GCP サービスとデータの保護、管理を支援するセキュリティの新しい方法
Google Cloud Japan Team
「セキュリティはプロセスであり、ゴールではない」とよく言われますが、今年 3 月にニューヨークで開催された CEO Security Forum に向けて準備をしていたときに、あらためてこのことを実感しました。私たちはこのイベントで、Google Cloud ポートフォリオ全体にわたってセキュリティに関する 20 以上の発表を行いました。
Google Cloud Platform(GCP)で私たちが目指しているのは、長い時間をかけて作り上げた強力な基盤をベースに改良を続け、安全でスケーラブルな環境をお客様が構築できるよう支援することです。この投稿では、GCP のセキュリティ関連の発表について紹介します。なお、新しい GCP プロダクトの一部については、別の投稿でも詳しく取り上げます。
1. VPC Service Controls Alpha で機密データを秘匿
フルマネージドの GCP 技術をビッグデータ分析やデータ処理、ストレージに活用することを目指しながらも、ネットワークの外部にあるクラウドに機密データを置くことに二の足を踏む組織は少なくありません。新しい VPC Service Controls は、こうした企業をターゲットに、データの秘匿性確保を支援する追加の保護レイヤを提供します。VPC Service Controls(現時点ではアルファ リリース)は、Google Cloud Storage や BigQuery、Cloud Bigtable など、API ベースの GCP サービスに保存されたデータにセキュリティ境界を作成します。セキュリティ境界は、ID の盗難、IAM ポリシーの誤構成、悪意ある内部者、侵害された仮想マシンによるデータ漏洩リスクの軽減に役立ちます。
このマネージド サービスにより、企業は Cloud VPN か Cloud Dedicated Interconnect を用いて、クラウド リソースとハイブリッド VPC ネットワーク間のプライベート通信を構成できます。オンプレミス ネットワークから GCP サービスへとデータの境界セキュリティを拡大することで、企業は自信を持ってデータをクラウドに保存し、オンプレミス環境やクラウド ベース VM からアクセスできます。
また、Access Context Manager 機能により、VPC Service Controls はクラウド リソースに対するコンテキスト ベースのアクセス制御を可能にすることで、セキュリティをさらに強化します。Access Context Manager を使用すると、ユーザーのいる場所や IP アドレスのような属性を基に、きめ細かなアクセス制御ポリシーを作成できます。こうしたポリシーによって、インターネットを介したクラウド リソースへのアクセスを許可する際に、適切なセキュリティ管理が確実に行われます。
Google Cloud は、ほとんどの組織がオンプレミス物理環境で達成できるレベルをはるかに上回るシンプルさ、速度、柔軟性を兼ね備えた API ベースの仮想セキュリティ境界を提供する、初のクラウド プロバイダーとなります。
VPC Service Controls を試してみたい方は、近く行われるベータ プログラムにお申し込みください。
2. Cloud Security Command Center Alpha でデータとアプリのリスクを把握
クラウドで動かすアプリケーションが増えるにつれて、クラウド資産の規模やそれらのリスクを把握することが難しくなります。新しい Cloud Security Command Center(Cloud SCC、現時点ではアルファ リリース)を使用すれば、クラウド資産のインベントリの表示とモニタリング、ストレージ システムのスキャンによる機密データの特定、一般的なウェブ脆弱性の検出、重要なリソースへのアクセス権のレビューがすべて、1 つの集中管理ダッシュボードから行えます。Cloud SCC は、App Engine、Compute Engine、Cloud Storage、Cloud Datastore といった GCP サービスのセキュリティ状態や健全性を掘り下げて表示します。DLP API と連携して機密情報の特定を支援するとともに、Google Cloud Security Scanner と連携してクロスサイト スクリプティング(XSS)や Flash インジェクションのような脆弱性の検出を支援します。
アクセス制御ポリシーを管理したり、オープンソースの GCP セキュリティ ツールキット Forseti との連携を通じて予想外の変更に関する通知を受けたりすることも可能です。Google の異常検知機能や、セキュリティ パートナーである Cloudflare、CrowdStrike、Dome9、Palo Alto Networks、Qualys、RedLock などのサービスを利用して、脅威や不審な挙動を検知することもできます。
Cloud SCC を試してみたい方はアルファ プログラムにお申し込みください。
3. Access Transparency による透明性の向上
クラウド プロバイダーを選ぶときは、信頼が何よりも重要です。私たちはできるだけオープンかつ透明でありたいと考え、お客様のデータに何が起こるかをお客様自身で認識できるように支援しています。Access Transparency は、Google のサポートやエンジニアリングの担当者による認可された管理上のアクセスの監査ログを、それらのアクセスが正当である理由とともにお客様に提供します。多くの GCP サービスが対象となり、それらは 2018 年を通して増やしていく予定です。Access Transparency のおかげで、私たちは GCP サービスにお寄せいただいているお客様の信頼への責任を果たすとともに、お客様の環境の高いパフォーマンスと信頼性を維持し続けることができます。
Access Transparency のログは、ほぼリアルタイムに生成され、Cloud Audit Logging の監査ログと同様に Stackdriver Logging コンソールに表示されるほか、監査グレードのログと同等レベルの保護が適用されます。このログは、保存やアーカイビングのために BigQuery か Cloud Storage にエクスポートしたり、詳細な調査やレビューのために Cloud Pub/Sub 経由でエクスポートして既存の監査パイプラインに通したり、あるいは SIEM(Security Information and Event Management)ツールで処理したりできます。
Cloud Audit Logging のログと Access Transparency ログを組み合わせることで、お客様は GCP 環境における管理アクティビティをより包括的に把握できます。
Access Transparency についてもっと知りたい方はこちらのページをご覧ください。このページでは詳細な情報のほか、ベータ プログラムに申し込むこともできます。
4. Cloud Armor で DDoS 攻撃を防ぐ
インターネットに接続されたサービスやアプリケーションの運用には困難な仕事が待ち受けています。それは、迅速かつ機動的にトラフィックをエンドユーザーに送信すると同時に、サービスをダウンさせようとする悪意ある攻撃を防ぐことです。そうした攻撃を Google は熟知しており、それに対応するべく Cloud Armor を発表しました。Cloud Armor は、Distributed Denial of Service(DDoS)およびアプリケーション防御サービスです。Google 検索、Gmail、YouTube のようなサービスの保護に使用しているのと同じ技術やグローバル インフラストラクチャに基づいています。
インフラストラクチャへの DDoS 攻撃に対するビルトイン防御として機能するのが、グローバル HTTP(S)負荷分散です。DDoS 防御を作動させるうえで必要なのは負荷分散の構成のみで、ほかは何も必要ありません。Cloud Armor は Cloud HTTP(S)負荷分散と連携し、IPv4 および IPv6 ブラックリスティング / ホワイトリスティングや、アプリケーション固有の攻撃(XSS や SQL インジェクションなど)に対する防御、地理ベースのアクセス制御といった機能を提供します。
Cloud Armor では高度なルール言語とグローバルな強制エンジンを利用することで、レイヤ 3 ~ 7 のパラメータを任意に組み合わせて、マルチベクトル攻撃(複数の攻撃タイプを組み合わせた攻撃)に対するカスタム防御を構築できます。また、Cloud Armor はブロックされたトラフィックと許可されたトラフィックを可視化します。これは、各受信リクエストと、Cloud Armor のルールに沿って行われた対応アクションに関する情報を Stackdriver Logging に送信することで実現されます。
詳細は Cloud Armor のドキュメントをご覧ください。
5. DLP API による機密データの発見、分類、編集
機密情報が存在するというのは世の常です。問題は、機密情報を特定して確実に保護するにはどうするかです。マネージド サービスである Cloud Data Loss Prevention(DLP)API は、組織のデジタル資産に保存された機密情報を発見、分類、編集できます。DLP API は 昨年発表され、このほど正式提供が開始されました。DLP API は API であり、事実上あらゆるデータ ソースやビジネス アプリケーションで使用できます。それらが Cloud Storage や BigQuery のような GCP サービス、サードパーティ クラウド、オンプレミス データセンターのどこに置かれているかにかかわらずです。さらに、静的データセットを対象としたバッチ モードに加えて、リアルタイムでも機密情報を検知できます(そして、重要なことに編集も可能です)。
私たちの目標は、DLP API を拡張可能なセキュリティ ツールとすることです。発表以来、カスタム辞書やパターン、コンテキスト ルールを基に独自の検知機能を作成する機能のほか、サービス アカウント資格情報の認識といった新しい検知機能をこの API に追加しています。
詳細は DLP API のドキュメントをご覧ください。
6. あらゆるユーザー、あらゆるデバイスからクラウド アプリへの簡単かつ安全なアクセスを実現する Cloud Identity
昨年の夏に発表された Cloud Identity は、GCP リソースにアクセスする必要があるユーザーやグループを組織が簡単に管理できるようにするビルトイン サービスです。新しいスタンドアロンの Cloud Identity プロダクトは、フル機能の Identity as a Service(IDaaS)ソリューションを提供します。Cloud Identity によって得られるエンタープライズ セキュリティ、アプリケーション管理、デバイス管理といった有益な機能を活用すれば、任意のユーザーが任意のデバイスからクラウド アプリケーションに簡単かつ安全にアクセスできます。Cloud Identity は、クラウド中心型のアプリケーションおよびサービスの利用を促進するとともに、オンプレミス IAM システムとアプリケーションを使用するお客様のニーズを満たす機能も提供します。
もっと詳しく知りたい方は Cloud Identity のドキュメントをご覧ください。
7. FedRAMP 認定により、GCP のセキュリティ メリットを米国の連邦および州政府、地方自治体が享受可能に
インフラストラクチャとプラットフォームのセキュリティ機能を文書化することに Google Cloud は労を惜しみませんが、サードパーティの検証と認定は常に有益です。このほど、GCP と Google の共通インフラストラクチャが、FedRAMP Joint Authorization Board(JAB)の Moderate Impact レベルで FedRAMP Rev. 4 Provisional Authorization to Operate(P-ATO)に認定されました。この認定の対象には多くの国に設置された Google のデータセンターが含まれており、お客様は Google Cloud の多くのリージョンから、この認定を受けた環境を利用できます。政府機関やその契約業者は、FedRAMP Package Access Request Form を提出することにより、Google の FedRAMP パッケージへのアクセスをリクエストできます。
8. セキュリティ パートナーシップの新展開
私たちは、3 月に発表したセキュリティへの取り組みに加え、GCP の機能を補完するソリューションを手がけているセキュリティ企業との協力も進めています。こうしたパートナーシップの詳細は、こちらのブログ記事でご覧になれます。以下は、3 月に発表した GCP パートナーの新しいソリューションの一部です。
- Dome9 : Payment Card Industry Data Security Standard(PCI DSS)に対応したコンプライアンス テスト スイートを開発し、Dome9 Compliance Engine で提供しています。
- Rackspace : Rackspace Managed Security は、GCP でフルマネージドのセキュリティ サービスを企業に提供しています。
- RedLock : RedLock Cloud 360 Platform は、脅威防御を実現するクラウド型のセキュリティおよびコンプライアンス ソリューションです。Google Cloud 環境の可視性や管理を向上させます。
世界最大級の人気を誇るウェブ アプリケーションの運用と保護に関する実績を皆さんとシェアできることは、私たちにとって大きな喜びです。GCP のクラウド プロダクトおよびサービスを選んでいただいていることを光栄に思っています。
セキュリティに関する発表の詳細については、Google Cloud ブログ、G Suite ブログ、Connected Workspaces ブログの記事をご覧ください。
* この投稿は米国時間 3 月 21 日、GCP Security and Privacy の Director of Product Management である Jennifer Lin によって投稿されたもの(投稿はこちら)の抄訳です。
- By Jennifer Lin, Director of Product Management, GCP Security and Privacy
