<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=220807558931713&amp;ev=PageView&amp;noscript=1">

Google Workspaceのセキュリティと信頼性を徹底解説

 2021.10.05  株式会社電算システム

クラウドサービス導入にあたって検討の要所となるのがセキュリティです。
Google Workspaceは信頼できる優れたセキュリティで知られていますが、インフラ・セキュリティ技術、サービスプロバイダとしてのセキュリティ体制が十分か、導入検討の参考になるようにまとめましたので、ぜひご活用ください。

Google Workspaceのセキュリティと信頼性を徹底解説

Google Workspaceのセキュリティが信頼できる理由

Google Workspaceは、最新鋭のセキュリティ基盤・オペレーションセキュリティ・常に最新に更新されセキュリティ技術を用いたクラウドサービスです。信頼性を証明する第三者認証も多数取得されています。
以下では、セキュリティのポイントとなる項目についてご紹介します。

Googleの最新鋭のセキュリティ基盤

Google Workspaceのセキュリティを支えるのがデータセンターおよびサーバの堅牢性です。Google Workspaceのクラウドサーバは、安全な場所で物理的に何重にも保護され、24時間監視のうえ管理されています。サーバは攻撃に強い構造を設計段階から実装しており、外からの攻撃者がサーバをアタックすることは非常に難しいのです。

また、サーバ内のデータは、暗号化が十分に施されているほか、バックアップが自動的に取得され、障害からの復旧も迅速・完全に行うことができます。データの保護・管理においても、暗号化に加え、各種の不正アクセス対策・DLPなどにより守られています。
このように保全されたデータは米国の訴訟の際の証拠開示・保全プロセスであるeDiscovery に耐えられるレベルのものです。

Googleの暗号化は、ハードウェア・インフラストラクチャー(ストレージ)・プラットフォーム・アプリケーションと、各レイヤーにそれぞれかけられています。単純に言って、暗号化が4つの層すべてにかけられているストレージを攻撃することは困難であると言えます。DDoSなどのサービス拒否を生じさせる攻撃にも強い構造です。さらに、通信にも暗号化が施されます。

これらの技術とオペレーションをGoogle セキュリティ専門チームが支え、不正アクセスなど悪意ある者からの攻撃の予防・データ保護を行っています。

3つのコンポーネントから構成

強固なセキュリティ基盤は、3つのコンポーネント、すなわち専門家などの人的資源、オペレーションのプロセス、そして最新のテクノロジーにより支えられています。

まず、人的資源として、Googleでは優秀なセキュリティ人材を技術専門家・法令に関する専門家から集めて従事させています。さらに、職員の身元調査・誓約書への署名・行動モニタリングにより、職員の統制も厳格に行っています。

オペレーションプロセスにおいても、脆弱性の管理・マルウェアの検出・モニタリング・インシデント管理といった各プロセスも十分です。何重にも予防と検知、分析、異常が生じた場合の原因の究明といったセキュリティプロセスが実施されています。

クラウドサービスを支えるデータセンターの技術も、最新鋭のセキュリティ技術が利用されています。サーバは高可用性があり、遅延は最小限に抑えられています。データ保護のための暗号化・暗号化通信は、国際標準規格や厳しいコンプライアンス要件をクリアした高いレベルの最新技術が使われ、常にアップデートが繰り返されている状況です。

Google Workspaceの特徴と他コミュニケーションツール比較
Google Workspaceプラン別に実現できることとは

Google Workspaceの標準セキュリティ

Google Workspaceのセキュリティは、各エディション・プランに共通の標準セキュリティがベースとなっています。代表的な標準セキュリティ仕様は以下の通りです。

Webアプリケーションの脆弱性対策

Google Workspaceは、Web上のワークスペースです。Webサービスはセキュリティレベルが低いと、悪意ある第三者の攻撃を受けやすく、情報漏えいの原因となる可能性があります。

Google Workspaceはセーフブラウジング技術とChromeの常時最新化を採用し、脆弱性対応を十分に施したうえでHTTPS通信により通信の暗号化を強化し、対応しています。

多層+通信の暗号化

Googleの暗号化は、ハードウェア・インフラストラクチャー(ストレージ)・プラットフォーム・アプリケーションと各レイヤーにそれぞれかけられています。暗号化が4つの層すべてにかけられているストレージを攻撃することは困難です。多層にわたる防御ができるのは、DDoSなどのサービス拒否を生じさせる攻撃にも強いことを意味します。

また通信の際の暗号化も独特の技術を使っています。チャンクと言って1つのデータをいくつかの塊に分けて送信することと暗号化アルゴリズムを組み合わせています。アルゴリズムとしてはアメリカ国立標準技術研究所が推奨する技術標準である「AES256」が利用されています。

スパム・マルウェア対策

Google Workspace、Workspace上のアプリケーションは、それぞれGoogleからデフォルトでウィルススキャン機能が提供されています。Gmailのスパム検知も優れており、99.9%の精度で検知ができるほど強力です。

豊富なカスタム設定

Google Workspaceは、管理者権限が強化されたソリューションで、カスタム設定が豊富です。自社の利用状況に応じたセキュリティのカスタマイズが管理者権限で設定できます。

管理者の権限で、Workspace上の各サービスのアクセス・利用の許可をコントロールできることに加え、セキュリティ機能に関してもコントロールを行えるのです。

2段階認証・DLP(Data Loss Protection)ポリシーやGmailの暗号化の強制、サードパーティ製アプリケーションのアクセスの制限・モバイルデバイスの制限・Vaultによる監査など、管理機能には多くのセキュリティ関連機能があり、十分な統制を行うことができます。

2段階認証はGoogleの技術を用いることも、シングルサインオン(SSO)によることもできます。サードパーティの生体認証等の技術との組み合わせの利用も可能です。

また、メールはもともと通信が暗号化されているうえに、管理者権限でメールの暗号化について標準より強固な設定を行うことができます。このように、何重もの暗号化が施されているので、徹底した暗号化・安全なデータのやり取りができるものです。

ツールの導入等によらず、Google Workspaceの管理を管理コンソールの利用により、強力に一元的コントロールを行える点もGoogle Workspaceの利便性の高さと安全性の双方を支えています。

第三者機関によるセキュリティ認証

Googleのセキュリティ体制はセキュリティ認証が多数取得され、客観的に証明されています。また、Googleはこれらの認証文書を一部はWebで公開、請求により多くの文書をユーザーにも提供し、ユーザーの認証取得・コンプライアンス対応もサポートしています。

ISO 27001

ISO27001は、最も広く認識されている情報セキュリティマネジメントシステム(ISMS)に関する規格の1つです。Google Workspaceの運用に必要なシステム・データセンターは、すべてこの認証を取得しています。

情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための基本的な組織運営・ガバナンスのフレームワークを提示しているのがこの規格です。
世界で最も信頼されている情報セキュリティマネジメントシステム規格でもあり、各国で入札・公共調達の要件とされていることも多く見られます。

ISO 27017

基本的なセキュリティマネジメント体制を規定するISO27001に加えて、クラウドに特化した情報マネジメントシステムを定義しているのが、ISO27017です。

クラウドサービス特化型の国際規格であり、ユーザー・サービスプロバイダそれぞれに要件が定義されています。Google Workspaceはサービスプロバイダとしてこの規格に準拠しています。

クラウドの急速な普及で、今後は世界的なスタンダードのセキュリティ規格になると予測されているものですが、すでにGoogleはこの規格に準拠しています。

ISO 27018

ISO27018は、パブリッククラウド上の個人情報保護・ユーザーのプライバシー保護のための規格です。この規格にもGoogle Workspaceは準拠しています。
より具体的に要件を見ると「ユーザーのデータを広告目的で使用しないこと」「サービス内のデータの所有者がお客様であること」「データの削除と書き出しを行えるツールを提供すること」など、ユーザーのデータコントロール権を担保する内容になっています。

SOC 2 / SOC 3

SOC2/SOC3は、米国公認会計士協会が定める監査フレームワークであり、デジタルサービスを提供する事業者のセキュリティ体制について、認証があると同フレームワークに従った体制を備えているものとされています。米国に限らず、世界中で公共事業や金融業界などでベンダー選定等に広く利用されている認証です。

Googleは、SOC 2 / SOC 3の認証も取得しており、セキュリティ統制システムを構築していることが客観的に認められています。

FedRAMP

FedRAMPはFederal Risk and Authorization Management Programの略で、米国政府の採用する「クラウドサービスに関するセキュリティ評価・認証の統一ガイドライン」です。ベースとなっているのは、ISO27001ですが、米国国内での連邦調達基準として使われるのはこちらであるため、米国のサービスプロバイダは、双方を並行して取得する例が多いとされます。

関係省庁には、米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、米国国防総省 (DoD)、米国国立標準技術研究所 (NIST)、連邦情報統括官 (CIO) 協議会があり、共同して監修を行っています。現在も連邦政府での統一的な調達基準として利用されています。

PCI DSS

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード業界の情報セキュリティ基準であり、カード会員の情報を保護することを目的として定められています。Googleは、ペイメントサービス提供事業者として、この規格に準拠しています。

データ損失防止ポリシー(DLP)を設定することにより、ペイメントカード情報を含むメールがGoogle Workspaceから送信されなくなります。また、規格に準拠しているGoogle Workspaceは、事実上、セキュリティの厳しい金融業界でも問題なく採用できることを意味しています。

Google Workspace 事例
Google Workspace

まとめ

Google Workspaceは上記で説明した通り、最も信頼できるクラウドサービスの1つです。しかし、導入検討の際には、自社のセキュリティポリシーに技術仕様やサービスの運用体制がマッチしているか、技術・体制が十分かなど、多角的に検討をする必要があります。
技術仕様・管理体制・第三者認証に関する説明をもとに、具体的検討を進めてみましょう。

CTA

RELATED POST関連記事


RECENT POST「Google Workspace」の最新記事


Google Workspace

Google Workspace(旧 G Suite)のセキュリティ対策

Google Workspace

ゼロトラストを導入するためにやっておくべきこと!実装でのポイント

Google Workspace

情報漏えいの原因と対策方法のまとめ

Google Workspace

ゼロトラストとVPN(境界分離)の違いとは?

Google Workspaceのセキュリティと信頼性を徹底解説