連邦政府の規制を受けた初の暗号通貨銀行において安全なグローバル コラボレーションを支援

※この投稿は米国時間 2023 年 3 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: 今回お話を伺ったのは、Web3 企業の Anchorage Digital です。同社は、暗号通貨を直接運用する組織や、自社の商品やサービスに暗号通貨を組み込もうとする組織を対象としたソリューションを提供しています。

2017 年にサンフランシスコで創業した Anchorage Digital は、ファミリー オフィス、ヘッジファンド、ベンチャー キャピタル、フィンテック、銀行、大企業などのさまざまな組織に暗号通貨サービスを提供する、連邦政府の規制のもとで運営される暗号通貨プラットフォームです。当社の目標は、規制を遵守した安全な方法で暗号通貨を運用できるよう組織を支援することです。

最初に取り組んだのはカストディ（保管および管理）、すなわち当社の他のサービスすべて（取引、融資、ステーキング、ガバナンス、組織向けの暗号通貨アクセスの構築など）の基盤となるストレージ モデルです。アクセス性を犠牲にすることなく数十億ドルのデジタル アセットを保護することが、当社の全業務の中核です。このため、日々の業務に関しても、同様に安全でアクセス性の高いアプローチを必要としていました。

Google Cloud と Google Workspace の導入

創業当時は、多くのスタートアップ企業と同じくリビングルームのテーブルで業務を行っていましたが、チームが急速に拡大したため、サンフランシスコを皮切りに複数のオフィスを展開していきました。そしてパンデミックの初期段階からは在宅勤務が増えました。現在の体制は、300 名を超える従業員からなるリモート フレンドリーなチームです。スタートアップの時代に 1 つのオフィスで採用していたものと同じソリューションが、世界全体でも適切に機能しています。

Google Cloud と Google Workspace を併用することで、世界規模で安全かつ非同期的にコラボレーションできます。Google Cloud を導入する決め手となったのは、主にその実用性とセキュリティ面でもたらされる一貫した価値でした。Google Cloud のオープンソースのツールと料金は、当社にとって魅力的でした。Google の BeyondCorp フレームワークを使用することで、従来の中央集約型の企業ネットワーク インフラストラクチャにかかる費用と複雑性を回避しました。これにより、地域固有のあらゆるセキュリティ リスクと費用を抑制しながら、会社を効率的に拡大できました。

BeyondCorp は、アクセス制御を境界から個々のユーザーとデバイスに移行するゼロトラストのセキュリティ フレームワークを提供します。これにより、日々の管理業務をシンプルに保ち、保護された環境へのアクセスを監査するための費用を効果的に削減できます。たとえば、シンプルな組織のポリシーを介して、信頼性の低い拡張機能やアプリケーションがエンドポイントに導入されるのを防ぐことが可能です。すべての拡張機能リクエストを精査し、そのセキュリティ対策を確認してから許可することができます。Google Workspace が備える広範なログ機能とモニタリング機能はコンプライアンスを簡素化し、規制下の金融機関に必要なガバナンスと監視を実現します。

当社のデジタル アセット プラットフォームは、Google Kubernetes Engine を利用した Infrastructure as Code を基盤としています。GKE により、基盤となるインフラストラクチャの維持にかかるオーバーヘッド支出を最小限に抑え、プラットフォームを拡大することに注力できます。また、Terraform がサポートされているため、ほとんどの場合はコードを 1 行変更するだけで最新のインフラストラクチャのパッチと機能を入手できます。また、BigQuery と Looker により、データを可視化し、プラットフォームとそのセキュリティに関する有意義な分析情報を得ることができます。Google Cloud はセキュリティと整合性を継続的に改良しているため、当社は自社のプラットフォームの構築に専念できます。

Chromebook によるセキュリティの強化

Chromebook を従業員の標準ワークステーションとして採用するという当社の決定は、当時、異例の選択でした。急速な成長を遂げる中、ハードウェアとオペレーティング システムにセキュリティ、開発者の生産性、スケーラビリティのバランスが必要であることはわかっていました。Chromebook と BeyondCorp Enterprise を併用することで、社内のアプリケーションとワークスペースへのアクセスを、ポリシー管理された承認済みの会社所有デバイスのみに明確に制限できます。

ハードウェア ベースの多要素認証を導入することによって、認証情報に基づく攻撃に対する復元性をさらに強化しました。この多要素認証は、当社のすべての Google Workspace アカウントに要求されます。さらに、リモートワイプやゼロタッチ登録などのデバイスおよびデータ管理ツールにより、従業員のオンボーディングとオフボーディングの信頼性が高まり、シンプルになりました。

また、ChromeOS の基本セキュリティ原則によって、セキュリティ チームによる大規模な対策が困難であることが多い、一般的な攻撃対象を削減できます。このセキュリティ原則には、多層防御による OS の強化、デフォルトのネイティブ サンドボックス機能、ハードウェアベースの強固なデバイス整合性機能などが含まれます。こうした基礎となるセキュリティ レベルのおかげで、セキュリティ エンジニアは、インシデント対応と復元に膨大な時間を費やすことなく、安全なコードの構築と新機能のデプロイに注力できます。

Chromebook と ChromeOS オペレーティング システムの環境で Google Workspace の日常業務用の機能を利用することによって、毎年のソフトウェア更新に高額な費用をかけずに済みます。また、Google Meet から共有ドライブ、Google ドキュメント、プレゼンテーション、Google スプレッドシートまで、継続的に更新されるツールの最新のバージョンを利用できます。そして、セキュリティ リスクに対してハードウェアを強化する ChromeOS の更新もメリットの一つです。新しいロールアウトがあるたびに、デバイスを再起動するよう従業員にメッセージが表示されます。

Google Cloud、Google Workspace、Chromebook は、強固なセキュリティ原則に基づいて業務を遂行しながら、ビジネス目標を達成できるよう支援してくれます。パンデミックの中で事業を続けるという状況で、リモートベースのチーム運営という課題に直面したときも、クライアントも従業員も増やして会社を成長させることができました。当社の従業員はこの新しいシステムに柔軟に対応しました。当社は、このエコシステムのセキュリティ対策が進化し、継続的に改良されていることを喜ばしく思っています。今後もパートナーシップを継続し、これらのテクノロジーを日々活用できることを楽しみにしています。