ストレージとデータ転送

クラウド ストレージのセキュリティとデータ保護を強化する 5 つの方法

#storage

※この投稿は米国時間 2020 年 6 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウド ストレージは、現代の多くのビジネスの基盤となるテクノロジーです。クラウド ストレージには大量のデータを保存でき、ユーザーは簡単にアクセスして、最新のデータ プロジェクトを強化できます。Google は、Cloud Storage を含めたすべての Google Cloud プロダクトでお客様のデータを保護できるよう、継続的に投資しています。  

どの Google Cloud プロダクトにおいても、セキュリティは常に最優先事項です。エンタープライズ ストレージのニーズが高まるなか、セキュリティとコンプライアンスを保護する必要性も一層増しています。Cloud Storage では、豊富なセキュリティ管理機能と、必要に応じて監査機能によって、デフォルトでデータが保護されます。バケットロック、Cloud Key Management Service(KMS)、アクセスの透明性などの機能により、Cloud Storage のデータは安全に保たれています。Google では、複雑なマルチクラウド環境でもデータを保護できるようプロダクトをさらに更新し、一般公開しました。それでは、Cloud Storage で利用できる新しいセキュリティ機能の一部をご紹介します。

Cloud Storage セキュリティの新機能

Cloud Storage での V4 署名サポート

Cloud Storage での V4 署名サポートの一般提供が開始されることになりました。これは、お客様とパートナー様にとって重要なマルチクラウド セキュリティ機能です。V4 署名機能を使用すると、権限と期間を限定した署名付き URL(事前署名付き URL とも呼ばれる)を生成でき、Google ID を必要としないクライアントやユーザーに発行できます。署名ベースの認証、特に署名付き URL による認証は、コンテンツの保存や配信、SaaS プラットフォームとアプリケーション、および分析(エンタープライズ データ ウェアハウスと分析パイプライン)にごく一般的に使用されているセキュリティ体制です。署名ベースのマルチメディア コンテンツの保存と配信のセットアップ例については、こちらをご覧ください。

Cloud Storage サービス アカウントのハッシュベースのメッセージ認証(HMAC)

ユーザー アカウントではなく、Cloud Storage サービス アカウントに関連付けられたハッシュベースのメッセージ認証(HMAC)の認証情報を管理、使用できるようになりました。この機能により、ユーザー アカウントに関連付けられた認証情報に頼ることなく、認証とセキュリティを強化することができます。また、この機能を使用すると、セキュリティと認証のセットアップや手続きの際に、複数のクラウド ベンダー間でシームレスに操作できます。

Cloud IAM の均一なバケットレベルのアクセス

Cloud Storage は Cloud Identity and Access Management(Cloud IAM)をサポートしているため、Cloud Storage ユーザーに(他の Google Cloud プロダクトとともに)ロールごとにアクセス ポリシーを適用できます。この新機能を使用すると、均一なバケットレベルのアクセスが可能になり、Cloud IAM ポリシーを介して Cloud Storage リソースへのアクセスを均一に構成できるため、大規模な管理が可能となります。この機能をバケットで有効にすると、バケットレベルの Cloud IAM 権限がある場合のみ、バケットとそれに含まれるオブジェクトへのアクセスが許可されます。

Cloud Storage セキュリティのおすすめの活用方法

エンタープライズ ストレージ データを保護するには、新たな脅威や課題からデータを保護するための対策を事前に立てておく必要があります。多くの Cloud Storage ユーザーから、Google Cloud プロダクトを使用して組織のセキュリティ体制を強化するためのベスト プラクティスやヒントが寄せられています。

これらの新機能を使用してデータの漏洩やハッキングを防ぐためのおすすめの方法を 5 つ紹介します。

1. 均一なバケットレベルのアクセスとその組織ポリシーを有効にする

Cloud Storage バケットへの均一なバケットレベルのアクセスを使用することで、バケットに対し均一な Cloud IAM ポリシーを構成、適用できます。この機能を有効にすると、オブジェクト レベルの ACL からも保護されます。オブジェクト レベルの ACL は、特に大規模なアクセスを管理する際に課題となります。この機能で提供される組織ポリシーを使用すれば、必要に応じてすべての新しいバケットで均一な IAM アクセス ポリシーを使用するよう設定できます。このような機能がなく、ユーザーが個々のオブジェクトを公開する場合は、秘匿すべき情報が誤って公開されてしまう恐れがありますが、バケットレベルで IAM ポリシーを適用することで、そのようなリスクも回避することが可能です。

この機能は、特に金融サービスや大手テクノロジー業界のお客様のもとで重宝されています。社外に公開できないデータにアクセスする必要のある開発者や従業員が多数存在するような状況でも、均一な権限を付与して大規模な管理を実現できます。

2. ドメインで制限された共有を有効にする

均一なバケットレベルのアクセスを有効にしたら、Cloud Storage のもう一つの便利な機能を使用できます。この機能では、ドメインで制限された共有の制約を組織のポリシーで適用して、データが誤って公開されたり、組織外に共有されたりしないよう防止することができます。この機能を使用すると、組織と開発チームが迅速に対応できるだけでなく、セキュリティとガバナンスの担当チームが大規模なセキュリティ対策を実施し、リソースの適切な管理を担保できます。ドメインで制限された共有を均一なバケットレベルのアクセスと組み合わせて使用すれば、強固なアクセス管理ポリシーを構成し、データが誤って公開されるのを防ぐことができます。

3. Cloud KMS で Cloud Storage データを暗号化する

データのアクセスと管理に関する規制はますます厳しくなっています。たとえば、多くの企業は GDPR に従って、個人情報の収集や保存、処理の方法を変更することになりました。この課題において重要なのは、暗号鍵の管理です。Cloud KMS は、Cloud Storage でサポートされているクラウドホスト型の鍵管理サービスであり、クラウド ストレージ データの暗号鍵を管理できます。AES256、RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の各規格に対応し、暗号鍵の生成、使用、ローテーション、破棄をサポートしています。この機能では最先端の暗号化管理が実現するため、各種規制に対応できます。

4. Cloud Audit Logging で Cloud Storage データを監査する

Cloud Audit Logs は、Cloud Storage を含めた Google Cloud 全体のユーザー アクティビティとデータアクセスを可視化します。高度に保護された Cloud Storage に保管され、安全で変更できない、耐久性の高い監査証跡です。また、プログラムからのアクセスにオペレーション(従来の Stackdriver)API を使用して、Cloud Storage 監査ログを脅威検出分析システムに取り込むこともできます。

5. VPC Service Controls でデータを保護する

VPC Service Controls を使用すると、Cloud Storage サービスのリソースの周囲にセキュリティ境界を構成し、境界を越えるデータの引き出しを制御できます。たとえば、サービス境界の一部である VPC ネットワーク内の VM は、Cloud Storage バケットに対して読み取りや書き込みを実行できます。一方、境界外部からのデータへのアクセス試行はすべて拒否されます。Cloud Storage バケットを VPC Service Control のセキュリティ境界の背後に配置すると、プライベート クラウドのようなセキュリティ体制で Cloud Storage データを保護できます。

Cloud Storage およびデータ保護とセキュリティを強化する方法について詳しくは、アクセス管理のドキュメントCloud Next ‘19 のプレゼンテーション資料をご覧ください。

- By Cloud Storage プロダクト マネージャー Subhasish Chakraborty