Google Cloud:Layered Defense in Depth(多層防御)

Google Cloud が取り組んでいるセキュリティ/プライバシー保護

Google Cloud(Google Cloud Platform および Google Workspace)のセキュリティとプライバシ ポリシーについてご紹介します。
ここでは Google Cloud Platform のセキュリティ プロダクション/サービスではなく、Google が行っているインフラ セキュリティやデータへの保護ポリシーなどになります。


Google 検索、YouTube、Google マップ、Gmail、Google Workspace などGoogle のサービスは Google Cloud Platform で構築されております。
Google は セキュリティとプライバシーを大切する文化があり、プロダクト/サービスを設計する際にはセキュリティとプライバシーを重点において構築されます。

独立機関による認証

Cloud OnAir
ISO 27001
ISO 27017
ISO 27018
HIPAA
ISAE 3402 Type II
AICPA SOC 3
AICPA SOC 2
FedRAMP ATO
For G Suite and App ...

設計から考えられたクラウド セキュリティ

多層防御によるセキュアなシステム

Google Cloud:Layered Defense in Depth(多層防御)
レイヤー主なセキュリティ対策の例
オペレーション侵入検知システム、インサイダーリスク低減技術、従業員による U2F 使用、ソフトウェア開発プラクティス
ネットワークGoogle Front End 、DoS 攻撃防御䛾組み込み
データ保存データ䛾暗号化
アイデンティティU2F サポートを含む一元的な識別サービス
サービスサービス間通信の暗号化
ハードウェアハードウェアの設計と供給、ブートスタックのセキュリティ、構内セキュリティ

Google 独自設計の専用ハードウェア

Google Cloud および Google Workspace のデータは Googleのデータセンターで管理されます。
中間のベンダーを無くしあらゆるリスクを削除するために、データセンターおよびチップをフルスタックで Google が設計・製造しています。

Google Cloud:Google 独自設計の専用ハードウェアで構成されている

Titan は、クラウド インフラストラクチャ上のマシンと周辺機器のハードウェアの信頼関係を確立するために、Google が独自に設計したチップです。

世界を網羅する物理的な Google ネットワーク

Google は独自の物理的なネットワーク ケーブルを世界中に敷設しています。また、Google のデータセンターに接続するための、エッジ PoP(Point of Presence)が世界中に設置されています。
このネットワークの物理境界は厳格な保護対策を行われており、これらの場所への立ち入りは制限され、厳重に監視されています。ハードウェアを操作できるのは、Google のごく一部の社員のみです。

Google Cloud ネットワークのリージョンとゾーン

ユーザーは最も近いエッジ PoP からこの Google 専用のネットワーク網にアクセスし、Google Cloud のデータセンターに接続します。
パブリック ネットワークでは、いくつものプロバイダーを経由するため、ネットワーク品質と信頼性は高くありません。

Google Cloud:クラウド ネットワークのレベル

転送されるデータをデフォルトで暗号化

お客様のデータはすべて暗号化されます。また、データセンターに保存をされる前の送信する際に暗号化されます。データセンターからお客様に送られる際は逆の手順で暗号化されたデータを元に戻します。

Google Cloud:全てデフォルトで暗号化される
Google Cloud グローバル インフラストラクチャのデータ暗号化 プロセス

お客様のデータはお客様のもの

データは Google によって暗号化されますが、顧客データを所有するのはお客様であり、Google はお客様のデータをどのように先見的に保護し、プライバシーを優先させるかを明確にしています。
Google では「顧客データ」と「サービス データ」の 2 つの異なるデータタイプが考慮されます。

Google Cloud:Google はプライバシーを最優先

顧客データ

お客様が自身の顧客データを所有していることを前提としています。
厳格なセキュリティ対策を実施して顧客データを保護し、お客様が条件に合わせてデータをコントロールできるようにするツールを提供しています。
顧客データとは、組織や組織のユーザーを含めたお客様が、Google Workspace、G Suite for Education、GCP にアクセスするときに Google に提供するデータと、これらのサービスを使用して作成するデータです。

サービスデータ

すべてのサービスデータ(Google が Google Workspace / G Suite for Education / Google Cloud Platfrom) の提供および管理の中で収集または生成する情報も同様に保護されます。
サービスデータは、セキュリティとサービス可用性の確保に必要不可欠です。
サービス データには顧客データは含まれません。セキュリティ設定、運用の詳細、お支払い情報が含まれます。Google がサービスデータを処理する目的については、Google Cloud プライバシーに関するお知らせに詳細が記載されています。このお知らせは、サービスデータの処理方法に関するより具体的な情報を提供するために新たに開始されたもので、2020 年 11 月 27 日に発行されます。サービスデータの処理目的には、Google Workspace と GCP を最適にご利用いただくための推奨事項の作成や、パフォーマンスと機能の向上が挙げられます。

Google のセキュリティ体制

責任共有モデル とは、クラウド ベンダーとお客様が利用するプロダクト/サービスで管理する部分を明確に分ける考え方です。そして、利用するプロダクトによって、管理する(責任分担)が大きく/小さくなります。

Google Cloud:共有責任モデル

Google Could の責任共有モデルでは、Google が管理する範囲はハードウェア、ブート、カーネル、OS、ストレージ、ネットワーク、検査 レイヤーなど物理層からサービスの基盤とするインフラストラクチャを保護しています。
お客様側は、利用するプロダクトによって管理/責任を持つ範囲は異なりますが、どのプロダクトでもアプリケーションおよびコンテンツ/データはお客様側での責任範囲になります。

セキュリティとプライバシーを重視する企業文化

Google は、すべての従業員がセキュリティとプライバシーを重視する文化があります。
採用プロセス、社員の新人研修に、継続的なトレーニングに取り組まれており、セキュリティとプライバシーへの課題と意識向上の社風を築いています。

Google Cloud:セキュリティとプライバシの文化

参考情報