コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

ホワイトペーパー: Google Cloud External Key Manager で自らの鍵を保持する

2021年5月10日
Google Cloud Japan Team

※この投稿は米国時間 2021 年 4 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。

Google はお客様の Google Cloud の利用をサポートしていきたいと思っておりますが、同時にお客様には Google への信頼度を下げていただきたいと考えていますこれまでも何度か触れることがありましたが、これが多くのセキュリティ対策の背景にある Google の理念です。信頼できるクラウドに対する Google のビジョンの一環であり、この理念のもとに、さらに高い信頼を勝ち取るためのテクノロジーや戦略を構築していきたいと考えています。

そこで、Google の Hold Your Own Key(HYOK)テクノロジーである Google Cloud External Key Manager(Cloud EKM)に対する理解を深めていただくため、新しいリソースを公開する運びとなりました。このホワイトペーパーでは、EKM の元となった考え、機能、アーキテクチャ、ユースケースについて説明していきます。このホワイトペーパーは、Sidechain の Andrew Lance 氏と Google Cloud の Anton Chuvakin が共同で執筆したものです。

次に示すいくつかの主要な領域を取り上げています。

  • クラウドへの信頼を確かなものに

    • このセクションでは、クラウド コンピューティングの利用拡大に伴う、信頼に関する課題について説明します。特に、クラウド コンピューティング プラットフォームが本質的にマルチテナントである場合、そうしたコンピュータへのアクセス権をどのようなユーザーに付与すべきかといった課題を取り上げます。

  • 鍵のセキュリティ - お客様に選択肢を提供

    • このセクションでは、データ暗号化と鍵管理について、お客様に提供する異なる管理レベルを中心に説明します。また、Cloud EKM 技術のコンセプトも紹介します。

  • Cloud EKM の概要と仕組み

    • この章ではまず、Cloud EKM での鍵管理の仕組みについて説明し、このプロセスを導入することで、暗号化された保存データにクラウド サービスがアクセスすることを許可する状況をお客様が定義できるようになり、データ保護が強化されるまでの流れを解説します。

  • Cloud EKM の主なメリット

    • このセクションでは、鍵の来歴、一元化、管理について説明します。

  • 主なユースケース

    • この章では、Cloud EKM で機密性の高いデータを保護する方法、コントロールを維持して地政学的な問題や地域特有の問題に対処する方法、ハイブリッドやマルチクラウドのアーキテクチャをサポートする方法について説明します。

  • サービスの統合と技術的な考慮事項

    • こちらのセクションでは、Cloud EKM の保護対象となるサービスを紹介します。ここでは、Google がお客様指定の鍵をサーバーに保存しないという仕組みとその理由を説明します。またこのことからわかるように、お客様が鍵をなくした場合、Google には失われた鍵または鍵で暗号化されているデータを復旧する手段がありません。これは、留意していただきたい重要な考慮事項です。

  • 統合ソリューション プロバイダ

    • この章では、EKM 技術を支えるパートナーを紹介します。

  • Cloud EKM で新しいクラウド ワークロードを開拓

    • このセクションでは、Google が、Cloud EKM を介して、実際のところお客様にはクラウド プロバイダへの信頼度を下げていただくことで、信頼を確かなものにするというモデルを採用する理由を説明します。

以下に、ホワイトペーパーから重要な箇所を引用してご紹介します。

-「Cloud External Key Manager(EKM)は、Google のインフラストラクチャの外部にデプロイされたサードパーティの鍵管理システムで保存、管理されている暗号鍵を使用して、BigQuery、Compute Engine、Cloud SQL、Google Kubernetes Engine など、さまざまなサービスのデータを暗号化できる、もう一つの画期的な機能です。」

-「Cloud EKM や他の多くの GCP 機能とサービスは、コントロールをお客様にお返しすることで、お客様の信頼を勝ち得ようとするものです。」 [あるいは、ブログでお伝えしたように、お客様の Google に対する信頼度を下げていただくことで、信頼を確かなものにしようと考えています]

-「Google Cloud は、お客様の特に機密性の高いデータを処理するにあたり、ごまかしたり完全なコントロールを要求したりせずとも、信頼を勝ち取ろうと努力しています。そのため、お客様にコントロールを戻したうえで、お客様の権限を増やし、機密性の高いお客様データの公開を制限することで、クラウド サービスを通して優れた価値を提供していきたいと考えています。」

-「プロバイダは暗号鍵を持っておらず、暗号鍵はお客様側で保管されているため、プロバイダの従業員が不正を働こうとしても、暗号鍵にアクセスすることはできません。」

-「Cloud EKM では、現在の鍵管理インフラストラクチャを利用して(お客様がサポート パートナーを利用されている場合)、鍵の来歴は維持しつつ、クラウドに保護されたワークロードを置くことができます。この鍵は、Google Cloud には保存されないので、Google Cloud が鍵の作成や削除に関与することはありません。」

-「留意していただきたいのは、Google はサーバー上でお客様の鍵を保持せず、お客様が Cloud EKM に鍵を提供しない限り保護されたディスクにはアクセスできないという点です。また、このことは、お客様が鍵をなくしたりアクセスできなくなったりした場合、Google には失われた鍵または鍵で暗号化されているデータを復旧する手段がまったくないことも意味します。」

詳しくはホワイトペーパーの全文をお読みください。EKM の使用を開始するには、ドキュメントで外部鍵管理パートナーをお選びください。

Anton Chuvakin, Head of Solutions Strategy

Il-Sung Lee, Senior Product Manager, Google Cloud

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/gcp_security.max-700x700.jpg
Public Sector

ガバメントクラウドのセキュリティと効率性を向上させる IaC 利用

執筆者: Google Cloud Japan パブリックセクター本部 • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

インテルの AI 対応 AMX CPU アクセラレータのテスト結果について

執筆者: Erdem Aktas • 所要時間: 8 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

新たなエンドポイントのセキュリティを確保: Chrome Enterprise Premium の最新のイノベーションをご紹介

執筆者: Tanisha Rai • 所要時間: 4 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud の新しい脆弱性報奨金プログラムのご紹介

執筆者: Michael Cote • 所要時間: 2 分