Cloud Spanner が顧客管理の暗号鍵と Access Approval を開始

※この投稿は米国時間 2021 年 4 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。

Cloud Spanner は Google Cloud のフルマネージド リレーショナル データベースであり、無制限のスケーリング、高パフォーマンス、リージョン間での強整合性、高可用性（最大 99.999% の可用性 SLA）を提供します。さらに、セキュリティ、透明性、完全なデータ保護を提供することから、企業から信頼を寄せられています。企業がデータの保護方法をより厳密に管理できるように、Spanner は顧客管理の暗号鍵（CMEK）を最近リリースしました。CMEK を使用すると、お客様は Cloud Key Management（KMS）で暗号鍵を管理できます。

セキュリティの観点から、Spanner はクライアント ライブラリを使用した転送中のデータの暗号化と、Google が管理する暗号鍵を使用した保存データの暗号化をデフォルトで提供しています。金融サービス、医療、ライフ サイエンス、電気通信などの規制の厳しい業種のお客様は、コンプライアンス要件に合わせて暗号鍵を制御する必要があります。Spanner の CMEK サポートの開始により、暗号鍵を完全に制御できるようになり、最高レベルのセキュリティとコンプライアンスを必要とするワークロードを実行できるようになりました。CMEK でデータベースのバックアップを保護することもできます。また、Spanner は VPC Service Controls サポートも提供し、コンプライアンス認定と必要な承認を受けているため、ISO 27001、ISO 27017、ISO 27018、PCI DSS、SOC 1、SOC 2、SOC 3、HIPAA、FedRamp を必要とするワークロードに使用できます。

Spanner は Cloud KMS と統合して CMEK サポートを提供し、Cloud KMS で暗号鍵を生成、使用、ローテーション、破棄できるようにします。高いレベルのセキュリティが必要なお客様は、ハードウェアで保護された暗号鍵の使用を選択でき、FIPS 140-2 レベル 3 認証済みのハードウェア セキュリティ モジュール（HSM）で暗号鍵をホストして暗号オペレーションを実行できます。Spanner の CMEK 機能は、すべての Spanner リージョン、および KMS と HSM をサポートする一部のマルチリージョンでご利用いただけます。

Spanner で CMEK を使用する方法

Spanner データベースに CMEK を使用するには、ユーザーはデータベースの作成時に KMS 鍵を指定する必要があります。KMS 鍵は、Spanner インスタンスと同じロケーション（リージョンまたはマルチリージョン）に存在する必要があります。

Spanner は、ユーザーが Cloud KMS 暗号鍵の暗号化と復号のロールを Google が管理する Cloud Spanner サービス アカウントに付与すると、ユーザーの代わりに鍵にアクセスできます。CMEK を使用したデータベースを作成すると、API、DDL、DML によるデータベースへのアクセスは、Google が管理する暗号鍵を使用するデータベースの場合と同じになります。暗号化タイプと暗号鍵の詳細はデータベースの概要ページで確認できます。

Spanner はインスタンス構成の各ゾーンで約 5 分ごとに KMS を呼び出して、Spanner データベースの鍵が引き続き有効であることを確認します。お客様はプロジェクトで Cloud KMS API のロギングを有効にすると、ログビューアで KMS への Spanner リクエストを監査できます。

Spanner の Access Approval サポート

お客様はセキュリティ管理に加え、データの使用方法を完全に把握して制御する必要があります。現在、お客様は Cloud Spanner の監査ログを使用して Google Cloud 組織のメンバーの管理とデータアクセスに関するアクティビティを記録しており、アクセスの透明性ログを有効にして Google の担当者が行ったアクションを記録しています。アクセスの透明性は、ほぼリアルタイムのログをお客様に提供します。Google のサポート担当者やエンジニアリング担当者は、お客様のデータへのアクセスについてビジネス上の正当性（シナリオによってはサポート チケットへの参照も含む）を記録します。これを拡張し、Spanner はプレビュー版 Access Approval のサポートを開始しました。Spanner で Access Approval を使用すると、お客様は Google 担当者からのデータへの管理アクセスをブロックし、担当者が続行するには明示的な承認が必要になります。したがって、Access Approval はアクセス透明性ログによって提供される透明性にアクセス制御を追加して強化します。また、Access Approval は承認済み、拒否、期限切れになったすべてのリクエストの履歴情報も提供します。

Access Approval を使用するには、お客様はまず組織のコンソールからアクセス透過性を有効にする必要があります。次に、Access Approval もコンソールで有効にします。Access Approval を使用すると、ユーザーは承認可能なアクセス リクエストをメールや Pub/Sub メッセージで受信します。メッセージ内の情報を使用して、Google Cloud Console や Access Approval API でアクセスを承認できます。

詳細

Spanner では、他の Spanner データベースと同じように CMEK 対応データベースについて請求が発生します。Spanner が暗号化や復号に鍵を使用する場合は常に、Cloud KMS の使用（鍵と暗号オペレーションの費用）についてお客様に請求されます。この費用は最小限になると想定しています。詳細については、KMS の料金をご確認ください。

• CMEK の詳細については、ドキュメントをご覧ください。

• Spanner の使用を開始するには、インスタンスを作成するか、Spanner Qwiklab でお試しください。

 - Google シニア プロダクト マネージャー Vaibhav Govil