クラウドを安全に運用したい!事例から学ぶ「 Google Cloud (GCP)のセキュリティにおける4つの確認事項」とは?
- Cloud
- セキュリティ
本記事は、2021年12月1日に開催された Google の公式イベント「 Security Summit 」において、弊社トップゲートの CTO である飛鳥真一郎が講演した「 Google Cloud 新規導入時におけるセキュリティ要件の検討事例紹介」のレポート記事となります。
今回は、飛鳥氏が実際に体験した Google Cloud (GCP)のシステム構築事例をベースとして、 Google Cloud (GCP)のセキュリティにおける4つの確認事項をご説明します。どれも、 Google Cloud (GCP)を安全に運用するためには欠かせない重要なポイントです。ぜひ、最後までご覧ください。
なお、本記事内で使用している画像に関しては、Security Summit 「 Google Cloud 新規導入時におけるセキュリティ要件の検討事例紹介」を出典元として参照しております。
それでは、早速内容を見ていきましょう。
目次
Google Cloud (GCP)のシステム構築事例
はじめに、 Google Cloud (GCP)を活用したシステム構築事例をご紹介します。この事例は、飛鳥氏が担当した案件の実体験ベースの内容となっています。
本事例の中で、 Google Cloud (GCP)を活用して構築したシステムは User Generated Contents (UGC)です。 UGC とは、一般ユーザーの能動的な投稿によって作られるコンテンツを意味しており、代表的な例としては Twitter や Instagram などのコメントやレビューが挙げられます。
飛鳥氏は、とある企業の UGC サービスにおいて、投稿内容の監視を行うためのシステム開発を請け負いました。すべての監視ログを永続的に保管し、統計情報を分析するため、 BigQuery を採用する方針で担当者と話を進めていましたが、顧客はパブリッククラウドの導入経験がなく、セキュリティ観点から案件が停滞してしまったのです。ここから、飛鳥氏と先方のセキュリティ部署との交渉が始まリました。
飛鳥氏が先方から言われた内容は「このシステムをそのまま既存オンプレミス基盤で構築できないか?」というものでした。しかし、分散データベースを自社で構築することは容易ではないため、その旨を伝えて根気強く交渉した結果、 Google Cloud (GCP)の導入が先方内で承認され、その後4年間に渡ってこのシステムは稼働しました。
それでは、飛鳥氏はどのように顧客を説得したのでしょうか。ここから先は、飛鳥氏が顧客に Google Cloud (GCP)のセキュリティを説明する際、具体的にどのようなポイントを取り上げたのか、という観点で解説していきます。
Google Cloud (GCP)のセキュリティにおける4つの確認事項
Google Cloud (GCP)におけるセキュリティの全体像は以下の通りです。
飛鳥氏は、上図のように Google Cloud (GCP)のセキュリティを4つの要素に分けて、それぞれの確認事項を丁寧に説明しました。次章以降では、この4つの確認事項について深掘りして見ていきましょう。
確認事項1.Google Cloud (GCP)のファシリティの安全性
1つ目の確認事項は Google Cloud (GCP)のファシリティの安全性です。
Google Cloud (GCP)のデータセンターは、ファシリティの安全性だけでなく、そもそもデータやアプリケーションが物理的なサーバーに対して、固定的に割り当てられているわけではありません。そのため、仮にデータセンターに侵入できたとしても、特定のデータが盗めるかというとまったく別問題であり、むしろ外部ネットワークからの攻撃以上に困難です。
また、 Google 公式のホワイトペーパーには「カスタム設計された電子アクセスカード、警報、車両セキュリティ ゲート、外周フェンス、金属探知機、生体認証などの安全保護対策が実施されています。また、データセンターのフロアに
は、レーザー光線による侵入検知システムが導入されています。」と記載されており、安全性が高いことが伺えます。
このように、 Google Cloud (GCP)のファシリティへの攻撃は極めて困難であり、ゲージやラックを借りてサーバーを搬入するようなシステムと比較すれば、圧倒的に高い安全性を誇ると言えるでしょう。
しかし、専用サーバー環境を前提としたファシリティ要件をパブリッククラウドに適応し、是非を評価することはできません。パブリッククラウドを適正に評価するためには、新たなセキュリティ要件に関して、外部公開されているホワイトペーパーの情報が有益であるため、心配な場合は Google が公開しているホワイトペーパーを参考にすることをオススメします。
実際、飛鳥氏が Google Cloud (GCP)を導入する際に作成した資料では、暗号方式やハードウェア破棄について、ホワイトペーパーに言及したそうです。
確認事項2.Google Cloud (GCP)のサービスの安全性
2つ目の確認事項は Google Cloud (GCP)のサービスの安全性です。
飛鳥氏が担当した案件で利用した Google Cloud (GCP)のサービスは以下の通りです。
- Cloud Console / Cloud IAM
- Google App Engine / Cloud Datastore / Memorystore / BigQuery / Cloud Tasks
- Cloud Build / Cloud Logging / Cloud Audit Logs
これから Google Cloud (GCP)を導入しようとしているユーザーの多くは、 Google Cloud (GCP)の仕組みを十分に理解していないケースがあります。そのため、導入効果を最大化するためには、 Google Cloud (GCP)を含めたパブリッククラウドについて、正しい知識を持ち、適正に扱えるベンダーを選定するべきです。
本章では、上記サービスの概要をご説明します。
Cloud Console
Cloud Console は、ブラウザまたは gcloud コマンドで利用する管理コンソールです。 Access Context Manager を使うことで、アクセス元の IP による制限も可能であり、ブラウザと gcloud コマンドのどちらにも適応できます。
Cloud Console に関心のある方は以下の記事で詳しく解説しています。
Google Cloud(GCP)の管理画面がスゴい?管理コンソールでできることを徹底解説!
Identity and Access Management (IAM)
Identity and Access Management (IAM)は、権限管理を行うための管理サービスの1つです。とても細やかな権限管理を行うことができ、「機密情報を取り扱う本番環境の権限は、任意の作業時間のみ担当者に権限を付与する」など、柔軟な運用を実現することができます。
Google App Engine
Google App Engine は PaaS型の Web アプリケーションプラットフォームサービスです。マネージドサービスとして提供されているため、開発者はインフラ部分を気にすることなく、環境を構築することが可能です。 Virtual Private Server (VPS)やオンプレミスの実行環境と比較すると、以下のような安全上のメリットが存在します。
Cloud Datastore / Memorystore / BigQuery
Cloud Datastore や Memorystore 、 BigQuery などは、データベースを扱うためのサービスです。 Virtual Private Server (VPS)やオンプレミスでデータベースを構築する場合と比較すると、以下のような安全上のメリットが存在します。
Cloud Datastore と BigQuery に関心のある方は以下の記事で詳しく解説しています。
Datastore とは?Google の NoSQL データベースを徹底解説!
超高速でデータ分析できる!専門知識なしで扱えるGoogle BigQueryがとにかくスゴイ!
Cloud Build
Cloud Build は、 CI (継続的インテグレーション)を簡単に行うためのサービスです。 Virtual Private Server (VPS)やオンプレミスで CI を構築する場合と比較すると、以下のような安全上のメリットが存在します。
Cloud Logging / Cloud Audit Logs
Cloud Logging や Cloud Audit Logs は、ログを収集・保管・管理するためのサービスであり、 API や VM にインストールしたエージェントを通じて、ログを収集することができます。 Virtual Private Server (VPS) やオンプレミスでログサーバーを構築する場合と比較すると、以下のような安全上のメリットが存在します。
確認事項3.Google Cloud (GCP)の Web アプリケーションの安全性
3つ目の確認事項は Google Cloud (GCP)の Web アプリケーションの安全性です。
本来、 Web アプリケーションの安全性は、その開発や試験を担当する組織が担保しなければいけません。しかし、 Google Cloud (GCP)で Web アプリケーションを開発する場合は、 Secret Manager などのクラウドサービスとして提供させる機能を活用することで、安全性を高めることが可能です。
また、 Google Cloud (GCP)をはじめとしたパブリッククラウドを導入する際は、パブリッククラウドの利用を前提とした開発ガイドラインを策定することが望ましいと言えます。万が一、会社の機密情報が外部に漏れた場合は取り返しの付かない事態になるため、パブリッククラウドを活用した仕組みの中で、いかにセキュリティを担保するのか、という点は慎重に検討してください。
確認事項4.Google Cloud (GCP)の運用の安全性
4つ目の確認事項は Google Cloud (GCP)の運用の安全性です。
Google Cloud (GCP)は強固なセキュリティを誇るサービスですが、適正に運用しなければ安全性は著しく低下します。 Google Cloud (GCP)の価値を最大限に発揮するためにも、効率的かつ安全な運用を慎重に検討してください。
例えば、 Google Cloud (GCP)を適正に運用するためのポイントとして、アカウントの棚卸が挙げられます。仮に社員が退職した場合は、 IAM を使ってその人のアカウント権限を削除しましょう。このようなアカウントの棚卸をルールとして運用化し、定期的に実施することで、セキュリティリスクを最小限に抑えることができます。
また、機密情報を取り扱う場合には、リリースやバックアップなども重要な要素になります。自社が Google Cloud (GCP)を利用する目的や取り扱う情報の機密レベルに応じて、事前にポイントを体形的にまとめておき、運用手順書という形で資料化しておくことをオススメします。
これにより、個人の判断に委ねる属人的な運用を回避でき、途中で担当者が退職・異動で不在となった場合でも、これまでの運用を変えずにセキュリティを担保した状態で Google Cloud (GCP)を利用可能になります。
さらに、ローリングアップデートの観点も重要です。この点をまったく検討せずにシステムを構築した場合、後から大きなトラブルに発展するリスクがあります。そのため、初めから数年後のローリングアップデートを意識し、予算取りも含めて、計画的なシステム設計を行うことが大切なポイントだと言えます。
トップゲートの会社紹介
最後に、弊社トップゲートの簡単な会社紹介をさせていただきます。
トップゲートでは、 Google Cloud (GCP)を導入する前の相談から、実際にサービスを導入した後の運用まで、幅広いサポートを提供しています。コンサルティングの領域にも対応しており、ビッグデータ解析や IoT 機械学習に強い Google Cloud の専門チームがお客様のクラウド活用を強力にサポートします。
BigQuery や AutoML 、 Cloud Spanner などをはじめとしたサービス活用も含めて、 Google Cloud (GCP)の様々なサービスを活用したクラウドネイティブな環境構築を支援しています。システム受託やシステム開発の経験も豊富であり、顧客目線であらゆるニーズにお応えします。
さらに、トップゲートでは Google Cloud (GCP)の認定トレーニングを行なっています。 Google から正式な認定を受けている知識豊富な講師陣が、 IT 担当者の方々へハンズオンを交えた Google Cloud (GCP)のトレーニングを実施します。
このように、トップゲートでは様々な観点から Google Cloud (GCP)の導入・活用を幅広く支援しています。 Google Cloud (GCP)に関する内容であれば、すべてをワンストップで提供しているため、 Google Cloud (GCP)を導入検討中の方や、導入したけど上手く活用が進んでいない、という方は、お気軽にお問い合わせください。
まとめ
本記事では、トップゲート CTO の飛鳥氏が実際に体験した Google Cloud (GCP)のシステム構築事例をベースとして、 Google Cloud (GCP)のセキュリティにおける4つの確認事項をご説明しました。
Google Cloud (GCP)は強固なセキュリティを誇るサービスですが、何も考えずに利用した場合、当然ながらセキュリティのリスクは高まります。 Google Cloud (GCP)を安全に使うための確認事項を理解し、適正にサービスを運用することが大切です。
以下、4つの確認事項を改めて記載します。
どれも、 Google Cloud (GCP)を安全に運用するためには欠かせない重要なポイントです。今回ご説明した内容を理解・実践することで、安全性を担保しながら Google Cloud (GCP)を利用することが可能になり、自社の本質的な業務効率化や生産性向上を実現できます。
本記事を参考にして、ぜひ Google Cloud (GCP)の導入を検討してみてはいかがでしょうか。
弊社トップゲートでは、専門的な知見を活かし、
- Google Cloud (GCP)支払い代行
- システム構築からアプリケーション開発
- Google Cloud (GCP)運用サポート
- Google Cloud (GCP)に関する技術サポート、コンサルティング
など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。
Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!