Cloud OnAir

Cloud OnAir 番組レポート : 安心して GCP を使うための処方箋

cloudonair0904.png

Cloud OnAir は、Google Cloud の製品をわかりやすく解説し、最新の情報などをいち早く皆様にお伝えする Online 番組です。

11 月 14 日の放送では、「安心して GCP を使うための処方箋~ 実際のインシデントをもとに ~」をテーマにお送りしました。クラウドに限らずプロダクトやサービスのセキュリティ機能を適切に使うことは企業の情報セキュリティを確立する上で重要なことです。今回の放送では不適切な管理の結果、残念ながら起きてしまった GCP 上でのインシデントと、そうしたインシデントを防ぐにはどうすればいいか、起きてしまったときにどうすれば良いかということを解説します。

組織として守るための GCP 基礎知識

ある時不審な課金に気づき、調べてみると見知らぬ GPU 付きインスタンスがたくさん立ちあがっていた。そんなインシデントの経験はありませんか。これは、GCP プロジェクトが何らかの理由で不正にアクセスされていたことが原因と考えられます。

ID の不正利用に関してはさまざまな原因が考えられますが、企業や組織としてこうした不正利用をどのように防げば良いのか、また不正利用が発覚した後に何をすれば良いのでしょうか。番組では、GCP が提供するさまざまなセキュリティサービスの中で主に次の点について基礎的な事柄を解説します。

  • 企業管理の Google アカウントの管理: 

Google アカウントには、個人で管理するものと企業・組織で管理するものがあります。ここでは、企業管理の Google アカウントとする意義を簡単にご紹介します。

企業管理の Google アカウントは、Google Cloud Directory Sync(GCDS)を使用することで、Google ドメインのデータを Microsoft Active Directory または LDAP サーバーと同期できます。また、2 要素認証を全員必須にすることができます。さまざまな多要素認証を組み合わせることでより強固なセキュリティを実現できます。さらに、Google を IdP とすることで他アプリケーションの認証を可能とします。逆に他 IdP の認証を利用することも可能です。

  • 組織ポリシー: 

組織ポリシーを使うことで、GCP 組織の階層構造に沿って継承させられるポリシーを定義し、各プロジェクトやリソースにその制約をかけることができます。

番組の後半では、具体的な対策にあたって、特に注意すべき点について解説します。

  • プロジェクトの分け方

  • IAM Recommender の活用

  • 権限の設定

  • 監査ログの集約

さらに、Google Cloud Platform 内のアセットとそのセキュリティの状態を可視化したり、ログから不審な活動を検知する際に利用する Clooud Security Command Center についてもご紹介します。

番組で説明した資料はこちらで公開しています。

Cloud OnAir では、各回 Google Cloud のエンジニアがトピックを設け、Google Cloud の最新情報を解説しています。過去の番組、説明資料、さらには視聴者からの質問と回答はこちらよりご覧いただけます。 最新の情報を得るためにもまずはご登録をお願いします。