データ保護とコンプライアンス
Google Cloud のセキュリティ モデル、世界規模のインフラストラクチャ、革新をもたらす独自の機能は、組織のセキュリティの確保やコンプライアンスの維持に役立ちます。透明性、プライバシーに対する取り組みの一環として、Google は Google Cloud のセキュリティ、リスク、コンプライアンスの実践に関する内部情報を公開しています。
保存時の暗号化
ストレージ デバイスとストレージ システム レイヤーの両方でディスクやバックアップに保存されたデータを暗号化: Google Cloud は、デフォルトでこの暗号化を行う最初の主要なクラウド プロバイダです。
詳細
最終更新日: 2020 年 5 月 21 日
保存時の暗号化
保存時の暗号化とは、ディスクやバックアップに保存されているデータの暗号化を指します。Google Cloud は、ストレージ デバイス レベルとストレージ システム レベルの両方での暗号化を含む多層アプローチを使用して、デフォルトで保存時の暗号化を行う最初の主要なクラウド プロバイダです。
ポイント
保存時の暗号化により、パブリック クラウドに保存されているデータが権限のない個人やシステムに公開されるのを防止できます。多くのクラウド プロバイダはストレージ デバイス レベルの暗号化を使用して、物理的侵害が発生した場合にデータを保護できるようにしていますが、Google Cloud はストレージ システム レベルの暗号化も行っています。これにより、Google Cloud エンジニアやサポートチームがコンテンツにアクセスできなくても、Google Cloud はデータのバックアップなどの運用タスクを実行できます。
Google Cloud の対応
Google では、複数の暗号化レイヤを使用して、Google Cloud プロダクト内にあるお客様の保存データを保護しています。
保存するデータは複数のチャンクに分割されます。各チャンクは一意のデータ暗号鍵で暗号化されます。これらのデータ暗号鍵は別の暗号鍵によって暗号化(「ラップ」)されたうえでデータと一緒に保存されます。ラップに使われる暗号鍵の保存と運用は Google の鍵管理サービス内でのみ行われます。Google の鍵管理サービスは冗長化されており、グローバルに分散しています。Google Cloud に保存されるデータは、AES256 または AES128 を使用してストレージ レベルで暗号化されます。
Google は、共通暗号ライブラリ「Tink」を使用して、ほぼすべての Google Cloud プロダクトに一貫した暗号化を実装しています。この共通ライブラリは広範囲からアクセスできるため、この厳密に管理および審査されたコードを実装、維持するには、少人数の暗号作成者チームが 1 チームあれば十分です。
詳細については、Google Cloud Platform での保存時の暗号化のホワイトペーパーをご覧ください。
サービス スイート
Cloud Storage
事実
Google の暗号化に関する取り組みは、少なくとも年 1 回、外部監査機関により監査されています。Google Cloud の保存時の暗号化の詳細は、SOC 2 監査レポートをご覧ください。
特権アクセス
組織内の特権アクセスを適切に管理することで、機密性の高いデータの偶発的な公開を防ぎ、権限のないユーザーからアクセスされるリスクを最小限に抑えることができます。
ポイント
データをパブリック クラウドに保存する場合、担当者の適切なアクセス管理を行うだけでなく、クラウド プロバイダがどのようにして、事業上の正当な目的でのみデータにアクセスできるようにしているかを理解することも重要です。クラウド プロバイダは、サービスの運用を保証する場合、法的義務を遵守する場合、顧客の指示がある場合に限り、データにアクセスできるようにする必要があります。
Google Cloud の対応
Google Cloud は暗号化に加えて、個人およびサービス アカウントの強力な ID、ACL システム、Binary Authorization と同様の内部制御を組み合わせて使用し、顧客データへのアクセスが正当なものであることを確認します。アクセスの透明性が統合されたサービスに保存されているデータにアクセスする場合は追加の技術的制御が行われ、各アクセスでビジネス上の正当性に関するログが確実に作成されます。これらのアクセスは定期的にモニタリング、監査されます。
インサイダー リスクを最小限に抑える方法については、こちらの動画プレゼンテーションをご覧ください。
サービス スイート
- Compute Engine
- Cloud Storage
- クラウド ネットワーキング
事実
カスタマー サポートへの連絡や一般公開 Google Workspace ドキュメントの不正使用の報告など、お客様が開始したイベントの結果として、Google の担当者が主としてお客様のデータにアクセスする場合があります。アクセスの透明性が有効なサービスについては、Google Cloud の担当者がお客様のデータにアクセスした際に通知されます。
デプロイの整合性
デプロイの整合性とは、顧客データを使用する本番環境にデプロイされるコードと構成が、適切に審査および認可されていることを保証する Google Cloud の機能を指します。Binary Authorization for Borg(BinAuthz)は、デプロイ時に内部で行われる強制適用チェックのことで、Google Cloud にデプロイされた本番ソフトウェアと構成が(特にそのコードがユーザーデータにアクセスできる場合に)適切に審査および認可されていることを確認します。
ポイント
BinAuthz により、コードと構成のデプロイで特定の最小基準を満たしていることを確認できます。また、特定の要件が満たされていない場合に警告を行う非強制監査モードで BinAuthz を使用することもできます。BinAuthz の導入は、Google Cloud におけるインサイダー リスクの低減、起こりうる攻撃の阻止、Google Cloud の本番環境システムの均一性のサポートに役立ちます。特権アクセスの管理では、個人によるデータへのアクセスのすべてが認可されたものであることの確認に重点を置いていますが、デプロイの整合性では、プログラムによるデータへのアクセスが認可されたものであることを確認します。この検証により、顧客データへのプログラムによるすべてのアクセスと本番環境への変更が監査証跡を生成することが保証されます。
Google Cloud の対応
Google のインフラストラクチャは、Borg というクラスタ管理システムを使用する高度にスケーラブルなシステム向けに設計されています。Google は、複数のクラスタでさまざまなアプリケーションの数十万のジョブを実行しています。各クラスタには、最大数万台のマシンが存在します。これにより、Google の本番環境はかなり均質的になり、ユーザーデータへのアクセス タッチポイントをより簡単に制御、監査できます。BinAuthz はデプロイ時の強制適用サービスを提供して、不正なジョブが開始されないよう阻止します。また、BinAuthz 対応のジョブでは、使用されたコードと構成の監査証跡も提供されます。
Binary Authorization for Borg のホワイトペーパーで詳細を見るサービス スイート
- Compute Engine
- Cloud Storage
- クラウド ネットワーキング
- Cloud SDK
- Identity and Access Management
事実
プレビュー中または一般提供中のすべての Google Cloud サービスでは、顧客データにアクセスできるジョブで Binary Authorization for Borg を有効にする必要があります。
コンプライアンス状況
クラウドへの移行は、複雑な法令要件の遵守やフレームワーク、ガイドラインへの準拠を実現、維持しながら、機密性の高いワークロードを保護することを意味します。また、これらの要件は、リージョンや業界によって異なります。これらの要件が規制当局により義務付けられていることも、信頼できる標準化団体により作成されていることもあります。Google Cloud は、世界中の多くの業界のお客様をサポートしています。また、お客様がビジネスを遂行できるようにするためにコンプライアンスのニーズをサポートすることの重要性を理解しています。Google Cloud は、独立した機関によるセキュリティ、プライバシー、コンプライアンス管理に関する監査を定期的に受けており、世界各地の基準に照らした認証、コンプライアンス証明書、監査レポートを取得しています。正式な認証や証明書が必須ではない、または適用されないフレームワークと法令に対するリソース ドキュメントとマッピングも作成しています。
すべてのコンプライアンス状況を見るポイント
Google は、独立した機関による Google プロダクトのセキュリティ、プライバシー、コンプライアンス管理に関する監査を受ける必要があること、および、世界各地の基準に照らした認証、コンプライアンス証明書、監査レポートを取得することがお客様の信頼を得るうえで重要であることを理解しています。このような独立した監査機関が Google のデータセンターやインフラストラクチャ、運用における管理状況を厳格に検査しています。これらの認定には、最も広く認識され、国際的に受け入れられている独立したセキュリティ標準が含まれます。これには、ISO/IEC 27001(セキュリティ制御)、ISO/IEC 27017(クラウド セキュリティ)、ISO/IEC 27018(クラウド プライバシー)、AICPA SOC 1、2、3 などがあります。これらの認定は、CSA STAR や PCI-DSS などの業界標準やその他のさまざまな各国の標準の要求を満たすうえで役立っています。Google は、お客様のコンプライアンス遵守をサポートするために、コンプライアンス状況のリストをグローバルに拡大し続けています。
Google Cloud の対応
Google のサービスは、独立した機関によるセキュリティ、プライバシー、コンプライアンス管理に関する監査を定期的に受けており、世界各地の基準に照らした認証、コンプライアンス証明書、監査レポートを取得しています。Google は毎年、一般提供(GA)に近づくサービスを評価し、それらサービスを詳細に調べて主要な監査サイクルに入れています。
特定のコンプライアンス状況を Google がどのように遵守しているかに関する詳細については、コンプライアンス レポート マネージャーのページにアクセスして、主要なコンプライアンス フレームワークの第三者機関による監査レポートをご覧ください。
サービス スイート
- Compute Engine
- Cloud Storage
- クラウド ネットワーキング
- Cloud SDK
- Identity and Access Management
事実
正式な証明書や認証を必要とするコンプライアンス状況はすべて、独立した第三者機関により検証されます。
第三者機関による監査レポートを見る