オンプレを選んだ理由は「なんとなくクラウドが怖いから」からの卒業、パブリッククラウドのセキュリティの真実

オンプレを選んだ理由は「なんとなくクラウドが怖いから」からの卒業、パブリッククラウドのセキュリティの真実

ビジネス

投稿日:2018/10/26 | 最終更新日:2018/11/15

はじめに

これまで企業の IT インフラは、自前で社内に構築するオンプレミスが主流でした。しかし、クラウドサービスが普及し、オンプレミスでの IT インフラ構築することを卒業する企業も増えてきました。

オンプレミスで IT インフラを構築する理由として、セキュリティ強化を挙げる企業も多かったのですが、近年、クラウドサービスのセキュリティも強化されており、オンプレミスよりも安心して利用できるようになっています。

クラウドサービスへのセキュリティに不安を感じる方のために、今回は、クラウドサービス Google Cloud Platform ( 以下 GCP )のセキュリティの真実と題して、クラウドサービスのセキュリティの状況について説明します。

データの暗号化

GCP は、データを保存する際、データをディスクに書き込む前に自動で暗号化して保存する仕組みになっています。オプションで暗号化を選択するのではなく、常に暗号化する仕様になっているため、ユーザーは選択する必要がありません。

データ保存の暗号化は、様々な暗号鍵オプションを用意しているため、ユーザーのニーズに合わせて選ぶことができるようになっています。

GCP では、データをストレージへ保存する際、サブファイルを固まりに分割します。それぞれの固まりは、個別の暗号鍵を使ってストレージ単位に暗号化されます。サブファイルから分割された固まりを暗号化するための鍵は、「データ暗号鍵( DEK )」と呼ばれています。 DEK は、さらに「鍵暗号鍵( KEK )」を使用して暗号化されています。 DEK 自体が、KEK という一連のマスターキーによって暗号化されているのです。

鍵と暗号化ポリシーは、 Google の本番環境サービスと同じ方法で管理されているため、非常に厳重となっています。

さらにオプションとして、Cloud KMS を使用したユーザー管理の暗号鍵( CMEK )、ユーザー供給の暗号鍵( CSEK )も利用できるようになっています。

CMEK では、クラウドサービスが直接利用できるよう、鍵をクラウドに保存できます。CMEK は、任意の GCP サービスで、アプリケーションレイヤの暗号化が行えます。

CSEK では、鍵をオンプレミスで保存し、クラウドサービスの暗号化に使用します。

情報セキュリティチーム

Google セキュリティモデルの中核として、情報セキュリティチームを設置しています。情報セキュリティチームは、情報、アプリケーション、ネットワークのセキュリティに携わる優秀なエキスパートにより構成されています。このチームは Google の防御システムの運用、セキュリティレビュープロセスの開発、セキュリティインフラストラクチャの開発、Google のセキュリティポリシーの適用などを担当しています。

データセンターの物理セキュリティ

Google のデータセンターは多層セキュリティモデルを採用しており、カスタム設計された電子アクセスカード、警報、車両セキュリティ ゲート、外周フェンス、金属探知機、生体認証などによる安全対策が徹底されています。データセンターのフロアには、レーザー光線による侵入検知システムが導入されています。

データセンターには、24時間 365 日稼働する高解像度の棟内外監視カメラが設置されており、侵入者の検知と追跡に対応します。インシデントが発生した際は、アクセスログ、アクティビティ記録、カメラ映像を精査します。このほか、厳格な身元調査に合格し、厳しい訓練を受けた経験豊かな警備員がデータセンターを定期的に巡回しています。

サーバーとソフトウェア・スタックのセキュリティ

Google では同一のカスタム開発されたサーバーが何万台も稼働しています。ハードウェアやネットワークからカスタムの Linux ソフトウェア・スタックまで、全て高度なセキュリティを念頭に設計されています。スタック全体を所有し均一性を保つことでセキュリティ侵害の対象範囲を縮小でき、脅威に素早く対応することができます。

独自開発したチップを使用したサーバー

サーバーが問題なく稼働させられることが、クラウドサービスにおいて求められます。Google は、サーバーの稼働を確立する目的に特化した Titan というセキュリティチップを開発しました。Titan は、システムファームウェアやソフトウェアコンポーネントの検証を可能にするとともに、ハードウェアに搭載されたルート・オブ・トラスト技術(常に期待通りに信頼できる動作をする基点)により強力なシステム ID を確立しています。

安全なサービス API と認証アクセス

すべてのサービスは、安全なグローバル API ゲートウェイ・インフラストラクチャを通じて管理されています。API を支えるこのインフラストラクチャは、暗号化された SSL / TLS チャネルからのみアクセスでき、どのリクエストも人間がログインしたときに生成される時間制限付き認証トークン、または2段階認証システムを通じて配信される秘密鍵ベースの認証を使用する必要があります。

GCP のリソースへのアクセスは、他の Google サービスでも使われている認証インフラストラクチャを通じて制御されます。これは、既存の Google アカウントを使うか、規制された Google 管理ドメインを設定する必要があるということです。ユーザー管理で利用できる機能には、パスワード ポリシー、2 段階認証プロセスの適用、ハードウェア・セキュリティキーの形式で提供される認証対策があります。

安全なグローバルネットワーク

世界中のほぼすべての ISP と接続されていることから、Google のグローバルネットワークを使用するとデータ転送の際の公衆網におけるホップ数が少なくなり、セキュリティが高まります。Cloud Interconnect とマネージド VPN を組み合わせることで、オンプレミスのプライベート IP 環境と Google ネットワーク間で暗号化されたチャネルを構築できます。これにより、公衆網からインスタンスを完全に切り離しながら、ユーザーのプライベートインフラストラクチャからアクセスすることができます。

まとめ

今回は、 GCP のセキュリティ仕様を通じて、クラウドセキュリティの真実について説明しました。 GCP では、セキュリティチームを結成し、通信を暗号化するだけでなく、データ保存まで暗号化しています。また、サーバーにおいても、独自に開発したチップを使用することで、信頼性の高い稼働を行うようになっています。
GCP は、このような高度のセキュリティにより構築されたサービスであることから、安心して利用できると言えるでしょう。

GCP のメリットを最大限に活用しよう!

GCP・G Suite のご相談・
お見積り依頼はお気軽に
TEL.03-5840-8815
お問合せフォーム TEL.03-5840-8815