アイデンティティとセキュリティ

セキュアなエンドユーザー コンピューティングを実現する多層的アプローチ

gcp_securityrdju.PNG

※この投稿は米国時間 2019 年 5 月 30 日に Google Cloud blog に投稿されたものの抄訳です。

社員の大多数が光り輝く本社で働く時代は、クラウドをベースとするモバイル ワーカーの時代に取って代わられようとしています。どこでも仕事ができるようにすると、生産性が向上し、コラボレーションが進み、社員のやる気も上がります。しかしこれは、セキュリティとコンプライアンスの面で新たな課題が生まれるということでもあります。

私たちは今年 4 月に開催した Google Cloud Next '19 において、セキュアなエンドユーザー コンピューティングへの取り組みについてプレゼンテーションを行いました。いま現実に起こっていることを考えると、タイムリーで重要なテーマでした。

Google Cloud が提供するエンドユーザー コンピューティングのエコシステムは、Google Cloud Platform(GCP)を基礎としています。GCP は、最初からセキュリティ優先で作られた専用のインフラストラクチャをベースとする、独自の強力なセキュリティ機能を提供します。GCP を利用すると、パートナー ツールの幅広いエコシステムを統合できるほか、ISO 27000 のような極めて厳格なグローバル セキュリティ標準による検証をサポートすることができます。

エンドユーザー コンピューティングに対する私たちの多層的なアプローチでは、上述したインフラストラクチャによる基礎に加えて、アプリケーション、ユーザー、デバイスの各層にセキュリティ機能が組み込まれています。以下では、Google Cloud のエンドユーザー コンピューティング スタックを見ていきましょう。

security_from_data_center_to_deviceshjo.PNG

アプリケーションのセキュリティ

ブラウザ経由でアプリケーションにアクセスするエンドユーザーが増えていることから、Chrome ブラウザはクラウド アプリケーションへの安全で信頼性の高いアクセスを、プラットフォームを問わず提供します。また、私たちは継続的に Chrome ブラウザのセキュリティ強化に取り組んでおり、お客様とビジネス データの保護を支援します。たとえば、Google Safe Browsing などの機能、定期的なセキュリティ アップデート、サンドボックス化、サイトの分離などは、潜在的な脅威に対する企業やユーザーの保護を一歩先に進めます。

さらに、Gmail や Google ドキュメント、ドライブなどすべての G Suite アプリケーションは、ユーザーが直面するさまざまな脅威を自動的にブロックするといった、積極的でインテリジェントなアプローチでセキュリティに臨んでいます。G Suite は、ユーザーの保護、デバイスの管理、コンプライアンスの徹底、データ セキュリティの確保のためのシンプルで合理的な手段を管理者に提供します。

加えて、Google の DNA は透明性を中核としており、皆さんのデータは Google ではなく皆さんのものだということを明確にしておきたいと思います。私たちは皆さんのデータを第三者に販売したり、広告を G Suite に表示したりすることはしません。広告目的で G Suite サービスからデータを集めたり、利用したりすることも決してありません。

ユーザーのセキュリティ

エンタープライズ モバイルでは、エンドユーザーの現在地や使用デバイス / ネットワークに関係なく業務を遂行できる環境が求められます。このような新しい現実のもとでは、ユーザーのセキュリティについても新しいアプローチが必要です。

user_security6wyq.PNG

私たちは、モバイルでクラウドベース、そして境界のない世界でのセキュリティ強化のために、「ゼロトラスト」の企業セキュリティ モデルである BeyondCorp を開発しました。BeyondCorp は、管理対象をネットワーク境界から個別のユーザー / デバイスへとシフトし、ID、デバイスの状態、コンテキストに基づいてアクセスを許可します。これにより、管理者は従来よりも粒度の細かいセキュリティ管理を行える一方で、ユーザーはどこでもどのようなデバイスでも安全に作業できるようになります。

BeyondCorp を有効にするうえで大きな意味を持つのが、ID、アクセス、デバイスの統一的な管理ソリューションである Cloud Identity です。Cloud Identity は、多要素認証によってアカウントのセキュリティを強化するとともに、Google の Titan セキュリティ キーをはじめとする FIDO セキュリティ キーとシームレスに連携し、新たな保護層を提供します。しかも、Android フォンも FIDO セキュリティ キーとして使えるようになり、フィッシングやアカウント乗っ取りに対する便利で強力な防御手段となっています。

デバイスのセキュリティ

Google は、さまざまフォーム ファクターや価格帯の Android および Chrome Enterprise デバイスを提供しています。Android と Chrome デバイスはいずれも設計上セキュアであり、多層防御セキュリティ モデルを採用しています。Verified Boot、アプリケーションのサンドボックス化、オンデバイス暗号化、バックグラウンドでの定期的なセキュリティ アップデートなどにより、堅牢で Always On のデバイス セキュリティを目指しています。Android および Chrome デバイスのセキュリティに対する私たちのアプローチについては、最近投稿されたブログ記事をご覧ください。この記事では、Gartner の『Mobile OSs and Device Security : A Comparison of Platforms』レポートから明らかになった点を取り上げています。

device_securitykk0j.PNG

デバイスの安全性は、デバイス上で実行されるソフトウェア ツールの安全性と同程度です。Google Play プロテクトは、世界で最も広く使われているマルウェア対策ソリューションであり、毎日 500 億のアプリケーションを検証し、20 億台以上のデバイスを保護しています。Managed Google Play を使用すると、Google Play プロテクトで保護されたアプリケーションを、Chrome と Android の両デバイスのユーザー向けにプッシュ、更新、リモート設定を行うことができ、サードパーティのアプリケーション ストアを経由したサイドローディングを防ぐことができます。

データセンターからデバイスまでのセキュリティ

私たちが、インフラストラクチャからアプリケーション、ユーザー、デバイスに至る各層の防御を連携させているのは、エンドユーザー コンピューティングのテクノロジー スタックで機能する多層的なセキュリティ ソリューションを提供し、企業がセキュリティを犠牲にすることなく、モバイル環境でより生産的に業務を遂行できるようにするためです。もっと詳しく知りたい方は、Next '19 でのプレゼンテーションをご覧いただくとともに、こちらからお問い合わせください。

- By Rob Sadowski, Trust & Security Lead and Eugene Liderman, Director, Android Security Strategy