ユビキタスなデータ暗号化によって強化される Google Cloud への信頼
Google Cloud Japan Team
※この投稿は米国時間 2021 年 10 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。
データをクラウドに移行する際には、ストレージと処理に関する選択肢を狭めることなく、不正なアクセスからデータを検証可能な形で保護するにはどうすればよいかという問題に直面することになります。パブリック クラウド サービスを使用する場合には、クラウド プロバイダを根本的に信頼する必要がありますが、最もセンシティブなデータやワークロードの場合、そうするのは容易ではありません。Google Cloud Platform では、保存データを暗号化する場合には Cloud External Key Manager(EKM)ソリューションを使用して Google のインフラストラクチャ外に鍵を保存して管理できます。また、Confidential Computing ソリューションを使用すると、Google がアクセスできない、プロセッサ内に保持される鍵を使用して使用中のデータを暗号化することができます。 こうしたソリューションを使用することで保存データや使用中のデータに関する暗黙の信頼の必要性が軽減されるものの、データをある状態から他の状態に移行する場合や、転送中のデータに関しては、依然としてクラウド プロバイダを信頼する必要があります。 こうした課題にはどのように取り組めばよいのでしょうか?
Google は Cloud Next 2021 において、お客様にユビキタスなデータ暗号化を提供する、これまでにないソリューションを発表しました。これは、保存中、使用中、転送中のデータに対する、お客様自身が管理する鍵による統合された管理を提供します。 ユビキタスなデータ暗号化には次のような特徴があります。
データがストレージまたはメモリにあるか、転送中であるかを問わず、データへのアクセスはお客様自身が管理します
GCP のコンピューティングとストレージの能力を最大限に活用できます
Google への暗黙の信頼の必要性が軽減されます
このソリューションを構築するために、Google は Google Cloud の Confidential Computing と Google Cloud EKM を活用し、Thales を含むパートナーと協力して、お客様が既存の EKM の設定を引き続き使用できるようにしました。そして、お客様が外部の鍵管理ソリューションを使用して、クラウドに送信されるデータをシームレスに暗号化できるようにしました。データを復号して処理できるのは、Confidential VM だけです。機密性が保持された環境でのみ鍵を使用できるようにするために、Google は Confidential VM の証明書機能を活用しています。
ユビキタスなデータ暗号化の設定および使用方法
この機能を設定して使用するためのワークフローはシンプルです。
まず、すでに使用している外部の鍵管理ソリューションを使用して、GCP 外で暗号鍵を作成します(現在サポートされているソリューションは Thales Ciphertrust で、今後他の EKM パートナーも統合されます)
Confidential VM サービスに、EKM 暗号鍵へのアクセスを許可します
gsutil ツールを使用し、Google の lib を使用してデータを Google Cloud Storage(GCS)にアップロードします。これにより、データはステップ 1 で生成された鍵を使用してシームレスに暗号化されます。
Confidential VM で実行されているアプリケーション内で、gsutil を使用し、Google の lib を使用して GCS データをダウンロードします。これにより、Confidential VM の外部に鍵をさらすことなく、データをシームレスに復号できます。
アプリケーションが、Confidential VM 以外のところにある GCS データにアクセスしようとすると、データの復号が失敗します。
ユビキタスなデータ暗号化により、暗黙の信頼の必要性を軽減する仕組み
高度な設定
さらなる安全措置として、暗号鍵へのアクセスの認証に複数のパーティーを要求することもできます。たとえば、すべての復号操作に対して、オンプレミスの暗号鍵に加えて Cloud KMS の鍵を要求できます。こうすることで、暗号化と復号の機能を複数のパーティーに分散できるため、鍵アクセスモデルの管理をさらに強化できます。
厳格な規制の対象である金融サービスのデータを扱うお客様は、Confidential Computing と Cloud EKM の統合による効果をすでに実感しています。
「Google の新しいユビキタスなデータ暗号化機能のおかげで、より多くのデータやワークロードをクラウドに移行することができています。自分たちで管理する鍵を使用して、保存中、使用中、転送中のデータを暗号化できるため、厳格なデータ セキュリティ基準を満たしながら、Google Cloud が提供する強力なストレージとコンピューティングの機能を活用できます」– Deutsche Bank 暗号エンジニアリングとソリューション担当バイス プレジデント Jörn-Marc Schmidt 氏
次のステップ
要約すると、この新しいユビキタスなデータ暗号化ソリューションにより、Google Cloud に対する暗黙の信頼の必要性を軽減できるため、より多くのセンシティブ データを GCP に移行できるようになります。詳細についてはドキュメントをご覧ください。コメントや質問については、このフォームを使用してお問い合わせください。
- Google Cloud シニア プロダクト マネージャー Il-Sung Lee
- プロダクト マネージャー Anoosh Saboori