セキュリティ
責任共有モデルに基づき、クラウド事業者の責任の範囲について、どのようにセキュリティが確保されているかを理解することは重要です。
Google Cloud のセキュリティ
Google にはグローバル規模のインフラストラクチャがあり、情報処理ライフサイクル全体でセキュリティを確保できるように設計されています。 このインフラストラクチャにより、サービスの安全なデプロイ、エンドユーザーのプライバシー保護を備えたデータの安全な格納、サービス間での安全な通信、インターネット経由の安全な通信、管理者による安全な操作が可能になります。
インフラストラクチャのセキュリティは、複数の階層からなる階層構造で設計されています。まず、データセンターの物理的なセキュリティがあり、次にインフラストラクチャの基礎となるハードウェアとソフトウェアのセキュリティがあり、最後にオペレーションのセキュリティをサポートする技術的な制限やプロセスがあります。
また、Google Cloud 上のデータは、Google Cloud への転送時および保存時に自動的に暗号化されます。データの保存時において、データは複数のチャンク(かたまり)に分割されます。各チャンクは、個別の暗号鍵でストレージ レベルで暗号化されます。チャンクのデータを暗号化するための鍵は、「データ暗号鍵(DEK)」と呼ばれています。Google で使用する鍵は膨大な数にのぼり、また低レイテンシと高可用性を実現する必要があるため、これらの鍵は暗号化対象のデータの近くに保存されます。DEK は、「鍵暗号鍵(KEK)」を使用して暗号化(ラップ)されます。KEK を管理するために使用する鍵管理ソリューションは、お客様が選択できます。
Google Cloud のコンプライアンス
Google は、世界各国で定められている各種規制に加え、政府機関、教育、医療などさまざまな業種の規制にも準拠しています。Google のサービスにはお客様がコンプライアンス要件を満たすために必要なツールや管理機能が組み込まれているため、安心してご利用いただけます。 Google Cloud が取得している認証の一覧は、下記の URL にて確認することができます。またそれぞれのコンプライアンスに専用ページが設けられており、詳細を確認することができます。
また、実際の各種監査レポートは「コンプライアンス レポート マネージャー」サイトより入手いただけます。
なお、準拠法、および管轄裁判所につきまして、日本の官公庁や公共機関のお客様に対しては、所定の調達条件等に沿う形で、書面での契約においては、契約の準拠法を日本法とし、合意管轄裁判所を東京地方裁判所と設定しております。詳細については、下記の記事をご参照ください。
アクセス制御
Google Cloud では、Google アカウントが認証に使用されます。開発者や運用担当者が Google Cloud にアクセスするには、Google アカウントが必要です。Cloud Identity を使用して、会社や組織のドメイン名に Google アカウントを関連付けることをお勧めします。これにより、開発者や管理者は会社や組織のメール ID を使用して Google Cloud にアクセスできるとともに、ユーザーアカウントを一元管理することができます。
Google Cloud リソースのアクセス管理には、Cloud Identity and Access Management(IAM)が使用されます。Cloud IAM を使用して、特定のリソースに対するアクセス権限を詳細に設定でき、セキュリティを高めることができます。
アクセス権限は、ユーザー アカウントに直接権限を割り当てるのではなく、ロールを使用します。ロールは権限のコレクションであり、ユーザーアカウントにはロールを割り当てます。これにより、アクセス権限の管理を容易かつ柔軟にしています。
ロールは Google Cloud リソースに応じて、一般的なユースケースに利用できるロールが事前に定義されています。カスタムロールを作成することも可能です。
アクセス制御を実施する際のポイントは、下記のとおりです。
最小権限のセキュリティが原則でリソースに対して必要最低限のアクセス権を付与します。
同じ業務に携わるユーザーをグループにまとめ、IAM のロールを個々のユーザーではなく、グループに割り当てます。
Google Cloud における組織や Cloud IAM の構成などについて、下記ドキュメントもあわせてご参照ください。
監査証跡
開発者や運用担当者が、Google Cloud のリソースをどのように使用しているかを追跡することも重要です。Cloud Audit Logs を使用すると、Google Cloud プロジェクト内で、いつ、誰が、何を行ったかを調べるのに役立ちます。Cloud Audit Logs は下記 4 種類のログを取得します。
管理アクティビティ監査ログ: リソースの構成またはメタデータを変更する API の呼び出しなどのログが含まれます。たとえば、VM インスタンスを作成したり、IAM 権限を変更した際に記録されます。管理アクティビティ監査ログは常に有効で、無効にすることはできません。
システムイベント監査ログ: リソースの構成を変更するアクションのログが含まれます。システムイベント監査ログは、Google システムによって生成されます。直接的なユーザーのアクションでは生成されません。システムイベント監査ログは常に有効で、無効にすることはできません。
ポリシー拒否監査ログ : セキュリティ ポリシー違反のため、Google Cloud サービスがユーザーまたはサービス アカウントへのアクセスを拒否したときに、ポリシー拒否監査ログを記録するものです。ポリシー拒否監査ログは既定で作成されますが、ログの除外を構成することで、Cloud Logging への取り込み対象から除外できます。これにより、ログにかかる費用を抑えることができますが、セキュリティ上重要なシステムにおいては、この構成は推奨しません。
データアクセス監査ログ: リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。データアクセス監査ログは非常に大きくなる可能性があるため、既定で無効になっています。読み取りに対しても監査ログを収集する必要性がある場合など、システムの性質にあわせて、データアクセス監査ログを有効にしてください。
Google Cloud セキュリティ サービス
Google Cloud では、さまざまな観点からセキュリティを強化するサービスを数多く提供しています。より高いセキュリティ要件が求められる場合、これらセキュリティ サービスを活用することをお勧めします。代表的なセキュリティ サービスには、下記のものがあります。
Security Command Center
Google Cloud サービスのアセットを検出し、変更履歴の管理、セキュリティ状態の可視化、脅威の検出と予防を行います。Cloud Armor
分散型サービス拒否(DDoS)攻撃や、クロスサイト スクリプティング、SQL インジェクションなどの攻撃や、さまざまな脅威からアプリケーションを保護します。Cloud Identity-Aware Proxy
ユーザー ID を確認し、コンテキストを使用して、アプリケーションや仮想マシンにアクセスを許可すべきかどうかを判断したり、VPN を使用せずに、信頼できないネットワークにアクセスしたりすることが可能なゼロトラストのアクセスモデルを実装します。Cloud Key Management Service(KMS)
クラウド サービスで暗号鍵の作成や管理の一元化を可能にします。Cloud HSM
Google により、管理されている FIPS 140-2 レベル 3 認定 HSM のクラスタで、暗号鍵の管理や操作を可能とするクラウドでホストされたハードウェア セキュリティ モジュール(HSM)サービスです。Cloud HSM は、Cloud KMS をフロントエンドとして使用し、Cloud KMS によって提供される利便性と機能を活用できます。