セキュリティとプライバシーの留意事項

概要

このヘルプでは、gsutil で実施されているデータ保護対策について詳しく説明します。また、ユーザーがセキュリティを維持するために行う対策についても紹介します。

Transport Layer Security

gsutil は、トランスポート層の暗号化(HTTPS)を使用してすべての操作を実行しています。これにより、共有ネットワークからの情報漏洩を防いでいます。gsutil では、認証で署名なしトークン(OAuth2)と再開可能アップロードの ID を使用していますが、これらのトークンを盗聴や再利用から保護する必要があります。

gsutil は、XML API を使用した古い HMAC 形式の認証もサポートしています(gsutil help apis をご覧ください)。HMAC 認証では、署名なしトークンを使用していないため、盗聴やリプレイ攻撃の可能性はありませんが、データのトラフィックは暗号化する必要があります。

リリース 4.0 より前の gsutil では、boto 構成ファイルの [Boto] セクションで"is_secure" 構成パラメータを False に設定すると、HTTPS ではなく HTTP を使用できました。ただし、gsutil バージョン 4.0 以降では、is_secure を False に設定することはできません。認証情報オプションの詳細については、gsutil help creds をご覧ください。

ローカル ファイル ストレージのセキュリティ

gsutil では、さまざまな対策を行って、ローカルに保存されたファイルを保護しています。

  • gsutil config(Cloud SDK の場合には gcloud)コマンドを実行すると、生成された .boto 構成ファイルにファイル保護モード 600("-rw-------")が設定されます。このファイルを読み取ることができるのは、このコマンドの実行者とスーパーユーザーだけです。このファイルには、認証情報やプロキシ構成など、セキュリティに影響を及ぼす情報が含まれているので、この保護対策は重要です。
  • gsutil config(Cloud SDK の場合には gcloud)コマンドを実行してサービス アカウントの認証情報を作成すると、ローカルに保存される秘密鍵ファイルにファイル保護モード 600 が設定されます。
  • デフォルトのロギングレベルでは、OAuth2 トークンやプロキシ情報など、セキュリティに影響を及ぼす情報は gsutil コマンドのログ出力に含まれません。デバッグを行う場合、gsutil -D オプションを使用すると、ログの出力レベルを上げることができます。詳細は、以下の「ユーザーが実施する予防策」をご覧ください。

Windows では保護モードが使用できません。Windows で gsutil を使用する場合には、ファイル システムを暗号化し、アカウントのパスワードを強化することをおすすめします。

gsutil がディスクに一時的に書き込む重要なファイル

gsutil は一時ファイルのデータをバッファに格納します。たとえば、次のような場合にバッファを使用します。

  • 圧縮されたデータが gsutil cp -z/-Z でアップロードされると、gsutil は一時ファイルのデータに保護モード 600 を設定し、バッファに保存します。この一時ファイルは、アップロードの完了後に削除されます。gsutil cp -z/-Z でアップロードされたファイルや、Content-Encoding が "gzip" に設定されているプロセスの場合も同様です。ただし、アップロードの実行中に gsutil プロセスを終了すると、部分的に書き込まれたファイルが残ります。一時ファイルの書き込み先や一時ディレクトリの場所を変更する方法については、gsutil help cp の「一時ディレクトリの変更」をご覧ください。
  • 再開可能なアップロードを実行すると、gsutil は ~/.gsutil/tracker-files の下にアップロード ID を保存し、保護モード 600 を設定します。前述のように、これは署名なしトークンで、安全に保護する必要があります。これらのファイルはアップロードの完了後に削除されます。ただし、アップロードが正常に完了しないと、再開可能なアップロードを後で実行できるように、トラッカー ファイルが残ります。このトラッカー ファイルにはアップロード試行失敗の記録が蓄積されていきます。再開可能アップロードの ID の有効期間は 1 週間で、経過日数が 1 週間に満たないファイルはセキュリティ リスクが存在する可能性があります。中止したアップロードの ID がトラッカー ディレクトリに残っていると、リスクが非常に高くなります。アップロード スクリプトを変更して、トラッカー ファイルを削除するか、cron ジョブを使用して転送ディレクトリを定期的に消去してください。
  • gsutil rsync コマンドを実行すると、一時ファイル(保護レベル 600)が生成されます。このファイルには、名前、サイズ、元のファイルのチェックサム、宛先のディクショナリ / バケットなどの情報が含まれます。これらの情報は、rsync の完了後に削除されます。 ただし、rsync がファイルの一覧を作成しているときに、gsutil プロセスを終了すると、ファイルが削除されずに残ります。

gsutil は、標準の OS unlink システム呼び出しを使用して、一時ファイルを削除します。この呼び出しでは、データワイプを行いません。このような一時ファイルのコンテンツは簡単に復元されてしまいます。

アクセス制御リスト

別の ACL(たとえば、gsutil cp -a の実行)を指定しない限り、バケットに書き込まれたデフォルト オブジェクトはそのバケットに設定されたデフォルトのオブジェクト ACL を使用します。この ACL を変更しない限り(gsutil defacl コマンドで実行)、すべてのプロジェクト編集者にオブジェクトへの書き込みが許可され、オブジェクトのメタデータへの読み取りと書き込みが許可されます。また、すべてのプロジェクト閲覧者にオブジェクトへの読み取り権限が許可されます。

Cloud Storage のアクセス制御システムには、オブジェクトが一般公開で読み取り可能であることを指定する機能が含まれています。この権限を公開して書き込むオブジェクトすべてについて、それが意図したものであることを確認してください。いったんインターネットに公開したデータは、多くの場所にコピーされるため、この権限付きで書き込まれたオブジェクトに対する読み取り制御を回復することは、事実上不可能です。

Cloud Storage のアクセス制御システムには、バケットが一般公開で書き込み可能であることを指定する機能が含まれています。この方法でバケットを構成することは多く点で便利ですが、この権限は使用しないようにしてください。不正なコンテンツ、ウィルスなどのマルウェアの配布に悪用される可能性があり、バケットに保存されたコンテンツに対する法的および金銭的な責任はバケットの所有者にあります。Google アカウントのないユーザーにコンテンツを公開する場合には、署名付きの URL を使用してください(gsutil help signurl をご覧ください)。

ソフトウェアの整合性と更新

gsutil は、スタンドアロン バンドルとして gs://pub bucket から tar または zip ファイルで配布されています。また、PyPi モジュールや Cloud SDK のバンドルとしても利用できます。ソフトウェアの整合性を保護するため、これらの配布方法ではさまざまなセキュリティ対策が行われています。これ以外の提供元(ミラーサイトも含む)から gsutil のコピーは取得しないでください。

プロキシの使用

gsutil は、Squid や多くの市販製品と同様に、プロキシ経由のアクセスに対応しています。このドキュメントではプロキシの機能について詳しく説明しませんが、ウィルス スキャン、情報漏洩防止、証明書 / CA の信頼性に対する制御、コンテンツ タイプによるフィルタリングなど、多くのセキュリティ関連の機能をサポートするようにプロキシを設定できます。これらの機能を使用すると、処理速度が遅くなったり、正規の gsutil の動作がブロックされる場合があります。たとえば、ウィルス スキャンはファイルのコンテンツを復号しますが、この機能を実行するには、プロキシが gsutil との接続を終了し、新しい接続を確立する必要があります。このとき、プロキシがコンテンツを書き換え、チェックサムの検証でエラーが発生する場合もあります。

.boto 設定ファイルに記述されているプロキシのヘルプテキストを参照して、プロキシを適切に設定してください。この設定ファイルは、gsutil config または gcloud init コマンドを実行すると生成されます。

保存時の暗号化

Cloud Storage のデータはすべて暗号化された状態で保存されています。詳細については、サーバー側の暗号化をご覧ください。

また、独自の暗号化キーも使用できます。詳細については、gsutil help encryption をご覧ください。

データのプライバシー

Google が、認証情報やパスワードなど、セキュリティに影響を及ぼす情報をユーザーに確認することはありません。Google の社員を装い、このような情報を確認する詐欺行為が起きる可能性があります。十分に注意してください。

測定データ

gsutil perfdiag コマンドを実行すると、パフォーマンス関連のさまざまな測定データが収集されます。また、ローカル システムやネットワーク環境の情報も収集されます。これらの情報は、パフォーマンスの問題を解決するために使用されます。ユーザー自身が送信を選択しない限り、この情報が Google に送信されることはありません。