小売企業の運営を Google の信頼できるクラウドで行うべき理由
Google Cloud Japan Team
※この投稿は米国時間 2021 年 7 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。
COVID-19(新型コロナウイルス感染症)のパンデミックにより、多くの小売企業はデジタル ビジネスへの移行準備を進めていたか否かに関わらず、移行せざるを得なくなりました。そして、顧客への商品とサービスの提供を継続するため、コマース テクノロジーやユーザー エクスペリエンス ツール、販売 / 納品テクノロジー、デジタル エクスペリエンスの向上などに莫大な投資を行いました。COVID-19 パンデミックの発生から 1 年以上が経過した今では、デジタル ショッピングはニューノーマルとなり、多くの小売企業がデジタルへの投資の拡大を計画しています。しかし、デジタル フットプリントが大きくなれば、脅威やセキュリティ上の課題も増えます。
デジタル化を進める小売企業にとって、攻撃対象として特に狙われやすいのがウェブサイトです。ウェブサイトは、顧客が商品やサービスを検索し、支払いを行い、その小売企業のブランドについての情報を得る場所です。しかし、ウェブサイトはそれだけが独立して運営されているわけではありません。基盤となるインフラストラクチャはもちろん、そこで実行されるサービスもあり、自社のデータ、従業員、事業、顧客に不正にアクセスしようとする多種多様な攻撃から、これらを保護しなければなりません。今週の Google Cloud Retail Summit では、小売企業にとって最も信頼できるクラウドとして Google Cloud を構築できる理由について説明しました。Google Cloud は、独自のデータセンターからパブリック クラウドへデータを移行する際のデータ制御から、エンドユーザーを含めアプリケーション全体を保護する組み込みのテクノロジーまで用意しており、信頼できるクラウドへ安全に移行し、運用できるようお客様をサポートしています。
信頼できるクラウドによる制御、透明性、主権の実現
アクセスの透明性: Google Cloud のサポートチームやエンジニア チームは、特定の理由とコンテキストに基づき、お客様のデータまたは構成へのアクセスをリクエストすることがあります。お客様にはそうしたアクセスのモニタリングと承認が可能になっており、内部アクセスの可視性と制御が確保されています。
Certificate Authority Service(CAS): CAS は、現代のデベロッパーとアプリケーションのニーズに応えつつ、プライベート CA の管理とデプロイを簡素化、自動化できるスケーラブルで可用性の高いサービスです。CAS を使用すれば、プライベート CA の運用に関連する時間がかかる作業(ハードウェア プロビジョニング、インフラストラクチャ セキュリティ、ソフトウェアのデプロイ、高可用性の構成、障害復旧、バックアップなど)をクラウドに任せることができます。通常ならデプロイに数か月かかるプライベート CA を、数分で立ち上げることができます。
- Confidential Computing: これまでも、保存時と転送時にはデータを暗号化していましたが、処理時にはデータを復号する必要がありました。Confidential Computing は、使用中、つまり処理中もデータを暗号化する画期的なテクノロジーです。Confidential VMs はメモリ暗号化によってこのテクノロジーをさらに高いレベルに引き上げ、こうしてクラウド内ワークロードの分離が強化されます。ベータ版 Confidential VMs の提供に伴い、Google はこのレベルのセキュリティと分離を提供する初の大規模クラウド プロバイダとなりました。しかも、新規作成されるアプリケーションや「リフト&シフト」されるアプリケーション向けにシンプルで使いやすいオプションを提供しています。
Cloud Key Management: データと暗号鍵をどこに保存するか、どこからのデータへのアクセスを許可するかを、お客様が構成できます。暗号鍵はお客様ご自身で管理でき、Google のインフラストラクチャ以外の場所に保存することも可能です。Google の外部鍵管理サービスを利用すると、どのような理由であれ、保存されている顧客データを復号するために必要な暗号鍵にアクセスするための Google からのリクエストを拒否できます。
信頼できるクラウドによる脅威の防止、検出、対処
BeyondCorp Enterprise は、Google の包括的なゼロトラスト プロダクト パッケージです。Google には、グローバル規模でのクラウド アプリケーションの管理と保護に 10 年以上の経験があります。このプロダクトは、Google が自社を管理した経験から学んだ知識、お客様やパートナー様からのフィードバック、エンジニアリングとセキュリティに関する最先端の研究に基づいて開発されました。私たちは、多くのお客様がさまざまなクラウド プロバイダにまたがってリソースをホストしていることを理解しています。そうした状況を踏まえ、BeyondCorp Enterprise はマルチクラウド ソリューションとして特別に構築されており、お客様が Google Cloud やオンプレミスだけでなく、Azure や Amazon Web Services(AWS)などの他のクラウドでホストされているリソースにも安全にアクセスできるようになっています。
- Cloud Armor: 従来よりも簡単な方法で、Cloud Armor を使用して悪用の試みや分散型サービス拒否攻撃(DDoS)などからウェブサイトとアプリケーションを保護できるようになります。Cloud Armor Managed Protection Plus では、予測可能な月額料金で、DDoS サービスや WAF サービス、厳選されたルールセットなどのサービスを利用できます。
Chronicle: Chronicle は、ランサムウェアなどの脅威を比類ない速度と規模で特定する脅威検出ソリューションです。Google Cloud の Threat Intelligence for Chronicle は、インターネットベースの脅威に対する Google の集合的な洞察と研究に基づいて、実行可能性の高い脅威を表面化させます。Threat Intel for Chronicle を導入すれば、社内環境に潜む現実の脅威に照準を合わせ、発見された脅威に直ちに対処できます。
Google Workspace Security: 何十万人という従業員を抱える大手金融機関や小売企業から、急成長を続けるスタートアップ企業まで、世界中の 500 万を超える組織で使用されている Google Workspace および Google Workspace for Education には、ここで紹介するコラボレーション ツールや生産性向上ツールが含まれています。Google Workspace および Google Workspace for Education は、チームメンバーの場所や使用するデバイスを問わない安全な共同作業をより効果的に実現する新しい方法を提供するために設計されています。たとえば Gmail では、マルウェアを見つけるために毎週 3,000 億以上の添付ファイルがスキャンされています。また、迷惑メール、フィッシング、マルウェアの 99.9% 以上がユーザーに届かないようブロックされています。Google は、あらゆる種類のセキュリティ脅威からの保護、ユーザーおよび管理者向けの新たなセキュリティ ツールのイノベーション、安全なクラウド サービスの提供などに取り組んでいます。
Identity and Access Management: Identity and Access Management(IAM)を使用すると、特定のリソースに対するアクションの実行を、承認を受けたユーザーのみに許可できます。これは、Google Cloud リソースを集約して可視化し、管理するうえで役立ちます。組織全体のセキュリティ ポリシーを管理するための統合ビューが提供され、さらに監査機能も組み込まれているため、数百のワークグループや多数のプロジェクトからなる複雑な組織構造を抱える企業でも、コンプライアンス プロセスが容易になります。
reCAPTCHA Enterprise: reCAPTCHA には、500 万を超えるサイトのインターネットとデータを 10 年あまりにわたって保護してきた実績があります。reCAPTCHA Enterprise は、このテクノロジーに基づいて、2 要素認証やモバイル アプリケーションのサポートなど、企業のセキュリティ問題のために特別に設計された機能を備えています。reCAPTCHA Enterprise を使用すると、クレデンシャル スタッフィング、アカウントの乗っ取り、スクレイピングなどの一般的なウェブベースの攻撃からウェブサイトを保護し、悪意のある人間や自動攻撃による多額の被害を出す悪用を防ぐことができます。また、reCAPTCHA v3 と同様、reCAPTCHA Enterprise はユーザーに負担をかけないため、お客様がサービスのために利用するすべてのウェブページで実行できます。
Security Command Center: Security Command Center(SCC)はネイティブ ポスチャ管理プラットフォームです。クラウド リソースの不正使用の防止と検出、Google Cloud サービスとパートナー プロダクトのセキュリティ状況の把握、一般的な構成ミスの特定などを、すべて 1 つの使いやすいプラットフォームから実行できます。Security Command Center 向けプレミアム ティアには、お客様のクラウド リソースを保護するためのさらに多くのツールが備わっています。Google Cloud Platform(GCP)のログとコンテナ内のイベントに対し、Google のインテリジェンスを使用して脅威を特定し、大規模な構成ミスを表面化させ、自動化されたコンプライアンスのスキャンと報告を実行できる新機能も追加されています。これらの機能により、皆様は Google Cloud におけるリスクを理解し、リソースが適切かつ安全に構成されていることを検証して、必要なユーザー向けにそれを文書化できます。
VirusTotal: VirusTotal は、70 を超えるウイルス対策スキャナや URL / ドメインのブロックリスト サービスを使用してアイテムを検査できるほか、学習したコンテンツからシグナルを抽出するツールを多数備えています。ユーザーは、ブラウザを使って自分のコンピュータからファイルを 1 つ選択し、VirusTotal に送信できます。
Web Risk API: Web Risk を使用すると、既知の不正なサイトをすばやく特定できるため、感染したリンクをユーザーがクリックする前に警告する、ユーザーがお客様のサイトにある既知の感染したページへのリンクを投稿できないようにするといった対策を講じることができます。Web Risk には、100 万件を超える安全でない URL のデータが登録されています。毎日数十億の URL を調べることで、情報が常に最新に保たれています。
運命の共有において信頼できるクラウドが重要な役割を果たす
Google の信頼できるクラウドは、運命共有モデルによるリスク管理を実現します。信頼できるクラウドに安全に移行して運用を開始するためのベスト プラクティスを実装できるよう、最初からお客様を支援します。
Google Cloud Retail Summit のセッションが皆様にとって有益なものとなることを願っています。また、Google の信頼できるクラウドが世界中の小売企業のセキュリティをどのように支援しているかについても、このセッションから知っていただけたら幸いです。
-Senior Director of Product Management, Security, Google Cloud, Jess Leroy