Google Cloud のセキュリティ管理およびプライバシー管理の検証: お客様のための 2021 年 CCAG 共同監査
Google Cloud Japan Team
※この投稿は米国時間 2022 年 4 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。
お客様に最も信頼されるクラウドとしての役割を担うためには、透明性、コラボレーション、保証を維持していくための取り組みが欠かせません。Google のプロダクトは独立した機関の監査を定期的に受けており、世界規模での規制の要件、枠組み、ガイドラインに対するコンプライアンスの認証または証明書を取得しています。Google Cloud は、Google Cloud プラットフォームのセキュリティとプライバシーの検証を求めるお客様、規制当局、指定の独立した監査機関と緊密に連携しています。Google サイバーセキュリティ対応チームがお客様のリスク管理の取り組みをサポートする方法の一例として、Collaborative Cloud Audit Group(CCAG)による年次の監査が挙げられます。2020 年には、世界的な COVID-19(新型コロナウイルス感染症)のパンデミックが起こり、テレワークの需要が増加したことを受け、Google Cloud は完全なリモート条件下でのお客様の監査を迅速に実現しました。2021 年には、サイバーセキュリティ上の脅威、データ侵害、ソフトウェア サプライ チェーン攻撃の件数が増加し、さらにデータ移転要件およびプライバシー要件が急速に変化したことで、世界中の組織はさらなる困難に見舞われました。こうした困難の増加が、クラウド内のデータおよびアプリケーションの独立した運用と明確な保護を可能にする、お客様による厳密な管理の評価の重要性を強調することになりました。そのため、2021 年の CCAG 共同監査の範囲に、Google が確実にお客様のデータを安全かつ非公開に保ち、脅威や脆弱性を効果的に管理し、ソフトウェアのサプライ チェーン全体にわたって透明性とアカウンタビリティを確保していくための方法が含まれていたことは当然と言えます。
CCAG は 39 の主要なヨーロッパの金融機関と保険会社で実施するイニシアチブであり、その各社は顧客に革新的なソリューションやエクスペリエンスを提供するためにクラウド インフラストラクチャとテクノロジーを利用しています。Google Cloud の CCAG の監査では、グループ メンバーは 3 年連続で重要なワークロードのアウトソーシングに関連するリスクを管理し、国内や EU の厳格な法令上の義務を果たすことができました。
Google Cloud でソリューション エンジニアのバイス プレジデントを務める Hamidou Dia は、お客様の信頼を獲得し維持するうえで、検証可能な透明性がいかに重要であるかについて語っています。
「Google のお客様は、あらゆるプラットフォームにまたがる世界中の人材、アプリケーション、データの安全を確保したいというニーズを認識しており、そこにはクラウド サービス プロバイダの関連ポリシーや管理の把握が含まれています」と Dia は述べています。「良好かつ信頼できるエンタープライズ パートナーシップには、透明性に加え、情報、根拠、専門家へのアクセスが不可欠で、そのどれもがお客様による迅速なリスク管理とデュー デリジェンスの実施をサポートするものです」
CCAG が行った共同監査は、お客様と協力してリソースを効率的にデプロイし、Google Cloud のトラストモデルの詳細情報を確実に獲得するための好例です。年次の共同監査は約 6 か月間におよぶもので、Google Cloud のセキュリティ管理とプライバシー管理の設計および有効性を包括的に評価します。
「今年は、主に Google のインフラストラクチャ セキュリティ、暗号制御およびデータのプライバシー管理、サプライ チェーンの管理に関するテストに焦点を当てました。CCAG が実施するスケーリングの監査では、十分な準備とリソースが両方のサイドで求められます。参加メンバー各社のリスク評価の要件を達成し、そのうえで規制遵守の要件も達成するために、大量のポリシー、プロセス、技術ドキュメント、テストサンプルをレビューしました」と、Commerzbank、IT、オペレーション & ソーシング グループ 監査責任者の Christina Hepp 氏は述べます。さらに、「Google Cloud チームは、監査を無事に完了するために、組織全体にわたって対象分野の専門家を集め、リーダーたちによるサポートを確保してくれました」と述べています。
Google Cloud が業界最高水準の信頼できるクラウドとなるための取り組みを続ける方法の一つは、共同監査を通してプラットフォームのセキュリティ管理とプライバシー管理を検証することです。Google は、お客様と協力し、変わり続ける規制遵守の要件への対応において継続的に支援を行っています。Google Cloud の信頼とコンプライアンスについて詳しくは、コンプライアンス リソース センターをご覧ください。
- Google Cloud エンタープライズ トラスト責任者 Rani Urbas