Google流のクラウドセキュリティとは？

エンタープライズ市場でクラウドサービスを展開するGoogle。クラウド利用での懸念事項に挙げられることが多いセキュリティについて、同社担当者がその取り組みを語った。

[國谷武史，ITmedia]

　GmailやGoogle Appsをはじめとするクラウドサービスをエンタープライズ市場でも展開する米Google。同社ではクラウド利用でユーザーが抱くセキュリティへの懸念を払しょくするために、積極的な取り組みを進めてきたという。シニア・グローバル・トラスト プロダクトマネジャーを務めるジョン・コリンズ氏が、クラウドセキュリティに対する同社の考え方を語った。

　ユーザーがクラウド――とりわけパブリック型サービスの利用で抱く一番の懸念が、重要なデータを自社の管理の手が届かないインターネット上に展開するという点だ。展開する先が本当に信用できる場所であるかという不安であり、オンプレミス環境と同程度の安全を望む声が根強くある。

　セキュリティに対する同社の考え方はクラウドを意識したものであり、オンプレミスを前提とする伝統的なアプローチとは大きく異なるとコリンズ氏は話す。「デスクトップ上など限られた場所にデータ置くことはなるべくせず、データの信頼性と完全性を担保した上で、複数の場所から利用と管理ができることが望ましい」（同氏）

　例えば、Google Docsでは作成したドキュメントを複数のユーザーで共有する環境は、基本的にインターネット上だ。許可されたユーザーが持つのはリンクのURLである。セキュリティリスクの観点でみると、データを保存したUSBメモリを持ち歩いたり、他人と貸し借りしたりするよりも、情報漏えいの危険性がはるかに低いという。社員の退職などで情報を共有するメンバーが変われば、管理者がリンクのURLを変更するだけで良い。

　また、インターネットサービスにおけるユーザー認証では、常に第三者によるなりすましのリスクも存在する。これに対して同社は、今年2月には電話番号を利用した「二段階認証プロセス」の仕組みを全てのサービスに導入している。

　コリンズ氏はユーザーに対して、（1）アカウントやデータをコントロールできる手段、（2）第三者による信頼性の証明、（3）選択肢――を提供している点が同社のクラウドにおけるセキュリティの特徴だという。（1）は上述のようなWebの管理ページを通じてアカウントを管理できる。（3）については、“クラウドを使わない”と意思決定したユーザーが必要なデータを手元に取り戻せるようにしている。「われわれがユーザーのデータを取り出して何かに使うということは絶対にない」（コリンズ氏）

　（2）は特に同社のデータセンターにみることができる。データセンターのセキュリティについては、その取り組みをビデオで公開しているほどだが、施設は「FISMA（連邦情報セキュリティマネジメント法）」の認定を受けており、8月にはGoogle AppsおよびGoogle App Engineが「SSAE 16 Type II」の認定を受けたという。SSAE 16 Type IIは、これまでクラウド事業者の監査に使われてきた「SAS 70」に代わる基準である。コリンズ氏は、同社サービスの可用性が他社より高いという点も強調する。

　こうしたクラウドセキュリティに対する同社の取り組みは、「People」「Process」「Technology」という3つの軸で成り立っているという。約250人のエンジニアが、製品・サービスの開発や改善からセキュリティ監査までの中核を担うという体制である。

　コリンズ氏は、最後にクラウドに対するユーザーの懸念とセキュリティを次のように例えて紹介している。

　「わたしは車が好きなので、日本には自分の運転で来たいと思った。もちろん物理的に不可能だし、時間の制約もあるので飛行機で来たが、万が一墜落したらという一抹の不安はあった。しかし、飛行機事故の確率は車よりもはるかに低い。それは航空会社が乗客の安全を最優先にしているからであり、わたしは航空会社を信用することにした」

　クラウドセキュリティのあり方は、今もさまざまな機関で議論が続けられている。コリンズ氏は、同社のセキュリティ対策が課題解決の積み重ねの結果だとしており、同社が考え得る最も現実的な仕組みを実現していると述べている。

ジョン・コリンズ氏。Googleのセキュリティについて、知られているようで意外にも知られていないことが多いという