このコンテンツの最終更新日は 2022 年 9 月で、作成時点の状況を表しています。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシーとシステムは変更される場合があります。
Google が最も重視しているのは、顧客データのための安全な環境を維持することです。Google は顧客データを保護するために、厳格なプロセス、専門家によるインシデント対応チーム、多層構造の情報セキュリティとプライバシー インフラストラクチャを組み合わせた、業界最先端の情報セキュリティ オペレーションを実行しています。このドキュメントでは、Google Cloud でデータ インシデントの管理と対応を行う際の原則となるアプローチについて説明します。
Cloud のデータ処理に関する追加条項では、データ インシデントを「偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスにつながる Google のセキュリティ違反」と定義しています。Google は、データおよびシステムに対する予測可能な脅威への対策を講じていますが、データ インシデントには、顧客データのセキュリティを侵害しない、失敗に終わった試行またはアクティビティは含まれません。たとえば、データ インシデントには、ファイアウォールまたはネットワーク システムへの、失敗に終わったログイン試行、ping、ポートスキャン、サービス拒否攻撃、およびその他のネットワーク攻撃は含まれません。
インシデント対応は、Google の全体的なセキュリティとプライバシー プログラムの重要な要素です。Google は、データ インシデントを管理するための厳格な手順を実施しています。この手順では、お客様のデータの機密性保持、整合性、可用性に影響を与える可能性のあるインシデントのアクション、エスカレーション、リスク軽減、解決、通知を指定します。
Google Cloud のセキュリティを強化する方法については、インフラストラクチャのセキュリティ設計の概要と Google Cloud のセキュリティをご覧ください。
データ インシデント対応
Google のインシデント対応プログラムは、数多くの特別な役割を果たす、熟練したインシデント対応担当者のチームが管理し、各インシデントが提示する課題に適切に対応します。インシデントの性質に応じて、専門的な対応チームは以下のチームのエキスパートから構成されます。
- クラウド インシデント管理
- プロダクト エンジニアリング
- サイト信頼性エンジニアリング
- クラウド セキュリティとプライバシー
- デジタル フォレンジック
- グローバル調査
- シグナル検出
- セキュリティ、プライバシー、プロダクトに関する助言
- 信頼性と安全性
- 不正行為対抗技術
- Cloud カスタマーケア
こうしたチームのエキスパートがさまざまな方法でインシデント対応に取り組みます。たとえば、インシデント コマンダーがインシデント対応を調整し、必要に応じてデジタル フォレンジック チームがフォレンジック調査を行い、進行中の攻撃を追跡します。プロダクト エンジニアは、お客様への影響を抑え、影響を受けるプロダクトを修正するためのソリューションを提供するよう努めます。法務担当者は適切なセキュリティおよびプライバシー チームのメンバーと協力して、証拠収集に関する Google の戦略を実行しつつ、法執行機関や政府規制機関と連携して、法的問題や要件について助言します。カスタマーケアは、追加の情報や支援に関するお客様からの問い合わせと依頼に対応します。
チーム編成
Google がインシデントを通告すると、インシデント対応とインシデント解決を図るインシデント コマンダーが指名されます。インシデント コマンダーはさまざまなチームから専門家を選び、対応チームを編成します。インシデント コマンダーは、インシデントのさまざまな要素を管理する責任をこれらのエキスパートに委任し、インシデント宣言から終結までを管理します。次の図は、インシデント対応時にさまざまな役割を担う組織とそれぞれの責任を示しています。
データ インシデント対応プロセス
データ インシデントにはそれぞれに異なった点がある一方、データ インシデント対応プロセスの目的は、お客様データの保護、通常サービスのできるだけ早い復旧、規制および契約上のコンプライアンス要件の遵守です。次の表に、Google インシデント対応プログラムの主な手順を示します。
| インシデントのステップ | 目標 | 説明 |
|---|---|---|
| 識別 | 検出 | 自動プロセスおよび手動プロセスで潜在的な脆弱性とインシデントを検出 |
| レポート | 自動および手動プロセスで、インシデント対応チームに問題を報告します。 | |
| 調整 | 選別 | 次のアクティビティが発生します。
|
| 対応チームの取り組み | 次のアクティビティが発生します。
|
|
| 解決 | 調査 | 次のアクティビティが発生します。
|
| 抑制と復元 | オペレーション リードが次のことを迅速に実行します。
|
|
| コミュニケーション | 次のアクティビティが発生します。
|
|
| 終結 | 得られた教訓 | 次のアクティビティが発生します。
|
| 継続的な改善 | プログラム開発 | 必要なチーム、トレーニング、プロセス、リソース、ツールを維持します。 |
| 防止 | チームは得られた教訓に基づいて、インシデント対応プログラムを改善します。 |
以降のセクションで、各ステップについて詳しく説明します。
識別
インシデントを早期に正確に特定することが、効果的なインシデント管理を実現する鍵となります。識別フェーズでは、セキュリティ イベントを監視して、潜在的なデータ インシデントを検出して報告することが重要です。
Google のインシデント検出チームは、潜在的なインシデントの早期識別を実現する高度な検出ツール、シグナル、アラート メカニズムを採用しています。Google のインシデント検出ソースには次のようなものがあります。
自動ネットワークとシステムログ分析: ネットワーク トラフィックとシステム アクセスの自動分析により、不審なアクティビティ、不適切なアクティビティ、未認可のアクティビティを識別し、Google のセキュリティ担当者に問題を報告します。
テスト: セキュリティ チームが侵入テスト、品質保証(QA)対策、侵入検知、ソフトウェア セキュリティ レビューを行い、セキュリティ上の脅威を常に調査します。
内部コードレビュー: ソースコード レビューによって、隠れた脆弱性や設計上の欠陥を発見し、重要なセキュリティ コントロールが実装されているかどうかを検証します。
プロダクト固有のツールとプロセス: プロダクト レベルでインシデントを検出する能力を高めるために、チームの役割に固有の自動ツールを可能な限り採用します。
使用状況の異常検出: Google ではさまざまなレイヤからなる機械学習システムを使用して、ブラウザ、デバイス、アプリケーションのログイン、その他の使用イベントでの安全なユーザー アクティビティと異常なユーザー アクティビティを区別しています。
データセンターと職場サービスのセキュリティ アラート: データセンターのセキュリティ アラートは、Google のインフラストラクチャに影響する可能性のあるインシデントがないか調査します。
Google の社員: Google の社員が異常を検出し、それを報告します
Google の脆弱性報奨金プログラム: Google が所有するブラウザの拡張機能、モバイル、ウェブ アプリケーションにある、ユーザーデータの機密性または完全性に影響を及ぼす潜在的な技術的脆弱性が、外部のセキュリティ研究者によって報告されることがあります。
調整
インシデントが報告されると、オンコール対応担当者がインシデント レポートの状態および本質性のレビューと評価を行い、潜在的なデータ インシデントに相当するかどうかを判定し、インシデント対応プロセスを開始します。
確認後、対応担当者はインシデントのインシデント コマンダーにインシデントを渡し、コマンダーはインシデントの性質を評価して、調整された手順でインシデントに対応します。ここでの対応には、インシデントのトリアージ評価の完了、必要に応じた重大度の調整、事実をレビューして調査が必要な主要分野を識別する、適切な運用 / 技術リードによる必要なインシデント対応チームの動員などがあります。また、どのように対応するかについて重要な決定を下すプロダクト リードと法務リードを指名します。インシデント コマンダーが調査の責任を割り当て、事実が収集されます。
Google による対応の多くの要素は、インシデント対応チームによって収集、分析された、重要な事実に基づく重大度の評価に依存します。主なポイントは次のとおりです。
お客様、第三者、Google に損害を与える可能性
インシデントの性質(データが破壊された可能性がある、アクセスされた、または利用できないなど)
影響を受ける可能性のあるデータの種類
お客様のサービス利用に対するインシデントの影響
インシデントのステータス(個別の問題である、継続している、または封じ込められているなど)
インシデント コマンダーや他のリードは、対応の取り組み全体を通じてこれらの要因を定期的に再評価します。新しい情報の展開に伴って、Google の対応に適切なリソースと緊急度が割り当てられていることを確認する必要があるからです。最も重大な影響を与えるイベントには、最も高い重大度が設定されます。他のリードとのコミュニケーション プランを作成するためにコミュニケーション リードが任命されます。
解決
解決の段階では、根本原因の調査、インシデントの影響拡大の防止、早急な対応が必要なセキュリティ リスク(存在する場合)の解決、修復の一環としての必要な修正の実施、影響を受けるシステム、データ、サービスの復旧を行います。
インシデントの影響を受けたデータを、可能な限り元の状態に復元します。インシデントに何が最適で必要なのかに従い、Google はさまざまな対策を講じてインシデントの解決を図ります。たとえば、問題の根本的な原因を再現するため、またはお客様データへの影響を特定するために、技術的またはフォレンジックな調査が必要になることがあります。データが不適切に変更または破壊された場合、バックアップ コピーからデータの復元を試みることがあります。
インシデントがお客様データに影響を及ぼした場合、お客様に通知することが非常に重要です。インシデントが顧客データに影響を及ぼしたかどうかを判断するために、インシデント全体を通して重要な事実を評価します。評価の結果、該当する顧客に対して、インシデント コマンダーが通知プロセスを開始します。コミュニケーション リードが、プロダクト リードや法務リードからの情報を基にコミュニケーション プランを作成し、影響を受けた顧客に通知して、カスタマーケアと協力して顧客の要求に応えます。
Google は、データ インシデントの既知の詳細、潜在的なリスクを軽減するための Google の取り組み、お客様がインシデントに対処するためのおすすめの措置を記載した、迅速で明確かつ正確な通知を提供するよう努めています。お客様がご自身の通知義務を評価して履行できるよう、Google はインシデントの明確化に努めます。
終結
データ インシデントが修正され、解決したら、インシデント対応チームはインシデントから得た教訓を評価します。重大な問題が報告されたインシデントについては、インシデント コマンダーは事後分析を開始することがあります。このプロセスでは、インシデント対応チームがインシデントの原因と Google の対応を確認し、改善が必要な重要分野を特定します。プロダクト チーム、エンジニアリング チーム、運用チームとの協議やプロダクトの改善作業が必要になることがあります。フォローアップ作業が必要な場合は、インシデント対応チームがその作業を完了するためのアクション プランを作成し、長期的な取り組みを先導するプロジェクト マネージャーを割り当てます。この一連の修復作業が完了した後、インシデントは終結となります。
継続的な改善
Google では、あらゆるインシデントから学び、将来のインシデントを回避するための予防措置を講じるよう努めています。
インシデント分析から実用的な分析情報を得ることで、ツール、トレーニング、プロセス、全体的なセキュリティとプライバシー データ保護プログラム、セキュリティ ポリシー、対応の取り組みを強化できます。重要な教訓から、エンジニアリング作業に優先順位を付け、より優れたプロダクトの提供も促進されます。
セキュリティおよびプライバシーの専門家は、すべてのネットワーク、システム、サービスに対するセキュリティ計画を見直すことで、セキュリティ プログラムを強化し、プロダクト チームとエンジニアリング チームにプロジェクト固有のコンサルティング サービスを提供します。セキュリティとプライバシーの専門家は、機械学習やデータ分析などの新たな技術を活用して Google ネットワークに対する不審なアクティビティをモニタリングし、情報セキュリティ上の脅威に対処します。また、セキュリティ評価および監査を定期的に行い、外部の専門家による定期的なセキュリティ評価を実施します。また、プロジェクト ゼロが、指定の攻撃を防ぐことを目的とし、バグをソフトウェア ベンダーに報告して外部データベースに記録しています。
Google は定期的にトレーニングや啓発キャンペーンを実施して、セキュリティとデータのプライバシーに関するイノベーションを促進しています。専任のインシデント対応スタッフは、サードパーティ ツールや独自ツールの使用など、フォレンジックや証拠物件の取り扱いの訓練を受けています。お客様の機密情報が保存されるシステムなどの重要な分野では、インシデント対応プロセスと手順のテストが実施されます。これらのテストでは、内部関係者による脅威やソフトウェアの脆弱性など、さまざまなシナリオが考慮されています。
Google のプロセスは、ISO-27017、ISO-27018、ISO-27001、PCI-DSS、SOC 2、FedRAMP の各プログラムの一環として定期的にテストされています。これにより、Google のお客様や規制当局に対して、Google のセキュリティ、プライバシー、コンプライアンスの独立した機関による検証結果が提供されます。Google Cloud の第三者認定のリストについては、コンプライアンス リソース センターをご覧ください。
まとめ
データの保護は Google のビジネスの中核をなす要素です。Google は、Google 全体のセキュリティ プログラム、リソース、専門知識に継続的に投資し、インシデントが発生した場合に効率的に対応することでお客様のデータを保護します。また、Google サービスにお客様が寄せる高い信頼性を維持できるよう努めています。
Google による世界規模のインシデント対応プログラムでは、次の主な機能を提供します。
インシデントを解決するための業界最先端の技術に基づいて構築され、Google 全体で効率的に機能するように改良されたプロセス
インシデントを事前に検出し、封じ込めるための先駆的なモニタリング システム、データ分析、機械学習サービス
種類や規模を問わず、データ インシデントに対応できる専任の対象分野の専門家
利用規約および顧客契約に関する Google の取り組みを踏まえ、影響を受けるお客様に迅速に通知する実績のあるプロセス。
次のステップ
Building secure and reliable system(O'Reilly の書籍)で、インフラストラクチャの保護の詳細を確認する。
エンタープライズ基盤のブループリントとアーキテクチャ フレームワークで、Google Cloud でお客様のワークロードのセキュリティを実装する方法について確認する。