コンピュータセキュリティは、現代の大きな課題の一つです。良い日には何も起こりません。セキュリティ専門家は、偏執的な性格で、平穏な状況を見て、一体何を見逃しているのかと自問自答することがよくあります。サイバー犯罪者から国家に至るまで、無数の悪意ある主体によるセキュリティ脅威は、その巧妙さ
と頻度を増し続けています。
ある推計によると、世界中のインターネットトラフィックの25%を毎日処理していると言われるGoogleを想像してみてください。攻撃を常に阻止するには何が必要なのでしょうか?Googleは、それぞれ10億人以上のユーザーを抱える7つのアプリを保護し、1分間に1,000万件のスパムメッセージをフィルタリングし、1日に10万件の疑わしいウェブページを検出し、そしておそらく世界最大規模の独自ネットワークを介して、想像を絶する量の暗号化トラフィックを配信しています。
Googleは現在、クラウドコンピューティング事業であるGoogle Cloudを通じて、高度なセキュリティ技術を他社にも提供しています。その過程で、セキュリティ対策の成功戦略の一部を広く世界に発信しています。
早ければ早いほど良い。米国経済諮問委員会(ECA)の2018年報告書によると、悪意のあるサイバー活動は2016年に米国経済に最大1090億ドルの損害を与えた。報告書によると、米国内外の企業は年間平均130件の侵害を経験した。トムソン・ロイターは2001年から2014年の間に、年間約9.3件のサイバー攻撃とデータ侵害を報告した。2015年から2017年の間には、年間53件に増加し、6倍に増加したと同社は述べている。
彼らが知っているのは、まさにその点です。2017年12月のガートナー社のセキュリティ情報・イベント管理に関するマジック・クアドラントレポートによると、「組織は侵害の早期検知に失敗しており、侵害の80%以上が侵害を受けた組織によって検知されていない」とのことです。結局のところ、たった1回のクリックで一連のイベントが発生し、攻撃者が侵入するきっかけとなり、企業に深刻な損害をもたらす可能性があります。金銭や知的財産の盗難、評判の失墜、破壊行為など、よくある被害に見舞われるのです。
Google Cloud は、自社と顧客を守るため、Google 自身を大規模に運用しながらも悪意のある活動を 24 時間体制で阻止できるテクノロジーとプラクティスを採用しています。これは Google が設計、構築、運用する多層インフラストラクチャであり、コア設計にセキュリティが組み込まれています。
どれほど徹底しているかを理解するには、Googleクラウドインフラの両端に1つずつ設置された2つの小さなハードウェアを想像してみてください。Googleデータセンターに設置された新しいサーバーには、専用の小型Titanチップが搭載されています。Titanチップは、マシンが1バイトのデータを受信する前に、ハードウェアが改ざんされていないことを確認し、各部品が正しいことを確認しています。
コンピューティングプロセスのもう一方の端では、暗号化、物理的なガード、その他多数のセキュリティ対策に加え、Googleの従業員はもう一つの小さなハードウェア、つまり物理キーを所有しています。このキーは、ユーザーがログイン時にタップすることで、実際にログインしていることを確認するものです。バックグラウンドで実行される公開鍵暗号化と組み合わせることで、これは一般的な二要素認証の実装に潜む潜在的な欠陥に対処する安全対策となります。従業員にセキュリティキーを第二要素として要求し始めて以来、Googleではパスワードフィッシングによるアカウント乗っ取りの報告や確認は一度もありません。これは革新的な思考力の力強さを証明しています。
「Google Cloud では、お客様のセキュリティに対して包括的なアプローチを採用しています」と、Google Cloud の信頼とセキュリティ製品部門で働く Rob Sadowski 氏は述べています。「セキュリティ問題の根本原因をすべて調査し、セキュリティ キーのようなクリーンシートアプローチも含め、最適な解決策を見つけるためにリソースを投入しています。」
Google と Google Cloud のお客様にとってのセキュリティ目標は、「多層防御」と呼ばれるものです。Sadowski 氏の言葉を借りれば、Google Cloud は「グローバルに一貫性があり、何も信頼しないように設計された包括的なインフラストラクチャ」を提供します。では、
企業がセキュリティ上の煩わしさから解放されることで、どのようにビジネスの成長につながるのか、詳しく見ていきましょう。
Google Cloud は、物理的なデータセンターをはじめ、複数のレイヤーでセキュリティを構築しています。世界中に展開する Google のデータセンターは、Google Cloud を支えるサーバーやその他のハードウェアを収容する、セキュリティの高い複合施設です。レーザーベースの検知システムに囲まれ、入場には生体認証スキャンを含む複数のセキュリティクリアランスが必要となるデータセンターは、物理的な基盤となります。次のレイヤーは、コンピュータハードウェアそのものです。Google 
Cloud のサーバーマザーボードには、ファームウェア、オペレーティングシステム、その他のソフトウェアスタックの整合性を検証するための専用の Titan チップが搭載されており、ハードウェアとソフトウェアの検証が完了した場合にのみサーバーが起動します。ストレージレイヤーでは、保存データはデフォルトで暗号化され、パフォーマンス、信頼性、そして不正アクセス防止のために分散されます。次に、ID レイヤーでは、ユーザーとマシンはデータやサービスへのアクセス時に強力な認証を行う必要があります。次の層では、Google Cloud サービスへの接続が暗号化され、複数のシステムから大量のトラフィックをサーバーに送り込み、アクセス不能状態に陥らせる分散型サービス拒否(DDoS)攻撃などのネットワーク脅威からお客様を保護するための多層防御が採用されています。これらの仮想セキュリティ対策に加え、900名を超えるグローバルセキュリティ専門家チームが、24時間365日体制でシステムを監視し、攻撃や問題を検知・対応しています。
つまり、Google Cloud は何も信頼しないように設計されています。統一されたアーキテクチャにより、異常の検出と大規模なアップデートが容易になり、Google Cloud を利用する企業は Google 自体の強固なセキュリティ基盤の恩恵を確実に受けることができます。「堅牢なセキュリティを実現するには、段階的に重ねた保護レイヤーが必要です」とサドウスキー氏は言います。「1 つのレイヤーに問題が発生した場合、システムを強化するために他の複数のレイヤーが存在します。Google Cloud では、セキュリティは後付けではなく、最初から組み込まれています。」
下にスクロール
Google Cloud の多層防御アプローチは、Titan Chip と Security Key という 2 つのテクノロジーによって実証されています。Google Cloud の基盤はハードウェアです。クラウド プロバイダーにとって、ハードウェアの保護は不可欠です。悪意のある人物がシステムのハードウェアまたは低レベルソフトウェアに侵入すると、機密データを含む上位のすべてに自由にアクセスできる可能性があります。改ざんから保護するために、Google Cloud は Titan Chip を設計しました。これは、
システムのベースライン セキュリティを検証するために Google が独自に構築したメカニズムです。サーバーが起動する前に、Titan Chip はまずファームウェアやその他の低レベルソフトウェアの整合性を確認する必要があります。チップが異常(Google が認識していないコンポーネント)を発見した場合、そのサーバーのオンライン接続は許可されません。欠陥が見つからなかった場合、プラットフォームは起動プロセスを続行し、結果として得られるインフラストラクチャはオンライン接続前に検証されます。「侵害されたハードウェアは検出が困難で、広範なアクセスを許してしまう可能性があります」と Sadowski 氏は述べています。 「だからこそ、ハードウェアの欠陥を狙った攻撃が話題になるのです。そこで、こうした事態を防ぐために、改ざん検出機能を備えたTitanチップを開発しました。そして、このチップを信頼できるものにする最善の方法は、自ら設計することでした。」
下にスクロール
セキュリティの対極に位置するのは、企業環境において最も脆弱なリンクの一つ、つまり人間です。攻撃者はインフラへの侵入ではなく、従業員のアカウントを乗っ取って企業データへのアクセスを試みることが一般的です。2018年のTrustwaveグローバルセキュリティレポートによると、企業ネットワーク環境に対する攻撃の55%は、フィッシングメール(ユーザーを誘導して
機密情報を漏洩させることを目的とした欺瞞メール)などのソーシャルエンジニアリングから始まります。フィッシングメールはかつては粗雑なものでしたが、今でははるかに説得力があり、正規のメールとの区別が難しくなっています。さらに、悪意のある攻撃者は、CEO、IT管理者、そして企業内で広範な権限とアクセス権を持つその他の担当者を標的とし、より的を絞った「スピアフィッシング」攻撃を仕掛けています。「攻撃者はこれらの戦術を用いて、企業への最初の足掛かりを得ています」とSadowski氏は述べています。
フィッシング対策として、Google はユーザーの本人確認に役立つシンプルながらも効果的なツール「セキュリティ キー」の開発を支援しました。アカウントにログインする際、ユーザー名とパスワードの入力に加えて、ユーザーはパソコンに挿入されているか、NFC または Bluetooth で接続された物理デバイスをタップする必要があります。デバイスがタップされると、ログイン先のサイトに暗号化された証明が送信されます。この証明は、リモートの攻撃者ではなく、実際の人物が認証情報を提供し、サイトに登録したキーを所有していることを証明します。人間によるタッチ操作で攻撃者を阻止するセキュリティ キーは、Google Cloud のセキュリティに対する革新的なアプローチを示す好例です。「Google Cloud では、お客様のセキュリティに対して包括的なアプローチを採用しています」と Sadowski 氏は述べています。「セキュリティ問題の根本的な原因を突き止め、セキュリティ キーのようなクリーンシート アプローチを含め、最適な解決策を見つけることにリソースを投入しています。」
下にスクロール
Google Cloudは、企業向けの強力で安全なプラットフォームです。調査会社ガートナーは最近、ビジョンの完全性と実行能力に基づき、2018年5月の「世界のクラウド・インフラストラクチャ・アズ・ア・サービスに関するマジック・クアドラント」において、Google Cloud Platformをリーダーとして認定しました。
「Google Cloud によって、企業にはこれまで提供できなかったセキュリティ機能を提供できます」とサドウスキー氏は語る。「当社のセキュリティ ソリューションは、ユーザーの利便性を高めると同時に、攻撃者のセキュリティを強化するように設計されています。」
Google Cloud は、医療、金融、教育など、さまざまな業界と連携し、世界中でかつてない規模で企業の情報を保護しています。そして、安全な基盤は企業にとってイノベーションへの扉を開きます。
Google Cloud のセキュリティの詳細については、g.co/cloudsecure をご覧ください。
