企業における重要システムのセキュリティ対策とコンプライアンスをクラウド活用で実現！

本記事は、2021年5月27日に開催された Google の公式イベント「 Google Cloud Day : Digital ’21 」において、 Google Cloud パートナーエンジニアの西岡典生氏が講演された「重要システムに求められるセキュリティ対策とコンプライアンス」のレポート記事となります。

近年、様々な機関からセキュリティ対策に関するガイドラインが発表されています。これらはクラウド活用を前提としたものであり、正しくクラウドサービスを利用することで企業の重要システムにおけるセキュリティ対策の強化とコンプライアンスを実現できます。

今回は各種ガイドラインで定められているセキュリティ対策における主要な要求事項をご紹介しつつ、 Google Cloud （GCP）を活用したセキュリティ対策やコンプライアンスについて詳しく解説します。

なお、本記事内で使用している画像に関しては Google Cloud Day : Digital ’21 「重要システムに求められるセキュリティ対策とコンプライアンス」を出典元として参照しております。

それでは、早速内容を見ていきましょう。

クラウド活用を前提としたセキュリティ対策に関する主要ガイドライン

近年、様々な業界でクラウド活用を前提とした制度設計やガイドライン策定が行われています。

以下、代表的なものを図で示します。

このように、クラウド活用を前提としたセキュリティ対策は、様々な制度やガイドラインが各所から発表されており、直近数年間で頻繁にアップデートが行われています。つまり、企業はこれらを遵守するための適切なセキュリティ対策を求められていると言えます。

重要システムのセキュリティ対策における主な要求事項

本章では、クラウド活用を前提としたセキュリティ対策において、多くの制度やガイドラインが要求しているポイントを3つに絞ってご説明します。

各種ガイドラインでは、主に以下3つのポイントを重要視しています。

• 技術的対策
• 委託先の管理
• コンプライアンス

以下、それぞれについて詳しくご説明します。

技術的対策

クラウドを活用した重要システムのセキュリティ対策では技術的対策が欠かせません。技術的対策とは、クラウド上の情報を保護するための技術的なセキュリティ対策のことです。

例えば、データを暗号化して通信の安全性を確保したり、アクセス制御で第三者による不正アクセスを防止するなどの対策が挙げられます。また、ガイドラインの内容次第ではデータを保管するリージョン（国や地域）が指定されているケースも存在するため、サービスの提供対象国も大切なポイントになります。

この技術的対策は、主にクラウドサービスの利用者が主体となって行うものです。

委託先の管理

委託先の管理とは、クラウドサービスを提供しているクラウド事業者の運用を正しく把握し、自社との連携方法などを確認しておくことです。

クラウドサービスの利用にあたっては「責任共有の原則」が適用されます。これは、クラウドサービスの利用者と提供者の双方に対して責任が発生するという考え方であり、お互いの責任範囲を理解した上でクラウドサービスを利用することが大切です。

そのため、クラウドサービスの利用者はクラウド事業者の運用が適切かどうかを見極める必要があります。具体的な評価軸としては、データ管理、メンテナンス、セキュリティ対策などが挙げられます。また、重要システムにおいては障害時の連絡体制も把握しておかなければいけません。障害通知の仕組みや、クラウド事業者との連携方法などを事前に確認しておきましょう。

この委託先の管理についても、主にクラウドサービスの利用者が主体となって行うものです。

コンプライアンス

コンプライアンスとは、地域や業界特有のルールに対応することであり、日本語では法令遵守と呼ばれています。

クラウドサービスを利用する地域や業界によっては、厳しいルール設定がなされている場合があります。そのため、自社に求められる要件を事前に把握して、正しいコンプライアンスを実現できるクラウドサービスを選ぶ必要があります。

例えば、 ISO をはじめとしたグローバル標準の認証取得状況はクラウド事業者の信頼性を判断する有効な材料になります。他にも FISC のような業界特有のガイドラインに対応しているかどうかも重要なポイントです。

このコンプライアンスは、主にクラウドサービスを提供する事業者が主体となって行うものです。ただし、クラウド事業者の選定は利用者が行うため、契約するクラウド事業者を選ぶ時はコンプライアンスの観点も忘れずに意識することが大切です。

クラウドサービスの利用は Google Cloud （GCP）がオススメ

各種ガイドラインはクラウド利用を前提として作成されていますが、せっかくクラウドを導入するのであれば Google Cloud (GCP)がオススメです。 Google Cloud （GCP）とは、 Google が提供しているパブリッククラウドサービスであり、世界中で多くの企業に利用されています。

以下、 Google Cloud (GCP)がオススメな理由をご紹介します。

セキュリティレベルが高い

Google Cloud (GCP)は第三者認証取得のハイレベルなセキュリティを備えており、「 SSAE16 / ISAE 3402 Type II：SOC 2/SOC 3」「 ISO 27001・FISMA Moderate」「PCI DSS v3.0」など、多くの年次監査を受けています。

さらに、通信時のデータは暗号化されるため、安心して業務に利用することができます。このように、 Google Cloud （GCP）は Google の強力なセキュリティ体制によってデータが守られているため、技術的対策は万全であると言えます。

運用負荷を削減できる

Google Cloud （GCP）に搭載されているサービスの多くは、フルマネージドサービスまたはマネージドサービスとして提供されているため、運用管理のすべて（または一部）を Google が巻き取って対応してくれます。

そのため、自社の運用負荷を軽減でき、本来注力すべき生産性の高い業務に集中できます。 Google の優秀なエンジニアが Google Cloud （GCP）の保守・運用を対応しているため、サービスの委託先としては申し分ないでしょう。

コンプライアンス

Google Cloud （GCP）は、世界的な基準の各種認証を多く取得しています。例えば、「 ISO/IEC 27001」、「 ISO/IEC 27017」、「 SOC 1」などが挙げられます。

Google は独立機関によるセキュリティ、プライバシー、コンプライアンス統制の監査を定期的に実施しているため、各種ガイドラインで求められているコンプライアンスの観点もクリアしています。

Google の成長性

世界の最先端を走る Google のテクノロジーは日々進化しています。 Google Cloud (GCP)は Google が提供しているクラウドサービスのため、 Google の進化とともにサービス自体も成長し続けます。

新機能の追加やユーザビリティの向上が短いスパンで実施されるため、企業は常に最新のテクノロジーを自社の経営に活かすことができます。このように、 Google のインフラを自由に使い倒せる点は Google Cloud (GCP)が人気を集める大きな理由のひとつと言えます。

多くの機能を備えている

Google Cloud (GCP)には様々な機能が搭載されています。例えば、高性能なビッグデータ解析サービスである BigQuery 、コンテナの実行環境である Google Kubernetes Engine （GKE）、 web アプリケーションを開発できる Google App Engine （GAE）、などが挙げられます。

そして、これらの機能はそれぞれがシームレスに連携できるため、 Google Cloud （GCP）で重要システムをクラウド化するだけでなく、様々な機能を連携して活用することで、自社の生産性を大きく向上させることができます。

Google Cloud （GCP）で実現するセキュリティ対策とコンプライアンス

本章では、 Google Cloud （GCP）を活用したセキュリティ対策とコンプライアンスについて、具体的な内容を交えながら順番にご説明します。

技術的なセキュリティ対策

リージョン指定

Google Cloud （GCP）の主要サービスは稼働するリージョンを指定でき、多くのサービスで東京または大阪リージョンを選択可能となっています。

また、データベースなどの高い可用性が求められるサービスは、複数のリージョン（マルチリージョン）で展開できるように設計されています。具体的なサービス例としては Cloud Storage 、 Cloud Spanner 、 Key Management Service (KMS) などが挙げられます。

これらの特徴により、 Google Cloud （GCP）を使うことでデータの保存先を国内に指定することができます。一部、 Cloud Spanner のようにソウルのリージョンを利用するサービスもありますが、ソウルには一時的にデータが保存されるだけなので、安全性を確保した状態でサービスを運用可能です。

アクセス制御

Google Cloud （GCP）の VPC ネットワークについては、ファイアウォールのルール設定などを行うことで、オンプレミス環境と同じ感覚でセキュリティ対策を行うことができます。また、ロードバランサなどが置かれているフロントエンドに関しては、プロダクトごとのセキュリティ機能を使用可能です。

さらに Google Cloud （GCP）には VPC Service Controls という機能が搭載されており、データの外部流出リスクを低減します。これは多層防御を実現するための機能であり、プロジェクトの外側にセキュリティの境界を作ることで、境界をまたぐデータ移動を IAM とは別にチェックしたり、境界を超えるための条件をアクセスレベルで定義可能です。

この VPC Service Controls を活用することで外部からの不正アクセスを遮断し、仮に認証情報が漏れてしまった場合でもデータを安全に保護できます。そのため、企業の重要システムでは VPC Service Controls が使われているケースが多くなっています。

データ暗号化

Google Cloud （GCP）では様々なデータを暗号化してセキュリティ性を高めています。

例えば、以下のような箇所での暗号化が挙げられます。

• 転送データの暗号化
• 保存データの暗号化
• メモリ上の暗号化

例えば、転送データに関しては下図の通りに暗号化されています。

また、それぞれについて豊富な暗号化オプションが用意されているため、自社の状況に合わせてセキュリティレベルを柔軟に変更可能です。

今回はすべてのオプションをご紹介することはできませんが、一例として保存データの暗号化オプションを表でまとめます。

このように、様々な暗号化オプションを活用することで、自社のセキュリティをさらに高めることができます。表の下に行くほど、制御と管理はお客様自身で行うことになります。

クラウド事業者としての Google の信頼性

委託先の管理が大切である旨を前述しましたが、クラウドサービスの利用者目線では信頼できる事業者を選定する必要があります。では、 Google はクラウド事業者としてどのような対策を取っているのでしょうか。

不正操作対策への取り組み

Google は利用者がサービスを安全に使えるように、以下の不正操作対策や情報公開を行なっています。

• オペレーションに関する監査を受けて ISO 27017認証を取得
• データ消去プロセスの提示(セキュリティに関するホワイトペーパー)
• ユーザーデータへアクセスした際の履歴を可視化（アクセスは利用者の承認ベース）
• セキュリティチームによるモニタリング（セキュリティの専門チームが常時監視）
• 監査ログの長期保管

このように、 Google は様々な不正操作対策や情報公開を行なっているため、利用者は安心してサービスを利用できます。

準拠法と合意管轄

クラウドサービスを導入する際、状況によっては準拠法と合意管轄を日本に指定したいケースもあるかと思います。

Google Cloud （GCP）では、書面契約において契約の準拠法を日本法とし、合意管轄の裁判所を東京地方裁判所と設定できます。これらは基本的に官公庁や公共機関向けの対応になりますが、要望がある場合は個別に問い合わせすることも可能です。

サービス障害時の対応

Google Cloud （GCP）では、各サービスの稼働状況がステータスダッシュボード上で一元的に表示されています。これは一般公開されている情報であるため、自社の管理者が好きなタイミングで確認可能です。さらに、障害の内容によっては、後日インシデントレポートが掲載されるケースもあるため、そのレポートを見れば詳細を把握できます。

また、 Google Cloud （GCP）には Essential Contacts という機能が搭載されており、これを利用して自社連絡先を設定することで、サービスに関する重要な通知を然るべき担当者がタイムリーに受け取ることが可能です。

コンプライアンス

Google Cloud （GCP）はグローバルな認証を積極的に取得しています。

以下、 Google Cloud （GCP）が取得している国際認証の一覧です。

• ISO/IEC 27001
• ISO/IEC 27017
• ISO/IEC 27018
• ISO/IEC 27701
• SOC 1
• SOC 2
• SOC 3
• PCI DSS
• CSA STAR
• MPAA
• Independent
• Security
• Evaluators
• Audit
• GxP

また、国際認証だけでなく、各地域におけるレギュレーションにも幅広く対応しています。

以下、主要国における Google Cloud （GCP）の国別のレギュレーション対応状況一覧です。

日本国内における最新のトピックスとしては、2021年3月12日に Google Cloud （GCP）が ISMAP の認定を取得しました。 ISMAP は「政府情報システムのためのセキュリティ評価制度」であり、クラウド・バイ・デフォルト原則に即した政府情報システムの調達に向けて、新しいセキュリティ評価制度を策定したものです。

なお、 Google のサービスでは Google Cloud （GCP）以外にも Google Workspace と Apigee Edge が同様に ISMAP の認証を取得しています。

このように、 Google Cloud （GCP）は様々な認証を取得していますが、一つ注意点としては各種認証をプロダクト単位で取得していることです。 Google 公式サイトで ISO の取得状況が公開されているため、自社利用を検討する際にはプロダクトごとにチェックすることが大切です。

クラウド・バイ・デフォルト原則に関しては、以下の記事で詳しくご紹介しています。
政府が提唱するクラウド・バイ・デフォルト原則とは？企業における導入メリット6選

Google Cloud （GCP）に関する質問

Q .Google Cloud （GCP）ではまだミッションクリティカルなシステムが動いていない印象ですが、実際のところどうですか？

A .最近ですと５月開業予定のみんなの銀行様をはじめ、基幹系システムを Google Cloud （GCP）で稼働する例が増えております。

Q .他のクラウドにはない Google Cloud （GCP）ならではの機能はありますか？

A . Access Transparency や Access Approval といった機能は Google Cloud （GCP）オリジナルかと思います。クラウドの裏でサポートや運用担当者がどのようなオペレーションをしているかも皆様が把握することができるようになりました。

Q . SCC で FISC を評価するようなロードマップはありますか？

A .現状はございません。ただ、そうした声を多くいただければ、パートナー様と共同して、 SCC のコンサルサービス等をたてつけることも不可能ではないと考えております。

まとめ

Google Cloud （GCP）は多くのセキュリティガイドラインで求められる様々な要求事項に対して、然るべき対応を行なっています。

技術的対策は Google の最先端のテクノロジーで万全に対策がとられていますし、 Google のクラウド事業者としての信頼性も非常に高いです。また、 Google Cloud （GCP）は積極的に各種認証を取得しているため、コンプライアンス観点からも安心して利用できます。

自社の重要システムを安全に運用するために、ぜひ Google Cloud （GCP）を検討してみてはいかがでしょうか。

弊社トップゲートでは、Google Cloud (GCP） 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP）をお得に便利に利用できます。さらに専門的な知見を活かし、

• Google Cloud (GCP）支払い代行
• システム構築からアプリケーション開発
• Google Cloud (GCP）運用サポート
• Google Cloud (GCP）に関する技術サポート、コンサルティング

など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。

Google Workspace（旧G Suite）に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します！

Google Cloud (GCP）、またはGoogle Workspace（旧G Suite）の導入をご検討をされている方はお気軽にお問い合わせください。

お問合せはこちら

メール登録者数3万件！TOPGATE MAGAZINE大好評配信中！
Google Cloud（GCP）、Google Workspace（旧G Suite） 、TOPGATEの最新情報が満載！

メルマガ登録はこちら