業界最高水準の信頼できるクラウドを提供
Google Cloud Japan Team
※この投稿は米国時間 2021 年 3 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud はセキュリティにおけるリーダーです。ソフトウェア サプライ チェーンに対する攻撃が政府やその他の組織にも影響することが明らかになり、お客様は、ミッション クリティカルな処理や情報資産を委託する、信頼できるプロバイダを必要としています。
Google Cloud では、Google の運用に使用されているものと同じインフラストラクチャとセキュリティ サービスを使用して、お客様のデータを脅威や不正行為から守ります。つまり、十分なリソースを備えたグローバル組織でしか利用できない高度な機能をお客様に提供します。この推進力となっているのが、見えないセキュリティというビジョンです。セキュリティ テクノロジーが Google のプラットフォームとプロダクトに組み込まれているため、サイロとしてのセキュリティ運用が必要なくなり、これまで不可欠だったセキュリティ専門家の必要性が減り、最終的にリスクが大幅に減少します。本日は、Google が独自の方法でこのビジョンを実現し、セキュリティ変革のパートナーとしての役割を果たして、信頼性の高いクラウドを提供できる理由について詳しくご説明します。
Google の信頼できるクラウドの要件について
信頼できるクラウドの基盤は、次の 3 つの柱で支えられています。
透明性を保ち、主権を確保できる安全なプラットフォーム: お客様による検証と独立した制御を可能にする安全な基盤を提供します。お客様は、データの場所と運用に対する制御を失うことなく自社データセンターからクラウドに移行でき、地域の規制も確実に遵守できます。
実績のあるゼロトラスト アーキテクチャ: 十分な実績のあるテクノロジーの採用により、Google が日常的に目にし、防御しているさまざまな種類の脅威からデータを包括的に保護します。これにより、ランサムウェア、アカウントの乗っ取り、bot、フィッシング、その他の高度な攻撃による脅威を最小限に抑え、それらを検出して回復できるという自信に支えられた運用を可能にします。
責任の共有ではなく、運命の共有: Google はお客様と連携して、運命共有型モデルでリスク管理を行います。Google では、お客様が Google のプラットフォームで安全にデプロイできるよう、責任の範囲を区別することなくパートナーとして積極的に関わることが Google の責任であると考えています。信頼できるクラウドに安全に移行して運用を開始するためのベスト プラクティスを実装できるよう、最初からお客様を支援します。
3 つの柱について詳しく見ていきましょう。
透明性を保ち、主権を確保できる機能
お客様は、自社データセンターの運用における制御能力を失わずに、クラウドのメリットを活用できるようになることを希望されています。以前の投稿でご説明したように、Google Cloud はデータ、ソフトウェア、運用の主権を確保するための多様な機能を備えています。データや暗号鍵の保存場所や、データへのアクセスを許可するユーザーを、お客様が構成できます。暗号鍵はお客様ご自身で管理でき、Google のインフラストラクチャ以外の場所に保存することも可能です。Google の外部鍵管理サービスを利用すると、どのような理由であれ、保存されている顧客データを復号するために必要な暗号鍵にアクセスするための Google からのリクエストを拒否できます。お客様は特定の理由やコンテキストに基づいて、お客様のデータと構成に対する Google Cloud のサポートチームやエンジニア チームのアクセスをモニタリングおよび承認できるので、内部からのアクセスを可視化して制御できます。Google Cloud の Confidential Computing サービスにより、暗号化された状態のまま(つまりクラウドの内部関係者や自社の運用チームメンバーから隔離した状態で)データを処理できます。
信頼できるスケーラブルなゼロトラスト アーキテクチャの先駆者
Google は、ゼロトラスト コンピューティングの先駆者として、変革のメリットだけでなく、このモデルの運用における課題についても多くのことを学んできました。Google にとって、ゼロトラストとは最新のマーケティングの流行語やトレンドではありません。それは、Google が過去 10 年にわたり内部業務を保護するために行ってきた運営方法と支援方法を意味します。
BeyondCorp はゼロトラスト アクセスのモデルで、Google 独自のアプリケーションを保護します。これは、単に企業ネットワークに接続するための機能ではなく、ID、コンテキスト、デバイスの状態に基づいてユーザーとの間に信頼を確立します。BeyondProd は、本番環境で大規模かつ安全にサービスを運用するためのモデルです。これは、相互認証されたサービス エンドポイント、伝送セキュリティ、グローバルな負荷分散とサービス拒否攻撃防御を備えたエッジ終端、エンドツーエンドにわたるコードの出所の把握、ランタイム サンドボックスなどの安全保護対策を講じて、特別に承認された、信頼できる既知の発信者のみがサービスを利用できるようにします。サービスは、承認されたコードと構成のみを使用するように制限され、承認された検証済みの環境でのみ実行されるため、攻撃者はリーチ拡大のためのアクションを実行できません。
Google は、これらのゼロトラスト機能をお客様にご利用いただけるよう、順次製品化を進めています。年初には、ゼロトラスト アクセス プラットフォームの商用版である BeyondCorp Enterprise の提供を発表しました。また、BeyondProd の多くの機能は、Google のマネージド アプリケーション プラットフォームである Anthos や、Binary Authorization、Anthos Service Mesh などの機能に組み込まれています。Google のセキュリティ分析プラットフォーム Chronicle と組み合わせることで、Google のクラウド環境でシステムを稼働していない組織であっても、ユーザーからネットワーク、アプリ、データへの安全なコンピューティング、さらには、これら全体での脅威の検出や調査が可能になります。
クラウドにおけるリスク管理を運命共有型に移行
セキュリティをクラウドに適切に実装するのは容易でないこともあります。これまでは、有効なクラウド セキュリティ プログラムの構築は顧客側の責任の範疇でした。セキュリティの責任共有モデルは、当初よりクラウド コンピューティングの基盤でした。このモデルでは、安全な基盤を提供する責任はクラウド プロバイダ側にあり、安全な構成、データ保護、アクセス権限などを構築する責任は顧客側にあると考えられてきました。このため、企業にとってクラウドは、リスク管理のためのプラットフォームではなく、管理しなければならないリスクとなっていました。Google の信頼されるクラウドは、独自のツール、詳細なガイダンス、ベスト プラクティスを提供して、お客様のリスクを最初から軽減します。
お客様には、Google のプラットフォームでセキュリティを最適化するための詳細なガイダンスとリソース、Google の信頼されるクラウドで現行のセキュリティとコンプライアンスを管理するためのツールが提供されます。リスク保護プログラムを通じて、セキュリティに直結した料金で、今すぐ簡単にサイバー保険をご利用いただけます。Google Cloud は、世界をリードする 2 つの保険会社、Allianz Global Corporate and Specialty(AGCS)および Munich Re と提携し、Google Cloud のお客様専用に設計された特別なサイバー補償によって、リスク軽減と費用削減などのメリットを提供します。
セキュリティ変革のための最適なパートナー
Google の目標は、デジタル世界に移行するためのビジネス変革において、お客様にとって最適なパートナーとなることです。お客様のシステムを実行している場所が Google Cloud か、他のクラウドやオンプレミスであるかは関係ありません。Google の信頼されるクラウドは、お客様のデジタル トランスフォーメーションを実現すると同時に、お客様のリスク、セキュリティ、コンプライアンス、プライバシーの変革もサポートします。
Google のプロダクトとサービスはお客様のクラウド移行を加速するだけにすぎません。お客様に必要なものは、今日の企業にとってクラウド セキュリティの課題がいかに複雑であるかを自らが体験し、それぞれの企業に最適なプロセスを理解しているリーダーによるサポートとガイダンスです。Google Cloud の CISO オフィスは、お客様および Google のソリューション エンジニアリング チームと連携し、安全に保護されたデジタル トランスフォーメーションのライフサイクル全体を通してお客様をサポートする専門家からなる専任チームです。これらの専門家は、金融サービス、ヘルスケア、小売、通信会社、政府機関など複数の業種から選ばれ、規模の大小に関係なく、セキュリティやリスクに関するベスト プラクティスと実際のガイダンスをお客様に提供できます。
CISO オフィスのチームは、お客様の問題に関するフィードバック ループを効果的に増やして、プロダクトの構成や新機能に役立てています。安全なランディング ゾーン、セキュリティ ブループリント、セキュリティ変革や新サービスを迅速かつ安全に立ち上げるための詳細なガイダンスに関するドキュメントといったツールやリソースを利用して、お客様が安全でより簡単なパスを作成できるよう注力しています。2 月にリリースされた、最初のホワイトペーパー、CISO’s Guide to Google Security Transformation(セキュリティ変革のための CISO のガイド)をご覧になり、今後のホワイトペーパーにもご注目ください。
これは始まりにすぎない
相互接続された世界において、信頼できるパートナーを持つことは、これまで以上に重要になっています。信頼に対する要件の高まりに応じて、Google Cloud は要件の再定義にとどまらず、これまでになかった独自のソリューションを通じてお客様に要件を提供するという、大きな一歩を踏み出しました。リスク保護プログラムによって共有報酬につながる可能性のある、運命共有型モデルの上に構築されたパートナーシップは、その一例にすぎません。Google はクラウド セキュリティにおけるリーダーであり、これからも信頼できるクラウドであるための約束を果たしてまいります。
-Google Cloud バイス プレジデント兼 CISO、Phil Venables
-Google Cloud セキュリティ部門バイス プレジデント兼ゼネラル マネージャー、Sunil Potti
