Google WorkspaceはGoogleによる最新のセキュリティ技術によって保護された高い安全性を誇っています。しかし、具体的にどこがどのように優れているのか、詳しくは知らない人も多いのではないでしょうか。そこで本記事ではGoogle Workspaceのセキュリティを構成する数々の機能や特徴を紹介します。
Google Workspaceのセキュリティ基盤
Googleは専門のセキュリティチームによって、サービス全体へ常に最新のセキュリティ対策を施しています。詳細は後述しますが、このセキュリティ対策は国際的な第三者機関によって客観的に認証された、安全性が確かなものです。Google Workspaceを導入するということは、そこで使用されるサービスやデータがこの最高水準のセキュリティによって保護されることを意味します。
企業によっては、専任のセキュリティ担当者や十分な専門知識持つ者が社内に存在しない場合も多々ありますが、Google Workspaceを導入することで、組織の全体的な情報セキュリティを改善可能です。これによりユーザーは、慣れないセキュリティ設定に戸惑う手間や時間を省き、目の前の重要な仕事に安心して取り組めるようになります。
ここでは、Googleの世界水準のセキュリティを成立させる大きな2つの要素、「最新鋭のデータセンター」および「3つのコンポーネント」を紹介します。
安全性の高い最新鋭のデータセンター
Google Workspaceのセキュリティを支えるのがデータセンターおよびサーバーの堅牢性です。Google Workspaceのクラウドサーバーは、安全な場所で物理的に何重にも保護され、24時間監視のうえ管理されています。サーバーは攻撃に強い構造を設計段階から実装しており、安全性の高さを誇ります。
また、Googleのデータセンターは、強化されたオペレーティングシステムとファイルシステムによって運用しており、データはGoogleの各サーバー・各データセンターに分散して保存されます。これによって、万一あるデータセンターで災害や障害が発生したとしても、ユーザーは他のデータセンターにバックアップしてあるデータにアクセス可能です。データの保護・管理においても、暗号化に加え、各種の不正アクセス対策・DLPなどにより守られています。このように保全されたデータは米国の訴訟の際の証拠開示・保全プロセスであるeDiscoveryに耐えられるレベルのものです。
Googleの暗号化は、ハードウェア・インフラストラクチャー(ストレージ)・プラットフォーム・アプリケーションと、各レイヤーにそれぞれかけられています。単純に言って、暗号化が四つの層すべてにかけられているストレージを攻撃することは困難です。DDoSなどのサービス拒否を生じさせる攻撃にも強い構造であり、さらに通信にも暗号化が施されます。
このような厳重なセキュリティ体制は、企業の重要な情報資産を悪意ある攻撃者や予期せぬ災害・障害から守るために重要です。バックアップされずに消えてしまったデータは保険で戻すことはできません。情報漏洩などによって失った社会的信用も簡単には回復しないでしょう。
しかし、Googleと同じレベルのセキュリティ体制をユーザーが独自に構築しようとすれば、発生するコストは莫大なものになります。その点、Google Workspaceを導入すれば、災害や障害に対しても非常に強い最新鋭のデータセキュリティをすぐに手に入れることが可能です。
強固な基盤を支えるコンポーネント
強固なセキュリティ基盤は、3つのコンポーネント、すなわち専門家などの人的資源、オペレーションのプロセス、そして最新のテクノロジーにより支えられています。
まず、人的資源として、Googleでは優秀なセキュリティ人材を技術専門家・法令に関する専門家から集めて従事させています。さらに、職員の身元調査・誓約書への署名・行動モニタリングにより、職員の統制も厳格に行っています。このモニタリングについては次のセクションでも後述します。
オペレーションプロセスにおいても、脆弱性の管理・マルウェアの検出・モニタリング・インシデント管理といった各プロセスも十分です。何重にも予防と検知、分析、異常が生じた場合の原因の究明といったセキュリティプロセスが実施されています。
クラウドサービスを支えるデータセンターの技術も、最新鋭のセキュリティ技術が利用されています。サーバーは高可用性があり、遅延は最小限に抑えられています。データ保護のための暗号化・暗号化通信は、国際標準規格や厳しいコンプライアンス要件をクリアした高いレベルの最新技術が使われ、常にアップデートが繰り返されている状況です。
Google Workspaceの標準セキュリティ
Google Workspaceのセキュリティは、各エディション・プランに共通の標準セキュリティがベースとなっています。代表的な標準セキュリティ仕様は以下の通りです。
- Webアプリケーションの脆弱性対策
- 多層+通信の暗号化
- スパム・マルウェア対策
- モニタリング
Webアプリケーションの脆弱性対策
Google Workspaceは、Web上のワークスペースです。Webサービスはセキュリティレベルが低いと、悪意ある第三者の攻撃を受けやすく、情報漏えいの原因となる可能性があります。
Google Workspaceはセーフブラウジング技術とChromeの常時最新化を採用し、脆弱性対応を十分に施したうえでHTTPS通信により通信の暗号化を強化し、対応しています。
多層+通信の暗号化
Googleの暗号化は、ハードウェア・インフラストラクチャー(ストレージ)・プラットフォーム・アプリケーションと各レイヤーにそれぞれかけられています。暗号化が四つの層すべてにかけられているストレージを攻撃することは困難です。多層にわたる防御ができるのは、DDoSなどのサービス拒否を生じさせる攻撃にも強いことを意味します。
また、通信時の暗号化も独特の技術を使っています。チャンクと言ってひとつのデータをいくつかの塊に分けて送信することと暗号化アルゴリズムを組み合わせています。アルゴリズムとしてはアメリカ国立標準技術研究所が推奨する技術標準である「AES256」が利用されています。
スパム・マルウェア対策
Google Workspace、Workspace上のアプリケーションは、それぞれGoogleからデフォルトでウィルススキャン機能が提供されています。Gmailのスパム検知も優れており、99.9%の精度で検知ができるほど強力です。
モニタリング
Google Workspaceは、すべてのリソースをリアルタイムで自動的にモニタリングしています。ゼロトラストの観点から実施されるこのモニタリングでは、内部ネットワークトラフィックから収集されている情報、不審な操作やアクセス、外部の脆弱性や脅威といった、すべてのリスクを監視・特定するものです。
カスタム設定でセキュリティの強化が可能
Google Workspaceは、管理者権限が強化されたソリューションであり、カスタム設定が豊富です。自社の利用状況に応じたセキュリティのカスタマイズを、管理者権限で設定できます。Workspace上の各サービスのアクセス・利用の許可に加え、セキュリティ機能に関しても詳細にコントロールを行えます。ここでは、このカスタム設計で強化できる内容を解説します。
- メールの保護
- 二段階認証
- シングルサインオン(SSO)
- ユーザーのアクセス制限
メールの保護
Gmailはもともと、通信の暗号化や、スパム、フィッシング、マルウェアといった脅威を99%の精度で検出する機械学習などの強固なメールセキュリティで保護されています。
Google Workspaceの管理者は、このGmailのセキュリティ機能をさらに高度にカスタマイズ可能です。これにより、通信の暗号化をさらに強化したり、不審な添付ファイル、リンク、画像、なりすましや未認証メールなどを自動検出し、ユーザーへ警告したりするように設定できます。
また、「情報保護モード」でメールを送信すれば、メールに有効期限やパスワードを設定できるほか、転送やコピー、印刷、ダウンロードを禁じるなどして、メールによる情報漏洩リスクをより抑えることが可能です。
二段階認証
Google Workspaceの管理者は、カスタム設定により二段階認証をユーザーに強制できます。二段階認証を設定することで、ユーザーはログインする際に、パスワード以外にもスマートフォンまたはセキュリティキーによる認証が必要になります。
これによって不正ログインのリスクを軽減し、アカウントの乗っ取りなどを防止可能です。なお、二段階認証はGoogleによる上記の設定以外にも、サードパーティの生体認証サービスなどと組み合わせることもできます。
シングルサインオン(SSO)
Google Workspaceでは管理者設定によって、シングルサインオン(SSO)も利用できます。シングルサインオン(SSO)とは、一度の認証操作によって複数のサービスへのログインを一括で済ませられる機能です。
シングルサインオン(SSO)を活用することで、ユーザーは複数の複雑なパスワードを暗記したり入力したりする労力から解放されます。セキュリティ面から見ても、覚えやすい単純なパスワードを使い回すよりも、ひとつの強力なパスワードで保護した方がより安全であり、クラウドのアクセス管理を一元化できるというメリットもあります。
Google Workspaceにおけるシングルサインオン(SSO)の概要や設定の仕方などに関しては下記の記事を参考にしてください。
関連記事:
「Google Workspace(旧 G Suite)を使ったSSO(シングルサインオン)」
ユーザーのアクセス制限
Google Workspaceの管理者は、ユーザーによるアクセスをさまざまな条件に照らして制御できます。たとえば、会社が支給したデバイスによってのみ特定のファイルへのアクセスを許可したり、ユーザーのストレージデバイスが暗号化されている場合にのみドライブへのアクセスを許可したりする場合です。先に紹介した二段階認証も有効なアクセス制御のひとつです。
こうしたアクセス制御を設定することで、条件を満たしたユーザーであればどこからでもアクセスが可能です。そのため、社員がオフィス外からアクセスしてくるテレワークにおいてもセキュリティを確保できます。
Google Workspaceのデータをバックアップする方法は? 注意点も解説
Google Workspaceのデータをバックアップする方法については「Google Workspaceのデータをバックアップする方法は? 注意点も解説」でも詳しく解説しております。参考にしてください。
第三者機関によるセキュリティ認証
Googleのセキュリティ体制はセキュリティ認証が多数取得され、客観的に証明されています。また、Googleはこれらの認証文書を一部はWebで公開、請求により多くの文書をユーザーにも提供し、ユーザーの認証取得・コンプライアンス対応もサポートしています。
- ISO/IEC 27001
- ISO/IEC 27017
- ISO/IEC 27018
- SOC 2 / SOC 3
- FedRAMP
- PCI DSS
ISO/IEC 27001
ISO/IEC 27001は、最も広く認識されている情報セキュリティマネジメントシステム(ISMS)に関する規格のひとつです。Google Workspaceの運用に必要なシステム・データセンターは、すべてこの認証を取得しています。
情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための基本的な組織運営・ガバナンスのフレームワークを提示しているのがこの規格です。世界で最も信頼されている情報セキュリティマネジメントシステム規格でもあり、各国で入札・公共調達の要件とされていることも多く見られます。
ISO/IEC 27017
基本的なセキュリティマネジメント体制を規定するISO/IEC 27001に加えて、クラウドに特化した情報マネジメントシステムを定義しているのが、ISO/IEC 27017です。
クラウドサービス特化型の国際規格であり、ユーザー・サービスプロバイダそれぞれに要件が定義されています。Google Workspaceはサービスプロバイダとしてこの規格に準拠しています。
ISO/IEC 27017は、クラウドの急速な普及により、今後は世界的なスタンダードのセキュリティ規格になると予測されているものですが、Googleはすでにこの規格に準拠しています。
ISO/IEC 27018
ISO/IEC 27018は、パブリッククラウド上の個人情報保護・ユーザーのプライバシー保護のための規格です。この規格にもGoogle Workspaceは準拠しています。
より具体的に要件を見ると「ユーザーのデータを広告目的で使用しないこと」「サービス内のデータの所有者がお客様であること」「データの削除と書き出しを行えるツールを提供すること」など、ユーザーのデータコントロール権を担保する内容になっています。
SOC 2 / SOC 3
SOC2/SOC3は、米国公認会計士協会が定める監査フレームワークであり、デジタルサービスを提供する事業者のセキュリティ体制について、認証があると同フレームワークに従った体制を備えているものとされています。米国に限らず、世界中で公共事業や金融業界などでベンダー選定等に広く利用されている認証です。
Googleは、SOC 2 / SOC 3の認証も取得しており、セキュリティ統制システムを構築していることが客観的に認められています。
FedRAMP
FedRAMPはFederal Risk and Authorization Management Programの略で、米国政府の採用する「クラウドサービスに関するセキュリティ評価・認証の統一ガイドライン」です。ベースとなっているのは、ISO27001ですが、米国国内での連邦調達基準として使われるのはこちらであるため、米国のサービスプロバイダは、双方を並行して取得する例が多いとされます。
関係省庁には、米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、米国国防総省 (DoD)、米国国立標準技術研究所 (NIST)、連邦情報統括官 (CIO) 協議会があり、共同して監修を行っています。現在も連邦政府での統一的な調達基準として利用されています。
PCI DSS
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード業界の情報セキュリティ基準であり、カード会員の情報を保護することを目的として定められています。Googleは、ペイメントサービス提供事業者として、この規格に準拠しています。
データ損失防止ポリシー(DLP)を設定することにより、ペイメントカード情報を含むメールがGoogle Workspaceから送信されなくなります。また、規格に準拠しているGoogle Workspaceは、事実上、セキュリティの厳しい金融業界でも問題なく採用できることを意味しています。
まとめ
Google Workspaceは、Googleのセキュリティ専門チームによって何重にも保護された信頼性の高いクラウドサービスです。そのセキュリティの高さは国際的な第三者機関の基準も満たすものであり、ユーザーはこれを活用することで高度なデータセキュリティを獲得できます。Google Workspaceのセキュリティは管理者機能によって、より高度にカスタム設定ができます。本記事を参考に、ぜひ活用を検討してみてはいかがでしょうか。
