このコンテンツの最終更新日は 2024 年 7 月で、作成時点の状況を表しています。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシーとシステムは変更される場合があります。
はじめに
これまでのビジネスは、コスト削減、新技術の試験、成長容量の実現などのためにパブリック クラウドに目を向けてきました。セキュリティのためにパブリック クラウドに目を向ける企業もますます増えています。より安全なインフラストラクチャを提供するために、クラウド プロバイダは、企業がテクノロジー、人、プロセスに投資するよりも多くの投資ができることを、こうした企業は認識しています。
クラウドのイノベーターとして、Google はクラウドでのセキュリティについて理解しています。Google のクラウド サービスは、数多くのオンプレミス アプローチより優れたセキュリティを提供するように設計されています。Google は、世界中のユーザーにサービスを提供するオペレーションにおいて、セキュリティを最優先事項としています。
Google の組織体制、文化、研修の優先順位、雇用プロセスにおいても、セキュリティは重要視されています。セキュリティは、Google のデータセンターの設計と、データセンターで採用される技術の基準であり、脅威への対応方法など、Google の通常業務や障害対策においても、最も重要な要素です。お客様のデータ、Google のアカウント管理、コンプライアンス監査、認証についても、セキュリティを優先して対応するようになっています。
このドキュメントでは、Google のパブリック クラウドのプロダクトとサービスのスイートである Google Cloud で、セキュリティ、プライバシー、コンプライアンスを実現するためのアプローチについて説明します。このドキュメントは、データを保護するためにデプロイした物理的、管理的、技術的な制御に焦点を当てています。
セキュリティとプライバシーを重視する Google の文化
Google の文化では、お客様に属する大量の情報を保護することの重要性を強調しています。この文化は、採用プロセスと新入社員のオンボーディングにも影響しています。Google は、セキュリティとプライバシーに重点を置いた継続的なトレーニングとイベントを通じて、データ保護のガイドラインとテクノロジーを進歩させ、強化しています。
専任のセキュリティ チーム
Google の専任セキュリティ チームには、情報セキュリティ、アプリケーション セキュリティ、暗号、ネットワーク セキュリティの分野における世界有数の専門家がいます。このチームは Google の防御システムの運用、セキュリティ レビュー プロセスの開発、セキュリティ インフラストラクチャの構築、セキュリティ ポリシーの適用を行います。商用ツールやカスタムツールを使用して、セキュリティ上の脆弱性を常に探しています。また、ペネトレーション テストを行い、品質保証とセキュリティ レビューを実施しています。
セキュリティ チームのメンバーは、ネットワークとサービスのセキュリティ プランを確認し、プロダクト チームとエンジニアリング チームにプロジェクト固有のコンサルティング サービスを提供します。たとえば、Google の暗号エンジニアは、暗号の実装が含まれるプロダクトのリリースをレビューします。セキュリティ チームは、ネットワーク上の不審な動作をモニタリングし、必要に応じて情報セキュリティ上の脅威に対処します。また、セキュリティ評価と監査を定期的に行います。これには、外部の専門家による定期的なセキュリティ評価も含むことがあります。
セキュリティ研究コミュニティとの連携
Google は長期にわたり、セキュリティ研究コミュニティと密接な関係を築いてきました。Google Cloud と他の Google プロダクトに潜在する脆弱性を発見するうえで、このコミュニティが大きく貢献しています。Google のセキュリティ チームは、オンライン コミュニティに利益をもたらす研究や支援活動に参加しています。たとえば、Google ではプロジェクト ゼロを実施しています。これは、ゼロデイの脆弱性の研究を専門とするセキュリティ研究者のチームです。この研究成果として、Spectre エクスプロイト、Meltdown エクスプロイト、POODLE SSL 3.0 エクスプロイトと暗号スイートの弱点を発見しています。
Google のセキュリティ エンジニアと研究者は、学術セキュリティ コミュニティやプライバシー研究コミュニティに積極的に参加し、公開しています。また、オープンソース プロジェクトや学術会議を主催したり、参加しています。Google のセキュリティ チームは、Building Secure and Reliable Systems の書籍で、Google のプラクティスと経験について詳しく説明しています。
Google の脆弱性報奨金プログラムでは、確認された脆弱性ごとに数万ドル相当の報奨金を提供しています。このプログラムは、顧客データを危険にさらす可能性がある設計上および実装上の問題の報告を研究者に推奨するものです。2023 年には、研究者に 1,000 万ドル以上の賞金を付与しました。脆弱性報奨金プログラムでは、オープンソース コードのセキュリティを強化するため、研究者向けにさまざまなイニシアチブも提供しています。Google が提供している特典など、このプログラムの詳細については、Bug Hunters の主要な統計情報をご覧ください。
Google の世界クラスの暗号担当者は業界トップクラスの暗号プロジェクトに参加しています。たとえば、Google は AI システムを保護するため Secure AI Framework(SAIF)を設計しました。さらに、TLS 接続を量子コンピュータ攻撃から保護するために、Combined Elliptic-Curve and Post-Quantum(CECPQ2)アルゴリズムを開発しました。Google の暗号担当者は、暗号 API のオープンソース ライブラリである Tink を開発しました。Tink は、Google の社内プロダクトやサービスでも使用されています。
セキュリティの脆弱性を報告する方法の詳細については、Google によるセキュリティの脆弱性の処理方法をご覧ください。
セキュリティとプライバシーに関する社内トレーニング
Google の全社員は入社時研修の一環としてセキュリティとプライバシーに関するトレーニングを受けます。また、Google 在籍中は継続的にセキュリティとプライバシーに関するトレーニングを受けます。新入社員は入社時研修で Google の行動規範に同意します。この行動規範では、Google が顧客データを安全に保護する責務を負うことが定められています。
職務によっては、専門のセキュリティ研修が追加で実施される場合もあります。たとえば、情報セキュリティ チームが新しいエンジニアに安全なコーディング方法、プロダクト設計、脆弱性自動テストツールなどについて指導します。エンジニアは、定期的なセキュリティ報告に参加し、新しい脅威、攻撃パターン、防御技術などを紹介するセキュリティ ニュースレターを受け取ります。
セキュリティとプライバシーは常に進歩を続ける領域です。専用の従業員のエンゲージメントが、意識向上の重要な方法であると考えています。セキュリティとデータのプライバシーに関する意識を高め、イノベーションを推進するために、すべての従業員が参加できる定期的な社内会議を開催しています。Google は世界各国オフィスでイベントを開催し、ソフトウェア開発、データ処理、ポリシー適用におけるセキュリティとプライバシーの意識を高めています。
専任のプライバシー チーム
Google の専任プライバシー チームは、重要なプロセス、内部ツール、プロダクト、プライバシー インフラストラクチャの改善を目的とした、内部プライバシーの取り組みをサポートしています。プライバシー チームは、プロダクト開発やセキュリティ組織とは別に活動しています。Google のプロダクト リリースのたびに、設計ドキュメントを見直し、コードレビューにより、プライバシー要件が満たされていることを確認しています。このチームは、データ収集に関する強力なプライバシー基準を組み込んだプロダクトのリリースをサポートします。
Google のプロダクトは、ユーザーと管理者に意味のあるプライバシー構成オプションを提供するように設計されています。プロダクトのリリース後、プライバシー チームは進行中の自動プロセスを監視し、プロダクトによって収集されたデータが適切に処理されていることを確認します。また、プライバシー チームは、Google の新興技術におけるプライバシーのベスト プラクティスに関する研究も行っています。Google がユーザーデータのプライバシーを守り、適用されるプライバシー規制と法令を遵守していることを確認するには、データ保護法の遵守に対する Google の取り組みをご覧ください。詳しくは、プライバシー リソース センターをご覧ください。
内部監査およびコンプライアンスの専門家
Google には、世界各地でプロダクトのセキュリティ法および規制の遵守状況を確認する専用の内部監査チームがあります。新しい監査基準が作成され、既存の基準が更新されると、内部監査チームはその基準を満たすために必要な管理作業、プロセス、システムを特定します。このチームは、第三者による独立した監査と評価をサポートします。詳細については、このドキュメントの後半のコンプライアンス要件のサポートをご覧ください。
オペレーション セキュリティ
セキュリティはクラウド オペレーションの不可欠な要素であり、後付けの要素ではありません。このセクションでは、Google の脆弱性管理プログラム、マルウェア防止プログラム、セキュリティ モニタリング、インシデント管理プログラムについて説明します。
脆弱性の管理
Google の内部脆弱性管理プロセスは、技術スタックにわたってセキュリティ上の脅威を常に探索しています。このプロセスでは、商用ツール、オープンソース ツール、専用内部ツールを組み合わせて使用します。これには次のものが含まれます。
- 品質保証プロセス
- ソフトウェアのセキュリティ レビュー
- 広範な侵入を含む、自動および手動の集中的な取り組み
- 外部監査
脆弱性管理組織とそのパートナーは、脆弱性の追跡とフォローアップを担当します。セキュリティが完全に改善されるのは、問題が完全に解決した場合のみです。自動化パイプラインでは、パッチのデプロイ状態を継続的に再評価することで脆弱性を回避し、不適切または不完全なデプロイにフラグを立てます。
検出能力を向上させるために、脆弱性管理組織は、実際の脅威を示すシグナルとノイズを分離する高品質なインジケーターに焦点を当てています。この組織は、業界やオープンソース コミュニティとの交流も促進しています。たとえば、Tsunami ネットワーク セキュリティ スキャナのパッチ特典プログラムは、脆弱性を検出するためにオープンソースの検出項目を作成したデベロッパーに報酬を提供しています。
Google が緩和した脆弱性の詳細については、Google Cloud のセキュリティに関する公開情報をご覧ください。
マルウェア防止
Google は、さまざまなマルウェア検出手法を駆使して、コアプロダクト(Gmail、Google ドライブ、Google Chrome、YouTube、Google 広告、Google 検索など)のマルウェア対策を維持しています。マルウェアが潜むファイルを事前に検出するために、ウェブクロール、ファイル デトネーション、カスタム静的検出、動的検出、機械学習検出を使用しています。また、複数のウイルス対策エンジンも使用しています。
従業員を保護するため、Chrome Enterprise Premium の高度なセキュリティ機能と Google Chrome のセーフ ブラウジング保護強化機能を使用しています。これらの機能により、社員がウェブを閲覧する際に、フィッシング サイトやマルウェア サイトを事前に検出できます。また、Gmail セキュリティ サンドボックスなど、Google Workspace で利用可能な最も厳格なセキュリティ設定により、不審な添付ファイルを事前にスキャンします。これらの機能からのログは、次のセクションで説明するように、Google のセキュリティ モニタリング システムにフィードされます。
セキュリティ モニタリング
Google のセキュリティ モニタリング プログラムが対象としているのは、内部ネットワーク トラフィック、社員によるシステム上の操作、外部に知られている脆弱性によって集められた情報です。Google の基本原則は、セキュリティ テレメトリー データを集約して 1 か所に保存し、統一されたセキュリティ分析を行うことです。
Google のグローバル ネットワークのさまざまな箇所で、内部トラフィックに疑わしい動作(たとえば、トラフィックにボットネットに接続している可能性が見られるなど)がないか検査しています。Google では、オープンソースのツールと商用ツールを組み合わせて使用し、トラフィックをキャプチャして解析することで、この分析を実行できるようにしています。Google の技術を基に構築された独自の相関システムもこの解析をサポートしています。Google では、ネットワーク解析を補足してシステムログを調べることで、顧客データへのアクセスの試行などの異常な行動を特定します。
Google のセキュリティ エンジニアは、受信したセキュリティ レポートを確認し、公開のメーリング リスト、ブログ投稿、Wiki をモニタリングします。未知の脅威が発生した可能性がある場合、自動化されたネットワーク解析とシステムログの自動解析により判別できます。自動化されたプロセスが問題を検出した場合、Google のセキュリティ スタッフにエスカレーションされます。
インシデント管理
Google では厳格なインシデント管理プロセスにより、システムやデータの機密性、完全性、または可用性に影響を与える可能性があるセキュリティ イベントに対応しています。Google のセキュリティ インシデント管理プログラムは、インシデントの処理に関する NIST ガイダンス(NIST SP 800-61)に準拠しています。主要なスタッフは、イベント発生に備えて、サードパーティ ツールや独自ツールの使用など、フォレンジックや証拠物件の取り扱いの訓練を受けています。
Google では、顧客データを保存するシステムなど、重要領域のインシデント対応計画をテストしています。これらのテストでは、内部関係者による脅威やソフトウェアの脆弱性など、さまざまなシナリオが考慮されています。セキュリティ上のインシデントを早期解決するため、Google のセキュリティ チームは、24 時間体制で全社員からの問い合わせに対応しています。インシデントがお客様のデータに影響する場合は、Google またはそのパートナーがお客様にその旨を伝え、Google のチームがインシデントを調査します。データ インシデント対応プロセスの詳細については、データ インシデント対応プロセスをご覧ください。
セキュリティが中核をなす技術
Google Cloud は、安全運用を前提として設計および構築されたテクノロジー プラットフォームで運用されています。Google はハードウェア、ソフトウェア、ネットワーク、システム管理技術のイノベーターです。Google ではサーバー、独自開発のオペレーティング システム、地理的に分散したデータセンターを設計しています。多層防御の原則に基づき、Google では従来の技術よりも安全で使いやすい IT インフラストラクチャを構築しました。
最先端のデータセンター
Google の主な設計基準の一つとして、セキュリティとデータ保護の重視があります。Google データセンターの物理的セキュリティは、階層化されたセキュリティ モデルです。物理的な安全対策として、カスタム設計された電子アクセスカード、警報、車両セキュリティ ゲート、外周フェンス、金属探知機、生体認証などの安全保護対策を実施しています。また、侵入者の検知と追跡のために、レーザー光線侵入検知や高解像度の terior 内外監視カメラによる 24 時間 365 日のモニタリングなどのセキュリティ対策を採用しています。インシデントが発生した際は、アクセスログ、アクティビティ記録、カメラ映像による確認ができます。厳格な身元調査に合格し、訓練を受けた経験豊かな警備員が、データセンターを定期的に巡回しています。データセンターのフロアに近くなるほど、セキュリティ対策も厳重になります。データセンターのフロアに入るには、セキュリティ通路を通らなければなりません。この通路では、セキュリティ バッジや生体認証による多元的出入管理が行われています。特定の役割を持つ承認された社員しか立ち入りは許可されていません。Google のデータセンターにアクセスできる Google 社員はごく少数です。
Google のデータセンター内では、物理論理空間でセキュリティ管理を採用しています。これは、「ラック内のマシンからマシンのランタイム環境までの一定の距離」として定義されます。これらの制御には、ハードウェアの強化、タスクベースのアクセス制御、異常イベントの検出、システムの自己防衛が含まれます。詳細については、Google がデータセンターの物理論理空間を保護する仕組みをご覧ください。
データセンターの電力供給
Google のデータセンターは、24 時間体制で稼働しサービスが中断されないようにするため、冗長電源システムと環境管理を備えています。すべての重要箇所に主電源と代替電源があり、どちらも電力は同じです。バックアップ発電機により、各データセンターは緊急時でも最大限の性能を発揮できる電力を得られます。冷却システムによりサーバーなどのハードウェアの動作温度が一定に保たれ、環境への影響を最小限に抑えながらサービス停止のリスクを軽減しています。火災検知および抑制装置は、ハードウェアの損傷を防ぐのに役立ちます。熱検知器、火災検知器、煙検知器は、セキュリティ操作コンソールとリモート モニタリング デスクで、音声アラームおよび視覚的アラームをトリガーします。
Google は、大手のインターネット サービス企業としては初めて、データセンター全体における優れた環境、作業安全、エネルギー管理標準についての外部認証を受けています。たとえば、エネルギー管理業務への取り組みを示すために、ヨーロッパのデータセンターで自主的な ISO 50001 認証を取得しています。Google Cloud が環境に対する影響を軽減する方法については、効率性をご覧ください。
カスタムのサーバー ハードウェアおよびソフトウェア
Google のデータセンターには専用のサーバーとネットワーク機器があり、その一部を独自に設計しています。Google のサーバーは、パフォーマンス、冷却、電力効率を最大化するようカスタマイズされていますが、物理的な侵入から保護できるようにも設計されています。一般に販売されているハードウェアとは異なり、Google のサーバーにはビデオカード、チップセット、周辺機器コネクタなどの不要なコンポーネントはありません。これらのコンポーネントが脆弱性を引き起こす可能性があるためです。Google は、コンポーネント ベンダーを調査し、慎重にコンポーネントを選択しています。ベンダーと協力して、コンポーネントが提供するセキュリティ特性を監査および検証しています。Titan などのカスタムチップを設計し、デバイスの起動に使用するコードなど、正規の Google デバイスをハードウェア レベルで安全に識別して認証できるようにしています。
サーバー リソースは動的に割り振られます。これにより成長の柔軟性を高め、リソースの追加や再割り当てを行うことでお客様の需要に迅速かつ効率的に対応できます。この環境を維持するため、システムのバイナリレベル変更を継続的にモニタリングする独自のソフトウェアが使用されています。Google の自動化された自己回復メカニズムにより、安定性に影響を及ぼす問題をモニタリングおよび修正し、インシデントに関する通知を受け取り、ネットワークで発生する可能性があるセキュリティ侵害を抑えることができます。
ハードウェアの追跡および廃棄
Google では、データセンターにある機器の場所と状態を、バーコードとアセットタグを使用して細心の注意を払いながら追跡しています。データセンターから承認なしで機器が持ちだされることがないように、金属探知機や動画監視システムを導入しています。ライフサイクル中に性能試験に合格しなかったコンポーネントは、在庫から除外され、廃棄されます。
ハードドライブ、ソリッド ステート ドライブ、不揮発性デュアル インライン メモリ モジュール(DIMM)などのストレージ デバイスには、フルディスク暗号化(FDE)やドライブのロックなどの技術を使用して、保存データを保護しています。ストレージ デバイスを廃棄する際は、承認された担当者が、デバイスがサニタイズされていることを確認します。また、デバイスにデータがないことを確認するため、複数ステップの検証プロセスを実行します。なんらかの理由でデバイスのデータを消去することができない場合、物理的に破棄されます。物理的な破壊を行う場合は、シュレッダーでデバイスを細かく砕き、安全な施設でリサイクルします。各データセンターでは、処分に関する厳格な方針を遵守しており、なんらかの違反があった場合にはすぐに対処します。詳細については、Google Cloud 上のデータの削除をご覧ください。
ソフトウェア開発プラクティス
Google は、ソース コントロール保護機能と二者レビューを使用することで、脆弱性が導入される可能性を制限しています。また、デベロッパーが特定のクラスのセキュリティ バグを発生させないようにするためのライブラリも提供しています。たとえば、ウェブアプリの XSS 脆弱性を排除するよう設計されたライブラリとフレームワークが用意されています。セキュリティ バグを自動的に検出するための自動ツールも用意されています。これらのツールには、ファザー、静的分析ツール、ウェブ セキュリティ スキャナなどがあります。
詳細については、安全なソフトウェア開発をご覧ください。
主なセキュリティ管理
Google Cloud サービスは、多くのオンプレミス ソリューションよりも高度なセキュリティを提供するように設計されています。このセクションでは、Google がお客様のデータを保護するために使用する主なセキュリティ管理について説明します。
暗号化
暗号化により、データを保護するための防御層が追加されます。暗号化することで、攻撃者がデータにアクセスできる場合でも、暗号鍵がなければデータを読み取ることはできません。攻撃者がデータにアクセスした場合でも(たとえば、データセンター間の有線接続や、ストレージ デバイスを盗むなど)、そのデータを理解することも復号することもできません。
暗号化は、データのプライバシーを保護するための重要なメカニズムです。これにより、システムはデータを操作できます(たとえばバックアップなどの目的で)。エンジニアは、システムや従業員にコンテンツへのアクセスを提供することなく、インフラストラクチャをサポートできます。
保存データの保護
Google Cloud では、デフォルトで複数の暗号化レイヤを使用して、Google の本番環境データセンターに保存されているユーザーデータを保護します。暗号化は、アプリケーション レイヤ、ストレージ デバイス レイヤ、または両方のレイヤで適用されます。
暗号鍵の管理やキーストアなど、保存データの暗号化の詳細については、Google Cloud での保存時の暗号化をご覧ください。
転送中のデータの保護
不正なアクセスに対してデータが脆弱になる可能性があるのは、データがインターネットやネットワーク内で転送されている最中です。デバイスと Google Front End(GFE)間のトラフィックは、TLS などの強力な暗号化プロトコルを使用して暗号化されます。
詳しくは、Google Cloud での転送データの暗号化をご覧ください。
ソフトウェア サプライ チェーンの整合性
ソフトウェア サプライ チェーンの整合性により、データを処理するサービスの基盤となるコードとバイナリが検証され、証明書のテストに合格していることが保証されます。Google Cloud では、デプロイする本番環境ソフトウェアを確認して承認するために、Binary Authorization for Borg(BAB)を開発しました。BAB を使用すると、承認されたコードのみがデータを処理できるようになります。Google では BAB に加えて、サーバー、デバイス、周辺機器にデプロイするハードウェア セキュリティ チップ(Titan)を使用しています。これらのチップは、安全な鍵ストレージ、ルート オブ トラスト、署名権限などのコアセキュリティ機能を提供します。
ソフトウェア サプライ チェーンを保護するには、コードをデプロイする前に、Binary Authorization を実装してポリシーを適用します。サプライ チェーンの保護については、SLSA をご覧ください。
使用中のデータの保護
Google Cloud は、Confidential Computing により使用されるデータのデータ暗号化をサポートしています。Confidential Computing は、高信頼実行環境(TEE)を使用してハードウェア分離と構成証明を提供します。Confidential Computing は、暗号分離で計算を行うことでワークロードを保護し、マルチテナント クラウド環境での機密性を維持します。このタイプの暗号分離環境は、アプリケーションやデータの使用中にアプリケーションやデータへの不正アクセスや変更を防ぎます。TEE は、システムの状態とコードの実行を証明する、独立して検証可能な構成証明を提供します。Confidential Computing は、機密性の高い規制対象データを管理し、検証可能なセキュリティとプライバシーの保証が必要な組織に適しています。
グローバル ネットワークのセキュリティ上のメリット
他のクラウド サービスやオンプレミス ソリューションでは、顧客データは公衆インターネット経由でデバイス間のホップと呼ばれるパスを通過します。ホップの数は、お客様の ISP とデータセンターの間の最適なルートによって異なります。ホップの数が増えると、データが攻撃または遮断される可能性が高くなります。Google のグローバル ネットワークは世界中のほとんどの ISP と接続されているため、Google のネットワークは公共のインターネット上でのホップ数を制限し、攻撃者によるデータへのアクセスを制限しています。
Google のネットワークは多層防御を使用して、ネットワークを外部攻撃から保護しています。Google のセキュリティ要件を満たし承認されたサービスやプロトコルだけが多層防御を通過できます。それ以外のものは自動的に排除されます。ネットワークの分離を適用するため、Google ではファイアウォールとアクセス制御リストを使用しています。悪意のあるリクエストと分散型サービス拒否(DDoS)攻撃を検出するため、トラフィックは GFE サーバーを経由してルーティングされます。ログは定期的に確認され、プログラミング エラーの悪用があれば特定されます。ネットワーク デバイスにアクセスできるのは、アクセスが承認されている従業員のみです。
Google のグローバル インフラストラクチャでは、Project Shield を実行できます。Project Shield は、DDoS 攻撃に脆弱なウェブサイトに対して無制限の無料保護を提供し、情報を保護します。Project Shield は、ニュース ウェブサイト、人権ウェブサイト、選挙監視サイトで利用できます。
低レイテンシで可用性の高いソリューション
Google の IP データ ネットワークは、独自のファイバー、一般的に入手できるファイバー、海底ケーブルで構成されています。これにより、世界中で可用性が高くレイテンシが低いサービスを提供できるようになります。
Google のプラットフォームの構成要素は、冗長性に優れた設計になっています。この冗長性は、Google のサーバーの設計、データの保存方法、ネットワークとインターネットの接続、さらにソフトウェア サービス自体に適用されます。この「すべての冗長性」には、例外処理が含まれ、単一のサーバー、データセンター、ネットワーク接続に依存しないソリューションが作成されます。
Google のデータセンターは地理的に分散されているため、ある地域で自然災害や局地的な停電などでグローバルなプロダクトが使用できなくなっても、その影響は最小限に抑えられます。ハードウェア、ソフトウェア、ネットワークの障害が発生しても、プラットフォーム サービスとコントロール プレーンは自動的かつ迅速に別の施設に切り替わり、プラットフォーム サービスが中断されずに継続されます。
冗長性の高いインフラストラクチャにより、データ損失を防ぐことができます。Google Cloud リソースを複数の地域とゾーンで作成してデプロイし、復元性に優れた高可用性システムを構築できます。Google のシステムは、プラットフォームのサービス メンテナンスやアップグレードを行う必要がある場合のダウンタイムやメンテナンスの時間枠を最小限に抑えるように設計されています。Google Cloud が設計からオペレーションまで復元力と可用性をコア インフラストラクチャとサービスに組み込む方法については、Google Cloud インフラストラクチャ信頼性ガイドをご覧ください。
Google Cloud サービスの可用性
一部の Google Cloud サービスは、地域によってご利用いただけない場合があります。一部のサービス障害(ネットワーク停止などの予期しないイベントによる障害)は一時的なものですが、その他のサービスの制限は、行政機関によって課せられた制限により永続的に維持されます。Google の包括的な透明性レポートとステータス ダッシュボードには、最近および現在のトラフィック中断と Google Cloud サービスの可用性が表示されます。このデータは、サービスの利用可否状況を分析、理解する際に役立ちます。
データアクセスと制限事項
このセクションでは、Google がデータへのアクセスを制限する方法と、法執行機関からのデータ リクエストにどのように対応するかについて説明します。
データの使用
お客様が Google のシステムに保存するデータはお客様のものです。Google は、広告目的でお客様のデータをスキャンしたり、第三者に販売したり、お客様の許可なく AI モデルのトレーニングに使用したりすることはありません。お客様のデータを保護するための Google の取り組みは、Google Cloud のデータ処理に関する追加条項に記載されています。このドキュメントには、Google が契約上の義務を履行する場合以外ではいかなる目的でもデータを処理しないことが明記されています。Google のサービスの使用を停止する場合は、Google が提供しているツールをご利用ください。解約金や追加料金が発生することなく、データを持ち出すことができます。Google Cloud のコミットメントの詳細については、信頼原則をご覧ください。
Google 社員の管理者権限
Google のインフラストラクチャは、お客様のデータを他のお客様やユーザーのデータから論理的に分離するように設計されています。同じ物理サーバーに保存されている場合も同様です。顧客データへのアクセスが許可されているのは、ごく少数の Google 社員のグループのみです。アクセス権とアクセスレベルは、社員の職務と役割に基づいて付与されており、責務に対して必要なアクセス権が、最小権限および need to know(知る必要がある人にのみ知らせる)原則に則して与えられています。Google の社員には社内のリソース(社員用メールや Google 社内の社員用ポータルなど)に対する限られたデフォルトの権限しか許可されていません。追加のアクセス権を得るには、Google のセキュリティ ポリシーに従い、データまたはシステムのオーナー、マネージャー、他のエグゼクティブなどへのリクエストとその承認による正式なプロセスに従う必要があります。
承認は、すべての変更の監査記録を維持するワークフロー ツールによって管理されています。これらのツールによって、承認設定の変更と承認プロセスの両方が管理されます。これにより、承認ポリシーが一貫して適用されるようになります。社員の承認設定は、Google Cloud サービスのデータやシステムなど、リソースへのアクセスを制御するために使用されます。サポート サービスは、承認済みの顧客管理者に対してのみ提供しています。専門のセキュリティ チーム、プライバシー チーム、内部監査チームが従業員のアクセスをモニタリングして監査します。Google は、Google Cloud のアクセスの透明性を通じて監査ログを提供します。また、アクセス承認を有効にすると、Google のサポート担当者とエンジニアが、お客様のデータにアクセスするために明示的な承認を要求します。
司法当局によるデータのリクエスト
データ所有者は、司法当局によるデータのリクエストに対応する責任を第一に負います。ただし、多くのテクノロジー企業と同様、Google は行政機関や裁判所から顧客情報の開示リクエストを直接受け取ります。Google は、公的機関によるユーザーデータに対する不正なリクエストや過剰なリクエストから保護するため、運用ポリシーと手順、その他の組織的措置を講じています。法的要請を受けた場合、Google のチームはその要請が法的要件と Google のポリシーを満たしているかどうかを確認します。一般的に、Google が従うためには、リクエストは書面で作成され、該当する法律に基づいて発行され、リクエスト元機関で所定の権限を持つ職員が署名する必要があります。
Google では、行政機関が Google に対してどの程度ユーザー情報をリクエストしているかを一般の人々が知る権利があると考えています。Google は企業として初めて、行政機関からのデータ リクエストについて定期的にレポートを発行しました。データ リクエストとそれに対する対応の詳細については、透明性レポートをご覧ください。法令または裁判所の命令で禁止されている場合を除き、Google ではお客様のデータ開示要請について通知することを方針としています。詳細については、Cloud 顧客データに対する行政機関からのリクエストをご覧ください。
サードパーティ サプライヤー
ほとんどのデータ処理アクティビティでは、Google 独自のインフラストラクチャでサービスを提供しています。ただし、カスタマー サポートやテクニカル サポートなど、Google Cloud に関連するサービスを提供するためにサードパーティのサプライヤーを利用することがあります。サプライヤーをオンボーディングする前に、そのサプライヤーのセキュリティとプライバシーの実践を評価しています。この評価では、サプライヤーが、データへのアクセスや、担当するサービスの範囲に適したレベルのセキュリティとプライバシーを提供しているかが確認されます。当該サードパーティ サプライヤーが提示したリスクを評価した後、当該サプライヤーは所定のセキュリティ、機密保持、プライバシーの各契約を締結する必要があります。
詳細については、サプライヤー行動規範をご覧ください。
コンプライアンス要件のサポート
Google Cloud は、独立した機関によるセキュリティ、プライバシー、コンプライアンス管理に関する監査を定期的に受けており、コンプライアンスを示すための認証、証明書、監査レポートを取得しています。Google の情報セキュリティには、お客様のデータを安全に保つための、特定の顧客データのプライバシー関連の管理が含まれています。
Google が監査される主な国際基準は次のとおりです。
- ISO/IEC 27001(情報セキュリティ管理)
- ISO/IEC 27017(クラウド セキュリティ)
- ISO/IEC 27018(クラウド プライバシー)
- ISO/IEC 27701(プライバシー)
また、SOC 2 報告書と SOC 3 報告書もお客様に提供しています。
Google は FedRAMP(米国政府)、BSI C5(ドイツ)、MTCS(シンガポール)など、セクターと国固有のフレームワークにも参加しています。正式な認証や証明書が必須ではない、または適用されない特定のフレームワークには、リソース ドキュメントとマッピングが用意されています。
金融、行政機関、医療、教育などの規制が多い業界で業務を行っている場合、Google Cloud では、業界固有のさまざまな要件を遵守する際に役立つプロダクトとサービスを提供しています。たとえば、Payment Card Industry Data Security Standard(PCI DSS)を遵守する必要がある場合は、PCI Data Security Standard コンプライアンスをご覧ください。
Google のコンプライアンス サービスの完全なリストについては、コンプライアンス リソース センターをご覧ください。
リスク マネジメントと保険
Google は、サイバーおよびプライバシー責任保険の保障内容を含め、多くのリスクの種類に対して堅牢な保険プログラムを維持しています。これらのポリシーには、Google ネットワークへの不正な使用やアクセス、保険が可能な場合の規制上の措置、機密情報を適切に保護しないこと、通知コスト、フォレンジック調査を含む危機管理コストなどのイベントにおける Google Cloud の適用範囲が含まれます。
Google Cloud のセキュリティ プロダクトとサービス
セキュリティは共有責任です。一般に、クラウドに持ち込むものを保護する責任はお客様にありますが、クラウド自体を保護する責任は Google にあります。したがって、お客様のデータを保護する責任は常にお客様が負いますが、Google は基盤となるインフラストラクチャの保護に責任を負います。次の図は、この関係を共有責任モデルとして可視化しています。このモデルでは、Google とお客様の Google Cloud での責任が表されています。
Infrastructure as a Service(IaaS)モデルでは、ハードウェア、ストレージ、ネットワークのみが Google の責任です。Software as a Service(SaaS)モデルでは、データとそのアクセスと使用を除くすべてのセキュリティが Google の責任です。
Google Cloud には、クラウド環境を大規模に保護するために利用できるさまざまなセキュリティ サービスが用意されています。詳細については、Google Cloud のセキュリティ プロダクトと ID プロダクトをご覧ください。また、セキュリティのベスト プラクティス センターでも詳細をご確認いただけます。
まとめ
顧客データの保護は Google のインフラストラクチャ、プロダクト、運用で最も重要な考慮事項です。Google の業務規模は十分大きく、セキュリティ研究コミュニティとも連携しているため、脆弱性に迅速に対応したり、完全に防止したりすることが可能となります。検索、YouTube、Gmail などの Google 独自のサービスは、お客様に提供するのと同じインフラストラクチャで実行されています。お客様は、Google のセキュリティ制御とプラクティスの利益を直接受けることができます。
Google では、他のパブリック クラウド プロバイダや民間企業の IT チームがまず真似できない水準を実現しています。データの保護は Google のビジネスの中核をなす要素です。そのため、セキュリティ、リソース、専門知識に対して、他社ではできない規模での投資もいといません。Google の投資により、お客様は自分のビジネスとイノベーションにだけ集中すればよくなります。Google では契約責任を重視しており、お客様のデータやその処理はお客様が管理できます。Google Cloud サービスを提供する目的以外で、広告その他の目的でお客様のデータを使用することはありません。
多くの革新的な組織が、最も重要な資産であるデータを Google に託しています。Google は、安全かつ透明性の高い方法で Google Cloud サービスをご利用いただけるよう、Google Cloud サービスのセキュリティに対して投資を続けていきます。
次のステップ
- Google のセキュリティ文化と理念の詳細については、安全で信頼性の高いシステムの構築(O'Reilly 書籍)をご覧ください。
- クラウド セキュリティに対する Google の新たなアプローチについては、BeyondProd をご覧ください。ここでは、コードの変更と、マイクロサービスのユーザーデータへのアクセスを保護する方法について説明します。
- 独自のワークロードに同様のセキュリティ原則を採用するには、エンタープライズ基盤のブループリントをデプロイします。
- Google Workspace のセキュリティの詳細については、Google Workspace のセキュリティをご覧ください。