Google Cloud Platform のセキュリティ

Google セキュリティ モデル

Google セキュリティ モデルはエンドツーエンドのプロセスであり、Gmail や Google アプリをはじめとする Google アプリケーションでお客様のセキュリティを保護してきた 15 年以上の経験を基盤としています。Cloud Platform では、Google のセキュリティ モデルをお使いのアプリケーションやデータでもご利用いただけます。Google のセキュリティ モデルについて詳しくは、セキュリティ、インフラストラクチャのセキュリティ設計の概要、保存時の暗号化、転送時の暗号化、Application Layer Transport Security の各ホワイトペーパーをご覧ください。

Niels Provos による GCP セキュリティの概要

情報セキュリティ チーム

Google セキュリティ モデルの中核にある情報セキュリティ チームは、情報、アプリケーション、ネットワークのセキュリティに携わる優秀なエキスパートで構成されています。このチームは Google の防御システムの運用、セキュリティ レビュー プロセスの開発、セキュリティ インフラストラクチャの開発、Google のセキュリティ ポリシーの適用などを担当しており、Heartbleed 脆弱性の発見、ソフトウェアのセキュリティ問題の報告に対する報奨金制度の開始、「常時 SSL 化」ポリシーの導入などの優れた業績を挙げています。

情報セキュリティ チームの詳細

データセンターの物理セキュリティ

Google のデータセンターは多層セキュリティ モデルを採用しており、カスタム設計された電子アクセスカード、警報、車両セキュリティ ゲート、外周フェンス、金属探知機、生体認証などによる安全対策が徹底されています。データセンターのフロアには、レーザー光線による侵入検知システムが導入されています。

データセンターには 24 時間 365 日稼働する高解像度の棟内外監視カメラが設置されており、侵入者の検知と追跡に対応します。インシデントが発生した際は、アクセスログ、アクティビティ記録、カメラ映像を精査します。このほか、厳格な身元調査に合格し、厳しい訓練を受けた経験豊かな警備員がデータセンターを定期的に巡回しています。データセンターに足を踏み入れたことのある Google 社員は、1% もいないでしょう。

データセンターの物理セキュリティの詳細

サーバーとソフトウェア スタックのセキュリティ

Google では同一のカスタム開発されたサーバーが何万台も稼働しています。ハードウェアやネットワーキングからカスタムの Linux ソフトウェア スタックまで、すべてセキュリティを念頭に設計しました。スタック全体を所有し均一性を保つことでセキュリティ侵害の対象範囲を縮小でき、脅威に素早く対応することができます。

サーバーとソフトウェア スタックのセキュリティの詳細

トラステッド サーバー ブート

サーバーのブートプロセスを保護する唯一の方法は、常に期待どおりに動作すると信頼できるエンティティによってプロセスの安全性を確保することです。Google は、この信頼の基点（ルート オブ トラスト）を確立する目的に特化した Titan というセキュリティ チップを開発しました。Titan は、システム ファームウェアやソフトウェア コンポーネントの検証を可能にするとともに、ハードウェアに搭載されたルート オブ トラスト技術により強力なシステム ID を確立します。

トラステッド サーバー ブートと Titan の詳細

データアクセス

Google には、顧客情報を守るための制御と手順があります。Google アプリケーションやストレージ スタックのレイヤでは、他のコンポーネントからのリクエストの認証や許可をする必要があります。本番稼働中のアプリケーション管理を担当するエンジニアも、本番環境にアクセスする際には制御対象となります。エンジニアのアクセスを定義する一元的なグループおよび役割管理システムでは、短時間のみ有効な公開鍵証明書を使った認証のセキュリティ プロトコルを採用し、本番環境にアクセスするエンジニアの権限を定義、制御しています。また、個人向け証明書を発行するだけでなく 2 段階認証プロセスを導入してこれを保護しています。

データアクセスについての詳細

データの消去

Google のシステムから外されたハードディスクには顧客情報が含まれているため、Google の敷地外へ持ち出す前にデータ破棄プロセスにかけられます。まず初めに、ディスクは Google セキュリティ チームが承認した権限のある担当者によって論理的にデータ消去されます。その後、別の権限を持つ担当者が 2 度目のチェックを行い、ディスクから完全にデータが消去されたことを確認します。こうした消去結果は、追跡できるようドライブのシリアル番号別に記録されます。最後に、データ消去されたドライブは再利用や再配備に向けて在庫に加えられます。ハードウェア障害のためにドライブからデータを消去できない場合は、物理的に破壊できるまで安全な場所で保管されます。各データセンターは週単位で監査を受け、ディスク消去ポリシーを遵守しているかどうかを検査します。

データ消去についての詳細

プラットフォームのセキュリティ機能

Google Cloud Platform を含むすべての Google サービスでは、設計および開発要件の中核にセキュリティが組み込まれています。さらに、Google のサイト信頼性エンジニアリング チームはプラットフォーム システムの運用状況を監視して高可用性を保証し、プラットフォーム リソースの悪用を防止します。サービス固有のセキュリティ機能はサービス別のドキュメントに記載されていますが、いずれも特定のプラットフォーム全体の機能に寄与します。

安全なサービス API と認証アクセス

すべてのサービスは、安全なグローバル API ゲートウェイ インフラストラクチャを通じて管理されます。API を支えるこのインフラストラクチャは、暗号化された SSL / TLS チャネルからのみアクセスでき、どのリクエストも人間がログインしたときに生成される時間制限付き認証トークン、または前述の認証システムを通じて配信される秘密鍵ベースの認証を使用する必要があります。

Google Cloud Platform のリソースへのアクセスは、他の Google サービスでも使われている堅牢な認証インフラストラクチャを通じて制御されます。つまり、既存の Google アカウントを使うか、規制された Google 管理ドメインを設定する必要があるということです。ユーザー管理で利用できる機能には、パスワード ポリシー、2 段階認証プロセスの適用、ハードウェア セキュリティ キーの形式で提供される新しい革新的な認証対策があります。

ロギング

ウェブ リクエスト、ストレージ バケット アクセス、ユーザー アカウント アクセスなど、すべてのプラットフォーム API リクエストはログに記録されます。Cloud Platform のツールを使うと、Compute Engine、App Engine、BigQuery、Cloud SQL、Deployment Manager、Cloud VPN、Cloud Storage のオペレーションやアクセスのログを参照できます。

データ暗号化

Cloud Platform サービスは、保存されている顧客コンテンツを常に暗号化します。ただし次のような例外があります。暗号化は自動で行われ、ユーザーによる操作は必要ありません。1 つ以上の暗号化メカニズムが使用されます。たとえば、永続ディスクに保存されるすべての新規データは 256 ビット AES（AES-256）で暗号化され、暗号鍵自体も定期的に変更されるマスターキーによってそれぞれ暗号化されます。Google Cloud Platform のデータにおける暗号化や鍵管理ポリシー、暗号ライブラリ、トラストのルートは、Google Docs、Gmail、Google の自社データを含む多くの Google の本番環境サービスでも採用されています。

暗号化オプションの詳細

安全なグローバル ネットワーク

世界中のほぼすべての ISP と接続されていることから、Google のグローバル ネットワークを使用するとデータ転送の際の公衆網におけるホップ数が少なくなり、セキュリティが高まります。Cloud Interconnect とマネージド VPN を組み合わせれば、オンプレミスのプライベート IP 環境と Google ネットワーク間で暗号化されたチャネルを構築できます。これにより、公衆網からインスタンスを完全に切り離しながら、お客様のプライベート インフラストラクチャからアクセスすることができます。

転送時の暗号化の詳細

侵入検知

Google の侵入検知では、再発防止策を介して Google の攻撃される範囲や新たな攻撃対象を厳しく制御するほか、データ エントリ ポイントでインテリジェントな検知制御を採用、特定の危険な状況を自動で修復する技術を適用しています。

セキュリティ審査

App Engine デベロッパーは Cloud Security Scanner を使うことで、特にクロスサイト スクリプティング（XSS）や、ウェブ アプリケーションに混在するコンテンツなどの最も一般的な脆弱性を特定できるようになります。

Google Cloud Platform プロジェクトの安全性確保

Google はお客様のプロジェクトの安全性を一部担いますが、セキュリティに対する責任は Google 単体ですべてを担えるものではなく、お客様の協力が不可欠です。プロジェクトの安全性を確保するためにお使いいただける機能をいくつか用意しました。

オペレーティング システムとアプリケーションのパッチ適用

Google Compute Engine と Google Kubernetes Engine は、仮想マシン（VM）を使用しています。これらの技術をプロジェクトに導入する場合、VM のオペレーティング システムとアプリケーションに最新のセキュリティ パッチを適用して最新の状態に保つことは、お客様の責任です。Google では、ホスト OS 環境のセキュリティとパッチ適用を実施しています。

ユーザーとログイン情報の管理

Google Cloud Platform では、プロジェクト レベルでユーザー権限を設定できます。チームメンバーに付与するアクセス権限は必要最小限にとどめてください。

ネットワーク ファイアウォールのルール管理

既定では、ネットワークの外部から受信するすべてのトラフィックはブロックされます。ファイアウォールのルールに明示されていない限り、VM インスタンスでパケットを許可することはありません。ネットワーク トラフィックを受けるには、ファイアウォールでその接続を許可するよう設定する必要があります。こうしたネットワーク アクセス権に関するアプローチでは、コンピューティング インスタンスに到達するトラフィックの発信元や種類を指定できます。

ペネトレーション テスト

Google Cloud Platform のセキュリティを評価するためにペネトレーション テストを行う際に、Google へ連絡する必要はありません。ただし、Google Cloud Platform の利用規定ポリシーと利用規約を遵守し、テストの影響が他のお客様のアプリケーションに及ぶことなく、お客様のプロジェクトに限定されるようにする必要があります。脆弱性を発見した際は、脆弱性報奨金プログラムまでご報告ください。

機密データの管理

データの重要性はその性質により異なります。Google Cloud Platform では、安全なアプリケーションの構築に必要な基本機能を提供していますが、これらのデータの適切な移動やアクセスをアプリケーション レベルで制御するのはお客様の責任です。これには、エンドユーザーが企業ネットワークやパブリック クラウド インフラストラクチャの外で重要な情報を共有しないよう防ぐ対策（データ損失防止）も含まれます。また、個人を特定できるデータ（個人情報）についても安全に保護する必要があります。詳しくは、データ損失の防止をご覧ください。

ロギングとモニタリング

Google Cloud Platform には Google Cloud Logging や Google Cloud Monitoring などのツールがあり、リクエストログを簡単に収集、分析でき、インフラストラクチャ サービス（VM インスタンスなど）の可用性をモニタリングできます。これらのツールでは、カスタム ダッシュボードの作成やインシデント発生時のアラートの設定なども簡単に行えます。

PCI および HIPAA 規制へのコンプライアンス

Google のコンプライアンスに関するドキュメントには、EU データ保護指令を含む特定の規制措置への準拠におけるお客様の役割がわかりやすく記載されています。