロダクト、サービス内のセキュリティ プリミティブ、可視性、制御ポイントの違い。
  • コンテナ化や DevSecOps などの新しいクラウドネイティブ開発手法。
  • 新しいクラウド プロダクトやサービスのベロシティと変化の継続性と、それらの使用方法。
  • 組織によるシステムのデプロイ、管理、運用方法の文化のシフト。
  • お客様とクラウド プロバイダの間のリスクの理解と分散

クラウド デプロイの設定時には、さまざまな決定を行う必要があります。ビジネスへの影響と価値を顧客に提供する能力を加速させるには、安全かつデフォルトのワークロードを迅速かつシンプルに、効果的にデプロイするためにサポートが必要になる場合があります。しかし、クラウド移行の違いや新しい課題に対処するために必要な新しいスキルを習得する時間がないかもしれません。そのため、安全な基本開始点と特定のニーズに合わせたカスタマイズの両方に関して、厳選された独自のガイダンスのメリットを活用できます。

ここで朗報ですが、これらのセキュリティ ブループリントを使用することで、Google Cloud をより迅速、効果的、かつ安全に構築できます。この場合、Google Cloud のセキュリティ階層に重要な新しいレイヤーセットが追加されます。Google Cloud のインフラストラクチャをスタートの基盤として、全体として 5 つの主要部分があります。後続の 4 つのレイヤは Google Cloud のプロダクトとサービス、つまり、セキュリティ基盤のブループリントセキュリティ体制、ワークロード、アプリケーション用のブループリント、そして最後にソリューションのレイヤです。このソリューションは、プロダクト、サービス、ブループリントをユースケースの例、お客様事例、商用サービスとバンドルして、お客様の理解、導入、消費を簡素化するものです。以下で説明するように、各レイヤは前のレイヤ上に構築されます。

Google Cloud のコア インフラストラクチャ

Google には、Google での情報処理ライフサイクル全体を通したセキュリティを提供するグローバル規模の技術インフラストラクチャがあります。このインフラストラクチャによって、サービスのデプロイにおけるセキュリティ、データ保存のセキュリティとエンドユーザーのプライバシー保護、サービス間の通信のセキュリティ、お客様とのインターネット経由の通信における機密性とセキュリティ、管理者オペレーションの安全性が提供されています。

Google のプロダクトとサービス

Google Cloud のプロダクトとサービスはコア インフラストラクチャ上に構築されており、Google の BeyondProd のホワイトペーパーで共有されるクラウドネイティブ セキュリティの原則に沿って、一貫して設計され、運用されます。アクセス制御、セグメンテーション、データ保護を可能にするセキュリティ機能が組み込まれています。さらに、Google Cloud は特定のセキュリティ プロダクトを構築してポリシー要件を満たし、Google のセキュリティ プロダクトと機能により重要なアセットを保護します。

セキュリティ基盤のブループリント

このセキュリティ基盤のブループリントの目標は、安全な開始点の構築に向けたネイティブの制御とサービスの最適化を支援する、厳選された独自のガイダンスと、それに伴う自動化を提供することです。このセキュリティ基盤のブループリントには以下が含まれます。

  • Google Cloud の組織構造とポリシー
  • 認証と認可
  • リソースの階層とデプロイメント
  • ネットワーキング(セグメンテーションとセキュリティ)
  • 鍵とシークレットの管理
  • ロギング
  • 検出制御
  • お支払い情報の設定
  • セキュリティ保護されたアプリケーションの作成とデプロイ
  • 一般的なセキュリティ ガイダンス

セキュリティ体制、ワークロード、アプリケーションのブループリント

強固なセキュリティ基盤に加えて、セキュリティ体制、ワークロード、アプリケーションに関する追加のブループリントを提供することで、ワークロードとアプリケーション(GKE での PCI ブループリントなど)の設計、構築、運用に役立つ、厳選された独自のガイダンスを提供します。

ソリューション

Google Cloud セキュリティ ベスト プラクティスを組み込んだプロダクトとブループリントの組み合わせは、特定のサービスセットを構成、デプロイ、運用するための機能、アーキテクチャ、ガイダンスを提供します。ソリューションでは、これらのプロダクトを業種別およびユースケース固有のカスタマイズ、追加のサンプル、お客様事例、バンドルされた商用サービスとともにパッケージ化します。Google の目標は、組織のビジネスニーズに応じたソリューションの導入と適用を簡素化し、加速することです。最新のソリューション ポートフォリオについては、Google Cloud ソリューションのページをご覧ください。

図 1.1.2 は、Google Cloud を使用し、セキュリティ ブループリントのガイダンスとテンプレートに基づいて構築できるセキュリティ レイヤを示しています。

図 1.1.2 Google Cloud のセキュリティ階層

図 1.1.2 Google Cloud のセキュリティ階層

セキュリティ基盤のブループリントで開始

このガイドでは、独自のセキュリティ基盤のブループリントを提供し、Google Cloud 資産の構成とデプロイの方法を順を追って説明します。このドキュメントでは、考慮すべき重要なトピックを強調表示しているため、適切なリファレンスと出発点となります。各トピックでは、それぞれの選択の背景とディスカッションについて説明します。手順ガイドに加えて、このセキュリティ基盤のブループリントには、付属する Terraform 自動化リポジトリと Google 組織のデモンストレーションのサンプルが用意されているため、ブループリントに沿って、構成された環境から学び、実験することができます。

セキュリティ基盤のブループリントの使用方法

このガイドは、組織で次のロールの中の 1 つ以上を担う場合に役立ちます。

  • クラウド セキュリティに関する Google の重要な原則と、自身の組織のデプロイを保護するための適用と実装方法を理解する必要があるセキュリティ リーダー
  • ワークロードとアプリケーションをデプロイする準備が整ったセキュリティ中心のインフラストラクチャ ランディング ゾーンを設定、構成、デプロイ、運用するためのセキュリティのベスト プラクティスを適用する手順に関する詳細な説明を必要とするセキュリティ担当者
  • 複数の異なるセキュリティ コントロールを構成して操作し、相互に正しくやり取りする方法を理解する必要があるセキュリティ エンジニア
  • 高度なニーズを満たすために、Google Cloud に関して自身のチームに必要な高度なスキルの学習と理解を加速させる必要があるビジネス リーダー。この職務では、Google のセキュリティ関連のリファレンス ドキュメントをリスクチームやコンプライアンス チームと共有できることも必要になります。
  • ビジネス要件を満たすために Google Cloud で使用できる管理手段と、そうした手段を自動的にデプロイする方法を知っておく必要があるリスクおよびコンプライアンス責任者。また、制御のブレや、ビジネスの規制要件に対応するために特別な注意が必要な領域も可視化する必要があります。

いずれの場合も、このドキュメントをリファレンス ガイドとして使用できます。また、付属の Terraform スクリプトを使用して、独自のライブデプロイを自動化、実験、テスト、高速化することもできます。用意されているスクリプトを変更して、必要に応じてカスタマイズできます。

コンプライアンス要件を満たすための基礎を作る

ビジネスに必要なコンプライアンスと規制のフレームワークのためには、次のことを明確に理解し、裏付けとなる資料が必要です。

  • 選択した Google Cloud サービスが要件を満たしているかどうか。
  • これらの Google Cloud サービスの構成と使用が引き続き要件を満たしているかどうか。

最初のケースでは、Google Cloud はコンプライアンス リソース センターを提供しています。このサイトでは、フレームワーク、リージョン、業界で検索して、承認されている Google Cloud サービスを確認しコンプライアンス上のサポートを受けることができます。

2 番目のケースでは、セキュリティ基盤のブループリントをデプロイした後、Security Command Center Premium によって、組織、フォルダ、プロジェクト レベルの CIS 1.0、PCI-DSS 3.2.1、NIST-800-53 および ISO27001 フレームワークでの開始体制のダッシュボード概要とダウンロード可能なコンプライアンス レポートが提供されます。

図 1.2.1 は、CIS 1.0 と PCI DSS 3.2.1 のフレームワークに対して比較した、セキュリティ基盤のブループリントでデプロイされたサンプル プロジェクトのデフォルトのコンプライアンス レポートを示しています。図に示すように、評価されたコンプライアンス制御の大部分は、ブループリントですぐに構成できます。欠落しているコントロールは、正しく設定される前にユーザー入力が必要なロギング構成コントロールです。

図 1.2.1 制限付きネットワーク サンプル プロジェクトの Security Command Center Premium コンプライアンスの概要

図 1.2.1 制限付きネットワーク サンプル プロジェクトの Security Command Center Premium コンプライアンスの概要

主要なセキュリティ原則を導入する

コンプライアンス要件と規制要件を実装するだけでなく、インフラストラクチャとアプリケーションを保護する必要があります。

セキュリティ基盤のブループリントと関連する自動化スクリプトは、Google 独自のセキュリティの中心となる 3 つの Google Cloud セキュリティ原則を導入する際に役立ちます。こうしたダッシュボードで次の状況を確認できます。

  • 多層防御大規模にデフォルトで実現。
  • インフラストラクチャとアプリケーションのセキュリティに対する BeyuondProd アプローチの採用。
  • 運命共有関係への移行によるクラウド採用リスクの排除。

デフォルトで備わっている大規模な多層防御策

Google が自社のインフラストラクチャを保護する際の重要な原則は、攻撃者と関心のあるターゲットとの間に設けた、1 つの障壁(縦深防御)だけに依存してはならないということです。この基本原則に加えて、セキュリティはスケーラブルである必要があり、デフォルトで有効されている必要があります。

セキュリティ基盤のブループリントでは、これらの原則を複数の方法で具体化しています。データは、ネットワーキング、暗号化、IAM、検出、ロギング、モニタリング サービスをまたいで構成されたポリシーとコントロールを使用して、複数の防御層を通じてデフォルトで保護されます。

たとえば、本番環境プロジェクトのデータには、デフォルトで VPC セグメンテーション、VPC サービス境界、ファイアウォール ルールの 3 つのレベルのネットワーク保護があります。さらに、IAM を使用した複数のレベルのアクセス保護、アクセス コンテキスト レベル、ユーザー ID の多要素検証によって保護されています。

このブループリントは、データにアクセスできるアプリケーションを構築する安全な CI/CD パイプラインの例を示しています。パイプラインのセキュリティ機能には、ビルド時の脆弱性評価とデプロイ時のポリシー チェックの両方が含まれます。さらに、データ自体は顧客管理の暗号鍵(CMEK)で保護されます。デフォルトの監査ログを使用して、すべての管理者アクセスとデータアクセスをログに記録できます。Security Command Center Premium は、継続的なセキュリティ モニタリングと検出機能を提供します。さらに、BigQuery によるカスタム検出で補完できます。

BeyondProd

2019 年に Google は、ネイティブ クラウド セキュリティに対する新しいアプローチとして、BeyondProd を発表しました。この発表は、2014 年の BeyondCorp に関する取り組みと同じ洞察に基づいて行われました。境界ベースのセキュリティ モデルではもはや安全とは言えないことがいよいよ明白になったためです。BeyondProd は、BeyondCorp がワークステーションとユーザーに対して行ったことをワークロードとサービス ID に対して行います。従来のネットワーク中心のモデルでは、ひとたび境界の侵害に成功した攻撃者は、システム内を自由に動き回ることができます。BeyondProd アプローチでは、この従来のモデルの代わりにゼロトラスト モデルをデフォルトで使用します。これにより、従来の肥大化したモノリシック アプリケーションがマイクロサービスに分解されます。そのため、セグメンテーションと分離が促進されて影響の及ぶ範囲が限定され、運用効率とスケーラビリティも得られます。

BeyondProd の中核的なコンセプトは、開発者がセキュリティに関する深い専門知識を必要とせず、また、セキュリティ機能を自身で実装する必要なく、保護されたアプリケーションを作成してデプロイできるようにする必要があることです。したがって、BeyondProd の主な原則は次のとおりです。

  • セキュリティは包括的で組み込まれており、後から追加されることはありません。
  • エッジでのネットワーク保護は必要とされているものの、プライマリ要件ではなく、唯一の防御ポイントではありません。
  • サービス間に固有の相互信頼関係はありません。
  • 出所が明らかなコードを信頼できるマシンで実行します。
  • 論理チョーク ポイントは、サービス全体で一貫したポリシーを適用します。たとえば、データアクセスには必ず承認を求めます。
  • 変更のロールアウトはシンプルで、自動化され、標準化されています。
  • ワークロード間での分離が強制適用され、モニタリングされます。

セキュリティ基盤のブループリントにより、BeyondProd の導入機能が向上します。 セキュリティ コントロールがブループリント アーキテクチャとデプロイの各ステップに設計上組み込まれており、ステップ全体を通して統合されています。さまざまなセキュリティ管理レイヤが連携するように設計されており、後から利用するものではありません。システム内のサービス間に固有の相互信頼は存在しません。IAM の事前定義ロールにより、デフォルトの職務の分離が作成されます。リソース階層設計により、デフォルトでプロジェクト間に明確な IAM とネットワーク境界が作成されます。VPC のサービス境界を使用すると、サービスとワークロード別にセグメンテーションと分離を実施できます。組織のポリシーのような論理制御チョーク ポイントを使用すると、作成時、デプロイ時に一貫性のあるデフォルトの予防的ポリシーを適用できます。Security Command Center Premium による一元的な統合可視化により、組織内のすべてのリソースとプロジェクトのモニタリングと検出を一元化できます。

Google Cloud の機能が BeyondProd の原則にどのようにマッピングされるかについては、アプリケーションの作成とデプロイ セクション表 2.12.5 をご覧ください。

運命共同体

責任の共有から運命の共有への移行を果たすため、Google は、お客様が Google のプラットフォームでデプロイや運用を安全に行えるようにパートナーとして積極的に関わることが責務であると考えています。つまり、Day 0 から Day N に至る旅を通して、以下に示すような全体的で統合された機能を提供します。

  • 設計および構築時: インフラストラクチャとアプリケーションのベスト プラクティスをデフォルトでエンコードする、サポートされたセキュリティ基盤と体制のブループリント。
  • デプロイ時: 組織のポリシーや Assured Workloads のような宣言的なセキュリティ制約を適用するサービスを通じた「ガードレール」。
  • 実行時: Security Command Center Premium のようなサービスを通じた可視化、モニタリング、アラート生成、是正措置機能。

このように統合されたサービスにより、リスクの定量化と把握をより適切に行いつつ、信頼性の高い体制を構築し維持できます。それにより、お客様のリスクが軽減されます。図 1.2.2 で示すように、この改善されたリスク体制では、リスク保護サービスを利用できるため、リスクが排除され、最終的にクラウドでの移行と変革が加速されます。

図 1.2.2 運命共有の価値

図 1.2.2 運命共有の価値

ドキュメント構成

このドキュメントに関連する情報は、以下を説明するセクションにまとめられています。

  • この概要
  • 基盤セキュリティ モデル
  • 基盤設計
  • 独自の組織構造を表す example.com のサンプル
  • リソースのデプロイ
  • 認証と認可
  • ネットワーキング
  • 鍵とシークレットの管理
  • ロギング
  • 検出制御
  • 課金
  • セキュリティ保護されたアプリケーションの作成とデプロイ
  • 一般的なセキュリティ ガイダンス