送信中、保管中、使用中のデータの保護

※この投稿は米国時間 2021 年 7 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

Cloud Security Podcast の第 1 回では、Cloud Security チームのグループ プロダクト マネージャーである Nelly Porter に話を聞くことができました。

このインタビューでは、Anton、Tim、Nelly の 3 人がデータ・セキュリティに関する重要な問題を検証しています。その問題とは、機密性がきわめて高いデータをクラウドで処理する際に社内関係者によるアクセスをどのように防げるかということです。Google Cloud では、これが思ったよりも簡単であることがわかっています。

パブリック クラウドを利用しているお客様の中には、保有するデータについてさまざまな懸念を持っている方もいらっしゃいます。お客様は医療記録、クレジット カード番号、企業秘密など、あらゆる種類のデータを保有しています。そのデータをパブリック クラウド プロバイダに預けるのは危険と考える組織もあります。また、極めて機密性が高く、紛失や盗難に遭った場合に大きな被害が出るデータを保有する組織もあります。

以前、ほとんどの企業は、データを収集し、自社で処理して、変換または集計をオンプレミスで行っていました。誰が、いつ、どのようにデータを使用しているかを把握していました。これにより、役割と責任が実に明確になっていました。

クラウドの登場により、すべてが変わりました。保存容量と利用可能な機能は格段に向上しましたが、データ管理の一部が企業の手を離れることにもなります。クラウドのセキュリティは、お客様とプロバイダが責任を分担して確保するものです。

たとえば、顧客の行動データ、購入パターン、購入履歴を集めたとします。Cloud Storage にアップロードされたデータはすべて暗号化され、鍵を（Google Cloud EKM などで）保持できるため、安全です。これは、多種多様な機密データと規制対象データに有効です。この点はおわかりいただけるかと思います。

次に、データ分析を開始し、データを活用して AI モデルをトレーニングすることもあるでしょう。ここでデータを使用するため、データは同じ暗号化では保護されなくなります。予約済みメモリを利用できる利点はありますが、ユースケースによっては、一部のクライアントの希望どおりにデータはスクランブルされません。

Google は、Confidential Computing によってこの厄介な問題を解決します。これは、一連の作業を完了させ、送信中、保管中、使用中のデータを保護するプロダクトです。まず CPU に適用されますが、Google では GPU やアクセラレータにも適用を拡大しており、データはどこに行っても保護されます。

適切な CPU ハードウェアを使用することで、Confidential Computing が可能になり、データの読み込み時や使用時にデータを暗号化できます。また、Confidential Computing はハードウェアのアップグレードにあたるため、利用にあたりコードを変更する必要はありません。

大部分の企業が他に取れる手段としては、機密性がきわめて高いデータをオンプレミスでのみ処理することが考えられますが、この方法ではパブリック クラウド インフラストラクチャの規模、機能、信頼性を生かせません。今回、暗号の個別適用が進化したことで、あらゆる種類の企業がサービスやツールの垣根を越えて機密データを利用できるようになりました。唯一の欠点として、レイテンシと費用がわずかに増加します。

規制の厳しい金融機関のデータや機密性の高い顧客の画像を扱う場合や、価値の高い知的財産を保護する必要がある場合は、Confidential Computing についてご確認いただき、こちらの Cloud Security Podcast で Confidential Computing の機能の詳細をお聞きください。

-Google Cloud デベロッパー アドボケイト Max Saltonstall