Google Cloud Platform

Web Risk API、Cloud Armor、Cloud HSM ―― 脅威検知と保護を容易にする Google Cloud のセキュリティ サービス

securityblogurs7gqk.PNG

※この投稿は米国時間 2019 年 3 月 7 日に Google Cloud blog に投稿されたものの抄訳です。

今日、多くの企業が複雑な脅威環境に直面しています。ユーザー、ネットワーク、機密情報、コミュニケーションを標的とした攻撃の巧妙化や大規模化が進み、あらゆる規模の組織がこうした脅威を防ぐために、簡単にデプロイして管理できる高度なセキュリティ機能を必要としています。私たち Google Cloud は革新的なセキュリティ機能をお客様に提供することを常に目指していますが、それは私たちのプラットフォームでワークロードを実行していない組織に対しても同様です。

Web Risk API とは

私たちはこのたび、Web Risk API のベータ提供を開始しました。Web Risk API は、ウェブ上でお客様のユーザーを保護するように設計された新しい Google Cloud サービスです。このシンプルな API を呼び出せば、安全ではないウェブ リソース リストを基に、クライアント アプリケーションにおいて URL をチェックできます。

Google が作成したこのリストには、フィッシング サイトや偽サイトのようなソーシャル エンジニアリング サイトや、マルウェアや迷惑ソフトウェアをホストするサイトなどが含まれます。Web Risk API によって既知の不正サイトを迅速に特定すれば、マルウェア感染ページに誘導する可能性があるリンクをユーザーに警告したり、悪意あるページへのリンクをユーザーが利用すること(たとえば、悪意ある URL をコメントに含める)を防いだりできます。

Web Risk API には 100 万以上の安全ではない URL のデータが含まれており、私たちは毎日数十億の URL を調査することでリストを最新の状態に保っています。こうした Web Risk API は、Google Safe Browsing の土台となっている技術と同じものに支えられています。Safe Browsing による保護はすべての Google プロダクトで機能し、日々インターネットで 30 億台以上のデバイスを保護することに役立ってきました。Safe Browsing に携わるエンジニアリング、プロダクト、オペレーションの各チームは、セキュリティの研究および技術の最前線で、人々を害悪から守るシステムの構築に取り組んでいます。そして現在では、Safe Browsing と技術を同じにする Web Risk API を通じて、企業がユーザーを保護できるようになりました。

Cloud Armor で DDoS 攻撃と標的型攻撃を防ぐ

インターネットに接続されたサービスやアプリケーションの運用には難しい作業が伴います。ユーザーのリクエストに迅速に応えてトラフィックを送信するとともに、サービスを停止させようとする悪意ある攻撃を防ぐ必要があるからです。

Cloud Armor は、Google Cloud Platform(GCP)の DDoS 攻撃防御およびウェブ アプリケーション ファイアウォール(WAF)サービスです。Google 検索、Gmail、YouTube といったサービスの保護に使用されているのと同じ技術やグローバル インフラストラクチャに基づいています。このほど一般提供(GA)が開始された Cloud Armor は、グローバル HTTP(S) ロード バランサと連動し、L3/L4 DDoS 攻撃防御機能や、IP に基づいたトラフィック許可 / 拒否機能を提供します。

今回の GA リリースに伴い、新しい Cloud Armor ダッシュボードが Stackdriver Monitoring で利用できるようになりました。この柔軟なダッシュボードを使用すると、Cloud Armor の保護対象となるトラフィックのモニタリングおよび分析が簡単になります。また、ネットワーク管理者やセキュリティ オペレーション チームは Cloud Armor のセキュリティ ポリシーの効果を把握できます。さらに、プレビュー モードを使ってルール案の潜在的な影響をプロジェクト全体にわたって評価、検証したり、個々のセキュリティ ポリシーやバックエンド サービスを掘り下げて検討したりすることも可能になります。

Cloud_Armor3k0d.PNG

Cloud Armor により、アプリケーション トラフィックを迅速に可視化し、どのリクエストが許可 / ブロックされているかを把握できます

簡単に使える HSM キーでクラウド上のデータを保護

機密データの保護は組織にとって優先課題であり、金融サービスのような規制が厳しい業種では特にそうです。この課題に対処する主要な方法の 1 つが暗号化で、セキュリティに敏感な多くの組織がハードウェア セキュリティ モジュール(HSM)をデプロイし、暗号処理にセキュリティ レイヤを追加しています。しかし、HSM のデプロイや構成、実行は厄介であることが少なくありません。

そこで私たちは Cloud HSM を開発し、先ごろ一般提供を開始しました。Cloud HSM は、GCP に含まれるクラウドホスト型のマネージド HSM サービスです。Cloud HSM を使用すれば、FIPS 140-2 Level 3 認証済みの HSM(下図参照)で暗号化キーを保護し、暗号処理を実行できます。HSM クラスタの管理に伴う運用上のオーバーヘッドを気にせずに、最も機密性の高いワークロードを保護できるのです。実際、多くの大企業が、非常に簡単かつ迅速に HSM キーを使ってデータを保護できるとして、ワークロードを GCP に移行しています。

Cloud_HSM_94cr9gmld2s.PNG

Cloud HSM により、手間をかけずに GCP 環境でハードウェア暗号化とキー管理を実現できます

Cloud HSM は最初に米国のいくつかのロケーションで提供され、欧州の複数のロケーションでも GCP のお客様に提供が開始されました。提供地域は今後さらに拡大する予定です。

以上の 3 つのサービスにより、私たちは簡単なデプロイで利用できる高度なセキュリティ機能を強化し、Google Cloud のお客様に提供していきます。セキュリティ機能のポートフォリオについては、信頼とセキュリティのページをご覧ください。

- By Jennifer Lin, Director, Product Management at Google Cloud