Google Cloud Platform

Cloud Storage バケットのデータ保護に役立つ 4 つのステップ

編集部注 : この投稿は、セキュアなクラウド コンピューティングのためのアドバイスとベスト プラクティスを紹介する新シリーズ『taking charge of your security』(セキュリティ管理の責任を持つ)の第 2 回目です。1 回目の『Google Cloud のサービス アカウント キーを安全に管理する』も、ぜひご覧ください。

クラウド ストレージは、データの提供やデータ アナリティクス、データのアーカイブ化などのユース ケースに適しています。Google Cloud では、Google Cloud Storage を機密データの最も優秀で安全なリポジトリとすることに力を注いでいます。たとえば、バックエンド インフラストラクチャをハードニングしたり、インフラストラクチャのレベルで脅威を監視したり、保存されたお客様のデータを暗号化したりといったことに取り組んでいます。

それでも、パブリック クラウド ストレージのプラットフォームを使用する企業が増えるにつれて、機密データの漏洩が話題に上ることが多くなってきています。そうした情報漏洩の多くは、想定以上のユーザーにアクセスを許可するという設定ミスが原因で起きている点に注意してください。適切なツールとプロセスを導入すれば、このような意図せぬ情報漏洩を起きにくくすることができます。

クラウドのセキュリティは、お客様とプロバイダーが一体となって守らなければなりません。本稿では、Cloud Storage ユーザーとしての経験を基に、Google Cloud Platform(GCP)のツールを使った適切なアクセス制御のセットアップ、機密データの検出、データのセキュアな管理のためにお客様ができることについて、ヒントをいくつか紹介します。

1. 権限のチェック

Cloud Storage バケットの安全を守るための最初の一歩は、適切な個人やグループだけにアクセスを許可することの徹底です。Cloud Storage バケットへのアクセスはデフォルトでも制限されていますが、リソースのオーナーや管理者がバケットやオブジェクトを公開してしまうことはよくあります。これにはやむを得ない事情もありますが、バケットの公開は意図せぬデータ漏洩への道を開くことにつながるので注意が必要です。

バケットやオブジェクトへのアクセスは、IAM(Identity and Access Management)権限を使って制御すべきです。IAM は、ストレージ バケットへのアクセスをきめ細かく制御できるように作られています。こちらのハウツー ガイドを参考に、Cloud Storage バケットへのアクセスを制御する方法を身につけてください。

大切なのは、どのユーザーやグループにどのような権限を与えたかをきちんと把握することです。たとえば、メンバー数が多いグループにアクセスを認めると、重大なデータ漏洩を引き起こす可能性が高まります。Cloud Resource Manager を使用すれば、プロジェクトとリソースを一元的に管理してコントロールすることも可能です。


2. 機密データのチェック

権限を適切に設定したとしても、Cloud Storage バケットに機密データが格納されているかどうかを把握しておくことは大切です。Cloud Data Loss Prevention(DLP)API を活用してください。DLP API は、40 種を越える定義済みの検出アルゴリズムを使って、クレジットカード番号、名前、個人識別番号、電話番号などの機密データ要素をすばやくスケーラブルに分類します。

DLP API による Cloud Storage バケットの検査方法は、こちらのハウツー ガイドで詳しく説明されています。


3. 対策のための行動

広く共有されているバケットで機密データが見つかったら、すぐに適切な対策を講じる必要があります。たとえば次のとおりです。

  • 公開バケットを非公開に戻す。
  • バケットへのアクセスを制限する(IAM を参照)。
  • バケットから機密ファイルやオブジェクトを削除する。
  • DLP API を使って機密データ要素を編集する。
また、機密データであることを連想させるような名前をバケットに付けることは避けるべきです。


4. 警戒を怠らない

機密データを 1 回の対策で保護することはできません。権限を変更すると新しいデータが追加され、権限の設定が適切でない新しいバケットが生成されます。それを防ぐためのベスト プラクティスは、不適切な権限のチェックと機密データのスキャンを怠りなくスケジューリングし、適切なフォローアップを実施することです。

IAM や DLP などのツールを活用すれば、クラウド データのセキュリティを確保しやすくなります。意図しないアクセスを防ぎ、データ保護を自動化し、その他の GCP データストアやアセットを守るため、セキュリティ分野の動向には常に気を配るようにしてください。

* この投稿は米国時間 9 月 13 日、GCP Product Management の Scott Ellis と Subhasish Chakraborty によって投稿されたもの(投稿はこちら)の抄訳です。

- By Scott Ellis and Subhasish Chakraborty, GCP Product Management