ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Googleのセキュリティ担当者が語る「ISO 27001」取得の理由

» 2012年05月29日 15時24分 公開
[國谷武史,ITmedia]
Google エンタープライズ部門セキュリティ担当ディレクターのエラン・ファイゲンバウム氏。米国本社からオンライン会議で記者会見に参加した

 米Googleは5月28日(現地時間)にGoogle Apps for Businessでの情報セキュリティ基準「ISO 27001」認証の取得を発表、同日の記者会見でエンタープライズ部門セキュリティ担当ディレクターのエラン・ファイゲンバウム氏がセキュリティ対策への取り組みを説明した。

 今回のISO 27001認証取得の対象範囲は、Google Apps for Businessのアプリケーション全般とその提供基盤であるデータセンター、そして運用プロセスだという。同社はこれまでも「SSAE16(米国保証業務基準第16号)Type II」「ISAE 3402(国際保証業務基準第3402号)」「米連邦情報セキュリティ管理法(FISMA)」の認定も取得済み。ファイゲンバウム氏は、「ISO 27001認証の取得でユーザーの信頼を高めたい」と話した。

 ファイゲンバウム氏はデータセンターを中心に、同社のセキュリティ対策を次のように説明する。

 「300人以上の専任技術者が24時間体制で対応に当たっている。データセンターはごく限られたスタッフしか入室できず、厳格なアクセス制限、堅牢な物理セキュリティ対策を講じている。膨大な数のサーバを保有しているが、サービスに不必要なプロセスを極力排除して適切な運用に務めている」

 ユーザーのデータはサーバやラック、システム、データセンター単位で複数の場所に分割して保存する。万が一第三者がデータの“断片”を入手しても、それだけでは意味をなさないものであり、その他の“断片”を拾い集めるのは事実上不可能とのこと。「分割したデータも異なる場所に複製して保存しており、データの機密性や完全性を確保している」(ファイゲンバウム氏)という。

ユーザーデータを保管する仕組みについての説明資料から。データを断片化して分散保存しつつ、複製も行って完全性などを確保するという

 一方でデータをクラウド上に置いたままでは不安というユーザーには、Webの管理コンソールからいつでも取り戻せるようにしている。「クラウドの中にデータがロックインされてしまう事態は少なくともGoogle Appsでは全くない」(ファイゲンバウム氏)

クラウドに銀行レベルの信頼を

 「今のクラウドに対する不安は100年前の銀行に対する不安と同じような状況だ。現代の銀行が顧客から大きな信頼を得ているように、クラウドに対する信頼を高めていく努力が必要」とファイゲンバウム氏。また「クラウドサービスの利用で、これを満たしていればユーザーは安心できるというセキュリティの“標準”がまだ整っていない。ISO 27001がその一つになるのではと期待している」とも話す。

 ISO 27001がセキュリティを担保するわけではないが、少なくとも同社サービスがISO 27001に準拠していることを証明することで、セキュリティに対する取り組みに透明性を持たせることができるという。

 最後にファイゲンバウム氏は、「セキュリティに十分な予算を講じられないという中小企業は安心してGoogle Appsを利用していただきたい。大企業には(オンプレミスなど)自社環境と同等のセキュリティが確保され、本番環境にも使えるクラウドサービスであることを知ってほしい」と語った。

 同社サービスと競合する米MicrosoftのOffice 365やAmazon.comのAmazon Web Servicesは既にISO 27001認証を取得しており、Google Apps for Businessがこれに加わったことで、企業向けパブリッククラウドサービスに対するユーザーのセキュリティの不安が解消されるかが注目される。

既に提供済みだがファイゲンバウム氏が「企業ユーザーに使ってほしい」と紹介した携帯電話とワンタイムパスワードを使った二要素認証によるログイン機能

Copyright © ITmedia, Inc. All Rights Reserved.