G Suite のセキュリティ対策

 2018.04.20  電算システムブログ編集部

Google が提供するグループウェアサービス「G Suite」は、いま多くの企業や組織で導入が進んでいます。しかしながら、クラウドサービスとして提供されているためセキュリティに対して懸念を持たれることもあるのではないでしょうか。そこで、G Suite のセキュリティ対策についてまとめてみたいと思います。

G Suite はクラウドサービスであるため、サーバー側のセキュリティという観点ではクラウド事業者としての堅牢なデータセンターや、最新のセキュリティ対応などが合わせて提供され、非常にセキュリティレベルの高い運用が可能になります。まずは、つねにインターネットから接続可能になっているサーバー側のセキュリティと、そのほかに必要な対策を考えてゆきましょう。

2017年はセキュリティインシデントが12%増加

2018年1月16日に公開された、「JPCERTコーディネーションセンター」の四半期レポートによれば、同組織に寄せられたセキュリティインシデント(発生)は2017年全体で1万8,449件。2016年から約12%のインシデント増加になりました。

引用:JPCERTコーディネーションセンター「JPCERT/CC インシデント報告対応レポート[2017年10月1日~2017年12月31日]

参考:「JPCERT/CC インシデント報告対応レポート[2016年10月1日~2016年12月31日]

この増加の背景には、2017年5月に世界中で猛威を振るった「WannaCry(ワナクライ)」の登場や、2月に発生したオープンソースソフトウェア「WordPress(ワードプレス)」を対象としたゼロデイ攻撃などが、増加要因として挙げられます。

ちなみにWannaCryはランサムウェアという種類のコンピュータマルウェアで、これに感染するとコンピューターの重要な機能やファイルが暗号化され、解除のために身代金を要求されます。今でこそ落ち着きを見せたものの、当時は世界150ヵ国以上で23万台のサーバーがWannaCryによる被害を受けています。

2015年に「標的型攻撃」が大流行してから、企業のセキュリティ意識が高まったことで翌年にはサイバー攻撃の勢いが緩やかになったかのように感じられました。しかし、WannaCryのような新しいコンピュータマルウェアが登場したり、世界中で利用されているオープンソースソフトウェアに脆弱性(セキュリティ上の欠点)が発生することで、再び被害は急拡大します。

G Suiteで実現するこれからの時代のコミュニーケション

2018年現在の情報セキュリティはというと、昨年に引き続きランサムウェアやネット恐喝による被害が増える傾向であり、さらに世界中で広がりつつあるIoT(Internet of Things:ネットワーク接続を可能にした)デバイスをターゲットにサイバー攻撃が増加するという予測が立てられています。

セキュリティの脅威がますます高まっている状況で、G Suite を導入する企業や組織の皆様には、まず Google のセキュリティ対策について理解をしていただくところから始めるのがよいでしょう。

G Suite のセキュリティ対策機能

Google の特徴の一つは、Google 自身がインターネット上でサービスを提供しており、そして同じプラットフォームをお客様向けのコンピューティングリソースとして提供しているところです。つまり、Google のサービスが持っているセキュリティに対する取り組みや機能を、お客様向けのサービスにもそのまま利用できるということを意味しています。

では、おもなセキュリティに対するトピックを整理してみましょう。

企業としての取組み

Google のサービスを提供しているデータセンターでは、セキュリティを非常に重視した構成になっています。セキュリティの専門家によって、グローバルに堅牢なインフラストラクチャを展開しています。また従業員に対するバックグラウンドチェックや研修の実施など、Google のサービスに関わるすべてのリソースに対してセキュリティを第一に構成しています。

セキュリティ規格への準拠

Google では、第三者機関による監査や法令遵守に対応し、高いセキュリティ基準を満たしています。たとえば、ISO27001やISO27017, ISO27018のようなセキュリティ規格やFISC(金融情報システムセンター)安全対策基準、SOC2, SOC3などの監査フレームワークやPCI DSSなど幅広い業種で対応が求められる基準を満たしています。また、HIPAAやGDPRなどの法令にも遵守しています。このほかにも多くのグローバルなセキュリティや監査に関する標準に準拠していますので、詳細はこちらをご確認ください。

セキュリティを高める機能

実際の運用に際しては、よりセキュリティを高める機能も提供しています。たとえばユーザーのログインの際に、既定のIDとパスワードだけでなく、2段階認証を組み合わせることで、IDとパスワードが盗まれても不正なログインを防ぐことができます。

また、Google Vault を使用すると、組織として必要なルールに基づくデータの保持や書き出しが可能になります。またユーザー操作の追跡や監査、BigQuery によるログの解析なども可能です。企業や組織のニーズに合わせたプランの選択で、セキュリティ対策に加え、運用や監査に必要な機能も提供します。

[RELATED_POSTS]

Google のセキュリティ機能に加えて

以上のように、世界でもトップレベルのセキュリティレベルを実現している Google のサービスですので、ユーザーは安心して使用することができることがお分かりいただけたでしょう。しかしながら、これですべての情報セキュリティが担保されるわけではありません。

たしかにデータが Google のサービスの中にある間は非常にセキュリティが高いですが、たとえば Googleドライブ からPCにファイルをダウンロードしたり、メールソフトを使ってPCにメールをダウンロードして使用していたりということは日常的に行われているのではないでしょうか。

G Suite はクラウドサービスであり、インターネットにつながればどこからでも利用可能であり、またPCだけでなく、タブレットやスマートフォンからも便利に利用できます。半面そこにセキュリティリスクがあるのも事実です。これはいかにクラウドサービス側がセキュアであっても、それを利用するユーザーの端末経由で情報漏えいなどが起こる可能性があるからです。

そのために、EMM(エンタープライズモビリティ管理)によるモバイル端末の管理や、仮想デスクトップによる情報漏えい対策など、利用端末のセキュリティを高めるソリューションを組み合わせることも非常に有効です。

セキュリティの向上には多階層による対策が重要

以上のように、クラウドサービスとして高いセキュリティレベルを提供する G Suite に加え、それを利用するユーザー環境の管理を行うことで、セキュリティリスクのパターンやシナリオに対応することができます。さらに、このようなシステム上の対策以前に、エンドユーザーのセキュリティ意識向上も重要だということをご認識いただきたいと思います。情報セキュリティ界でよく言われるのが「セキュリティに100%はない」というフレーズです。どのようなシステム的な対策を講じていたとしても、新種のコンピュータマルウェアや巧妙なサイバー攻撃によって、情報漏えいが起きる可能性はあります。

企業や組織によって取り扱う情報の種類や範囲が異なるため、求められるセキュリティレベルも異なります。またセキュリティのリスクになるのはシステム的な要素だけでなく、人的な要素も大きいのが現実です。

DSKではこれまで多くのお客様への支援実績をもとに、お客様ごとに異なるセキュリティに対する要件に対するソリューションをご提案いたします。多くの要素があり、完璧な対策がないセキュリティだからこそ、正しくリスクを評価して対策を立てることが重要です。より安全な G Suite の活用について、ぜひDSKにご相談ください。

G Suiteで実現するこれからの時代のコミュニーケション

G Suiteで実現するこれからの時代のコミュニーケション
G Suite の特徴と他コミュニケーションツール比較

RELATED POST関連記事


RECENT POST「G Suite」の最新記事


G Suite のセキュリティ対策
よくわかるGSuite無料セミナー