ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2017年01月18日

Googleがインフラの安全性を保つためにとっているセキュリティ対策まとめ

Googleのクラウドは間違いなく世界最大規模のコンピュータシステムです。膨大なハードウェアとソフトウェアから構成されるこの巨大なシステムを、同社はどうやってセキュアに保っているのか。そのことを解説したホワイトペーパー「Google Infrastructure Security Design Overview」が公開されました。

執筆:Publickey 新野淳一

photo


 ホワイトペーパーには、Googleのデータセンターを構成するデバイスの1つ1つにまで独自のセキュリティチップを組み込んで正規のデバイスかどうかを相互に認証するという物理レベルのセキュリティから、何層のものロードバランサーからの情報を集約してDos攻撃を検知すると、その通信を破棄するといったDoS対策。

 そしてマシンも従業員もサービスも包括するグローバルな名前空間など、きわめて広範かつ綿密なセキュリティ施策が説明されています。

 クラウドがいかに高度なセキュリティで保たれているか分かると同時に、企業や組織のセキュリティ対策の参考にもなるでしょう。

 ホワイトペーパーは長文の英文ですが、それほど複雑な内容ではないので時間さえあれば読みこなせると思います。ここでは主な項目の要点をまとめてみました。これだけでも緻密なセキュリティ対策がほどこされていることが分かるはずです。詳しくはぜひ原文をあたってみてください。

Google Infrastructure Security Design Overview

Security of Physical Premises(施設のセキュリティ)
 データセンターの施設を守るため、バイオメトリクスによる認証、金属探知機、カメラ、車両進入防御壁、レーザー侵入探知機など、多層の設備を採用。

 
Hardware Design and Provenance(ハードウェアの設計と来歴)
 サーバとネットワーク機器はGoogleの独自設計で、製造ベンダは綿密に調査し、部品もコンポーネントベンダからのセキュリティに関する情報を監査するなど注意深く選択。ハードウェアセキュリティの独自チップをサーバと周辺機器に組み込み、正規のハードウェアであることをハードウェアレベルで認証、承認。

 
Secure Boot Stack and Machine Identity(セキュアなブートスタックとマシンの身元確認)
 BIOS、ブートローダ、カーネル、OSイメージなどに対して暗号化署名を用いて正しく起動しているかを確認。データセンター内の各サーバはそれぞれのIDを持ち、ハードウェアや起動したソフトウェアに関連付けられ、ローレベルの管理ツールなどで認証のAPIでの呼び出しに使われる。

 
Service Identity, Integrity, and Isolation(サービスのアイデンティティ、整合性、分離)
 サービス間で通信を行う場合には、アプリケーションレイヤで暗号化された認証と承認を採用。

 主要なセキュリティの仕組みとしては、ネットワークのセグメンテーションやファイアウォールを用いていない。

 サービスのソースコードは中央のリポジトリに過去のバージョンも含めて保存され、監査可能。バイナリは決められたレビューを経てチェックインされ、テストされることを要求される。コードレビューは監査および作成者以外のエンジニアの承認が必要であり、あらゆるシステムのコードの変更はそのシステムオーナーの承認が必要である。

 
Inter-Service Access Management(サービス間のアクセスマネジメント)
 サービスのオーナーは、インフラが提供するアクセス管理機能によって、そのサービスがどのサービスと通信可能かを設定できる。エンジニアがアクセスするサービスも、エンジニアのIDによってサービスのアクセス管理が可能。

 マシン、サービス、従業員のID全体がグローバルな名前空間に包括されている。

 インフラはこのIDに対して承認ワークフローやロギング、通知などの豊富な管理機能を備えている。

Encryption of Inter-Service Communication(サービス間通信の暗号化)

セキュリティ戦略 ジャンルのセミナー

一覧へ

セキュリティ戦略 ジャンルのトピックス

一覧へ

セキュリティ戦略 ジャンルのIT導入支援情報

一覧へ

関連キーワード

新野淳一 グーグル

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング