30 日以内にクラウド対応可能: Google Cloud のガードレールで、安全で効率的なクラウド オンボーディングを実現

※この投稿は米国時間 2021 年 10 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

パンデミックが続く中、各地の政府は変化する世界に対応すべく、迅速に行動する必要がありました。同時に、従来のサービスも継続して提供しなければなりませんでした。しかし、ソリューションのオンライン化が進まなければ、貴重なリソースやデータが危険にさらされることになります。

 こうした状況に伴い、カナダ政府（GC）は政府機関がワークロードにクラウド サービスを利用する際のガードレールを定めています。こうした基準は、infrastructure-as-a-service（IaaS）、software-as-a-service（SaaS）、platform-as-a-service（PaaS）といったワークロードをクラウドでホストすることを検討している組織のデータ セキュリティにとって、非常に重要な部分といえます。  

 各行政機関における、このカナダ政府制定基準への対応を支援するため、Google は OSS 技術と新しい Asset Inventory API および Open Policy Agent のコントロールをベースにした GC Cloud Guardrails ソリューションを開発したことを発表します。このソリューションには、政府機関が GC によって指定された 30 日間（または以下、GC クラウド サービス契約に基づく登録をもって起算）でクラウドに移行するための 12 のガードレールが含まれています。ガードレールは、オンボーディングを開始する前に、クラウドベースの環境に予備的なコントロールのベースライン セットを実装し、データ検証ツールを提供するなど、すべての準備を確実に整えるためのものです。   

ここで取り上げる 3 つのガードレールは、データ ロケーション、保存データ、転送中のデータに対する最も厳格なセキュリティについてです。Google は、この基準をシンプルかつ迅速に実装できるようにしました。各ガードレールはカナダのデータ主権を守るために重要な役割を果たしています。また、Google は効率的で一貫性のあるプロセスを実現するために特別な配慮を加えています。  

データをカナダ国内でのみ保管 

 9 月 14 日、Google はトロントに新しい Google Cloud リージョンを開設しました。これにより、既存のモントリオール リージョンを強化し、データのカナダ国外への流出を防ぐことができます。サービスとデジタルに関するカナダ指令によると、カナダの行政機関は、「カナダの地理的境界内にあるコンピューティング施設、または外交、領事施設など海外にあるカナダ政府機関の敷地内にある施設が、Protected B、Protected C、または機密扱いに分類される政府管理下のすべての機密電子情報およびデータの主要な配信オプションとして特定され、評価されることを保証する」責任を負うものとしています。これらの基準は、カナダのデータをカナダ国内に留めることを目的とするものであり、GC Cloud Guadrail 5 番を構成します。最新のトロント Google Cloud データセンターは、この要件をすべて満たしています。あらゆる州の規制対象業界すべてにご使用いただくことができ、厳格なデータタグ付けポリシーに従い、データの保存に用いられる、また移動の際に通過するロケーションが、承認された地理的位置にあるものに限定されるようにしています。また、データ ロケーションの設定と管理のプロセスをよりすばやくできるよう、データ ロケーションとタグ付けツールを追加しました。

保存データに対するデフォルト保護

 公共部門の組織の場合、悪意のある行為者にとって、保存データはしばしば転送中のデータよりも価値のあるものになりえます。これにはいくつか理由がありますが、最も一般的なものは、保存データには、長期間にわたって個人情報やその他の機密情報の大量のデータベースが手つかずで保管されていることです。このため、GC Cloud Guardrail 6 番では、お客様が何もしなくても、1 つ以上の暗号化メカニズムを使用して、行政機関のすべての保存データをデフォルトで保護し、暗号化しています。保存データについては、 高レベルの暗号化をデフォルトとしていますが、暗号化方式を選択することもできます。  

転送データの保護強化

 保存データは格好のターゲットとなりえますが、転送データはネットワーク間の移動時に悪意のある攻撃者によって乗っ取られるリスクが高いため、より脆弱になる可能性があります。GC Cloud Guardrail 7 番により、カナダ通信保安局（CSE）に認証された暗号化方式をデフォルトにすることで、Google Cloud でのデータとのやりとりを安全に行えます。

転送データを暗号化しないことは、組織が犯しうる最も大きなミスの一つです。そのような恐ろしいミスの発生を防ぐことが、これらガードレールの重要な役割の一つです。Google Cloud は、CSE が承認した暗号アルゴリズムとプロトコルを使用しており、カナダのセキュリティ基準と同等以上の保護を実現するとともに、ユーザーの暗号化の選択をシンプルにしています。また、クラウド サービスへのすべてのアクセスも暗号化します。つまり、データが A 地点から B 地点まで到達するあらゆる経路が完全に保護されているのです。

30 日以内に稼働可能

 30 日間のガードレール プロセスと呼ばれているものの、Google Cloud を使用しているいくつかのカナダの行政機関は、このガードレールのデプロイと承認の取得をほんの数日で実現しています。ダウンタイムを最小限に抑えるため、Google はGuardrails データ検証ツールを使って、検証プロセスをできる限り迅速に行えるように設計しました。Google Cloud を使用する前にガードレールの承認を得なければなりませんが、時間がかかるとコストは膨らみ、セキュリティのリスクも高まります。30 日間のプロセスは、そういった問題を最小限に抑え、迅速なオンボーディングを可能にします。

カナダよ、我々は準備万端です

カナダのデータを継続的に保護するうえで、GC Cloud Guardrails は非常に重要です。データがカナダ国外に流出するのを防ぎ、綿密な追跡により構成のブレを排除し、貴重なデータが盗まれるリスクを最小限に抑えます。Google は安心できる保護機能をお届けするため、維持管理に尽力しています。皆様への支援を行うべく、Google の準備は万端です。何十もの組織がすでに Google Cloud のガードレール プロセスを導入しています。また、ユーザー同士の交流が図れるコミュニティも作成しました。Public Sector Connect ページでは、ユーザーが体験談を共有できます。

12 あるガードレールの完全なリストと、Google Cloud が行っているカナダのクラウド移行支援についての詳細は、GitHub ページをご覧いただくか、canada-pubsec-ce@google.com までご連絡ください。