アイデンティティとセキュリティ

Google Cloud のセキュリティに関する 25 の発表まとめ

*この記事は米国時間 3 月 29 日に Keyword に投稿されたものの抄訳です。

klcdpF3p69xIZ8vZ2Jb8GZuESiXtea-ZOEQ8S6wNpl1s-ii0xHyfiXAJcLDl2Mh_1MuMMBWUVy0xWTzFb9eFjeJBmzLPPRaBaTasWJ2Z1sealKIfIPJD1K4aZlhfPLzBVCO756hjh86z.PNG

セキュリティは今の時代における最大の課題の 1 つです。Google はクラウドを通じて、この課題に取り組んでいます。Google Cloud は常に、高度化する脅威に対抗するべく、企業や組織が機密データを保護し、イノベーションを推進することができるよう支援するとともに、管理および可視化の機能を提供しています。その一環として、Google は今年 3 月、幅広いセキュリティ プロダクトやその機能の強化を発表しました。この投稿は、それらの投稿をすべてまとめたものです。

セキュリティに関する今年 3 月の発表の概要は以下のとおりです。

Chrome Enterprise


1. エンタープライズ モビリティ管理(EMM)に関する新たなパートナーシップ
EMM プロバイダー 4 社との新たなパートナーシップを発表しました。IT 管理者が 1 か所から大量のデバイスを対象にセキュリティ ポリシーを管理、実装できるよう支援することが目的です。Cisco MerakiCitrix XenMobileIBM MaaS360 with WatsonManageEngine Mobile Device Manager PlusChrome Enterprise を新たにサポートしました。

2. Chrome OS と Active Directory の統合管理機能の強化
昨年 8 月に発表した Active Directory との最初の統合をベースに多くの改良を加え、管理者が Chrome OS をレガシー インフラストラクチャとともに管理できるようにしました。改良点は、ローカル ネットワーク上の Kerberos および NTLMv2 エンドポイントを Chrome OS から直接認証できることや、企業で一般的な Active Directory のセットアップ(マルチドメイン シナリオのような)のサポート、既存の証明書登録フローの改良などです。

3. Chrome ブラウザと Chrome OS の管理機能の拡充
管理者は Chrome Enterprise を利用して、200 以上のセキュリティ ポリシーを微調整し、オンライン リソースへの安全な正規アクセスを従業員に付与できます。今年 3 月には、権限による拡張機能のブラックリスティングサインインの無効化デバイス全体の証明書といった管理機能が追加されました。

Cloud Identity


4. Cloud Identity
Cloud Identity は、新しいスタンドアロンの Identity as a Service(IDaaS)ソリューションです。アカウント セキュリティ、アプリケーション管理、デバイス管理といった有益な機能を 1 か所で提供します。Cloud Identity を使用すれば、従業員はビジネス クリティカルなアプリやデバイスに簡単かつ安全にアクセスでき、管理者は 1 つの統合コンソールですべてを管理するうえで必要なツールが手に入ります。

Google Cloud Platform

5. Access Transparency
クラウド プロバイダーを選ぶときは、信頼が何よりも重要です。Google はできるだけオープンかつ透明でありたいと考えています。Access Transparency は、Google Cloud Platform(GCP)管理者によるお客様のコンテンツへのアクセスのログをほぼリアルタイムに提供します。Google のエンジニアやサポート担当者が GCP 上のお客様のコンテンツを操作した場合には、必ずその行動の監査証跡が得られるということです。

6. Cloud Armor
Cloud Armor は、Google の新しい Distributed Denial of Service(DDoS)およびアプリケーション防御サービスです。Google 検索、Gmail、YouTube のようなサービスの保護に使用しているのと同じ技術やグローバル インフラストラクチャに基づいています。グローバル HTTP(S)負荷分散が、インフラストラクチャへの DDoS 攻撃に対するビルトイン保護を提供します。Cloud Armor はグローバル HTTP(S)負荷分散と連携することで、インターネットに接続するアプリケーションの防御のカスタマイズを可能にします。Cloud Armor の機能には、IP ブラックリスティング / ホワイトリスティング、地理ベースのアクセス制御、ルール言語によるカスタム ルールのほか、SQL インジェクションのようなアプリケーション固有の攻撃に対する防御などがあります。

7. Cloud Security Command Center(アルファ リリース)
新しい Cloud Security Command Center(Cloud SCC)は、セキュリティおよびデータ リスク プラットフォームです。クラウド資産のインベントリの表示、分析、モニタリングや、ストレージ システムのスキャンによる機密データの特定、一般的なウェブ脆弱性の検出、重要なリソースへのアクセス権のレビューがすべて 1 つの管理ダッシュボードから行えます。Google の異常検知機能や、セキュリティ パートナーである Cloudflare、CrowdStrike、Dome9、Palo Alto Networks、Qualys、RedLock などのサービスと連携して、脅威や不審な挙動を検知することもできます。

8. Cloud Data Loss Prevention(DLP)API
このたび正式提供が開始された DLP API を使用すれば、機密データを保存時やリアルタイムに発見、分類、編集できます。DLP API は API であるため、 Cloud Storage や BigQuery のような GCP サービス、サードパーティ クラウド、オンプレミス データセンターのどこに置かれているかにかかわらず、事実上あらゆるデータ ソースやビジネス アプリケーションで使用できます。

9. FedRAMP 認定
GCP と Google の共通インフラストラクチャは、FedRAMP Joint Authorization Board(JAB)の Moderate Impact レベルで FedRAMP Rev. 4 Provisional Authorization to Operate(P-ATO)に認定されました。これで G Suite と GCP の両方が FedRAMP Moderate 認定を取得しました。政府機関やその契約業者は FedRAMP Package Access Request Form を提出して、Google の FedRAMP パッケージへのアクセスをリクエストできます。

10. VPC Service Controls(アルファ リリース)
VPC Service Controlsを使えば、企業は機密データを秘匿しながら GCP のフルマネージドのストレージおよびデータ処理機能を使用できます。VPC Service Controls は、Cloud Storage や BigQuery、Cloud Bigtable など API ベースの GCP サービスに保存されたデータにセキュリティ境界を作成します。セキュリティ境界は、ID の盗難、IAM ポリシーの誤構成、悪意ある内部者、侵害された仮想マシンによるデータ漏洩リスクの軽減に役立ちます。

G Suite


11. 新しい高度なフィッシング対策機能
アップデートされたフィッシング セキュリティ対策機能により、Google が推奨する最新の防御機能が自動的に有効になります。デフォルトで有効となる新しい保護機能は以下のとおりです。

  • 暗号化されたファイルが添付されていたりスクリプトが埋め込まれていたりするなど、信頼できない送信者からのメールを自動的に報告する。
  • 従業員になりすまそうとしているメールや、自社のドメインに似たドメインから送られてきたメールに対して警告する。
  • 認証されていないメールを報告することで、スピア フィッシング攻撃に対する保護を強化する。
  • 画像でフィッシングの兆候をスキャンし、短縮 URL を展開して悪質なリンクを検出する。

12. デフォルトで有効なモバイル管理
G Suite にアクセスするモバイル デバイスでは、基本的なデバイス管理が自動的に有効化されます。従業員は iOS デバイスや Android デバイスにプロファイルをインストールする必要がなく、管理者は追加のセキュリティ管理機能(パス コードの強制、機密データの消去、企業データにアクセスするデバイスのリスト表示など)を利用できます。

13. G Suite のセキュリティ センターに新機能を追加
Google は 2018 年に G Suite のセキュリティ センター導入しました。セキュリティ センターは、Google が提供するセキュリティ分析、実用的なインサイト、推奨されるベスト プラクティスをまとめたツールです。お客様の組織、データ、ユーザーの保護に役立ちます。そして先ごろ、以下のような新機能を追加しました。

  • OAuth アクティビティとビジネス メール詐欺(BEC)の脅威を示すための新しいセキュリティ グラフ。リンクを含んでいない場合があるフィッシング メールを特に重視しています。
  • 新しいモバイル管理グラフ。このグラフは IT 管理者がアクティビティ分析を確認するのに役立ちます。デバイスが乗っ取られたり、ルート権限を取得されたり、脱獄されたりした日時を表示します。
  • 組織にとって最も重要なものを重視するようにダッシュボードのカスタマイズ。
  • 組織のセキュリティ健全性を分析し、セキュリティ キーの導入やフィッシング詐欺対策に関するカスタム アドバイスを得る方法。

14. チームドライブに組み込まれた保護機能と管理機能
チームドライブに新しいセキュリティ管理機能が導入されました。ファイル アクセス権限をきめ細かく制限できるようになったほか、IRM(Information Rights Management)の管理機能の追加により、ユーザーがチームドライブ内のファイルを印刷、ダウンロード、コピーできないようにすることが可能になりました。こうした新しいセキュリティ機能は、数週間以内にロールアウトされます。

パートナーシップ


15-25. セキュリティに関する新たなパートナーシップと既存パートナーとの協力強化
セキュリティに関する 11 の新たなパートナーシップを発表しました。以下はその一部です。

  • Dome9 : Payment Card Industry Data Security Standard(PCI DSS)に対応したコンプライアンス テスト スイートを開発し、Dome9 Compliance Engine で提供しています。
  • Rackspace : Rackspace Managed Security は、GCP でフルマネージドのセキュリティ サービスを企業に提供しています。
  • RedLock : RedLock Cloud 360 Platform は、脅威防御を実現するクラウド型のセキュリティおよびコンプライアンス ソリューションです。Google Cloud 環境の可視性や管理を向上させます。

Google は、ビジネス環境におけるセキュリティの向上は必要不可欠であると考えており、企業のセキュリティ向上を支援する新しい方法を常に模索しています。詳細は、セキュリティのウェブ ページをご覧ください。

- Post by Alison Wagonfeld, VP of Marketing, Google Cloud