開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2017/01/18

Googleがインフラの安全性を保つためにとっているセキュリティ対策まとめ

Googleのクラウドは間違いなく世界最大規模のコンピュータシステムです。膨大なハードウェアとソフトウェアから構成されるこの巨大なシステムを、同社はどうやってセキュアに保っているのか。そのことを解説したホワイトペーパー「Google Infrastructure Security Design Overview」が公開されました。

Publickey 新野淳一

Publickey 新野淳一

ITジャーナリスト/Publickeyブロガー。大学でUNIXを学び、株式会社アスキーに入社。データベースのテクニカルサポート、月刊アスキーNT編集部 副編集長などを経て1998年退社、フリーランスライターに。2000年、株式会社アットマーク・アイティ設立に参画、オンラインメディア部門の役員として2007年にIPOを実現、2008年に退社。再びフリーランスとして独立し、2009年にブログメディアPublickeyを開始。現在に至る。

photo

 ホワイトペーパーには、Googleのデータセンターを構成するデバイスの1つ1つにまで独自のセキュリティチップを組み込んで正規のデバイスかどうかを相互に認証するという物理レベルのセキュリティから、何層のものロードバランサーからの情報を集約してDos攻撃を検知すると、その通信を破棄するといったDoS対策。

 そしてマシンも従業員もサービスも包括するグローバルな名前空間など、きわめて広範かつ綿密なセキュリティ施策が説明されています。

 クラウドがいかに高度なセキュリティで保たれているか分かると同時に、企業や組織のセキュリティ対策の参考にもなるでしょう。

 ホワイトペーパーは長文の英文ですが、それほど複雑な内容ではないので時間さえあれば読みこなせると思います。ここでは主な項目の要点をまとめてみました。これだけでも緻密なセキュリティ対策がほどこされていることが分かるはずです。詳しくはぜひ原文をあたってみてください。

Google Infrastructure Security Design Overview

Security of Physical Premises(施設のセキュリティ)
 データセンターの施設を守るため、バイオメトリクスによる認証、金属探知機、カメラ、車両進入防御壁、レーザー侵入探知機など、多層の設備を採用。

 
Hardware Design and Provenance(ハードウェアの設計と来歴)
 サーバとネットワーク機器はGoogleの独自設計で、製造ベンダは綿密に調査し、部品もコンポーネントベンダからのセキュリティに関する情報を監査するなど注意深く選択。ハードウェアセキュリティの独自チップをサーバと周辺機器に組み込み、正規のハードウェアであることをハードウェアレベルで認証、承認。

 
Secure Boot Stack and Machine Identity(セキュアなブートスタックとマシンの身元確認)
 BIOS、ブートローダ、カーネル、OSイメージなどに対して暗号化署名を用いて正しく起動しているかを確認。データセンター内の各サーバはそれぞれのIDを持ち、ハードウェアや起動したソフトウェアに関連付けられ、ローレベルの管理ツールなどで認証のAPIでの呼び出しに使われる。

 
Service Identity, Integrity, and Isolation(サービスのアイデンティティ、整合性、分離)
 サービス間で通信を行う場合には、アプリケーションレイヤで暗号化された認証と承認を採用。

 主要なセキュリティの仕組みとしては、ネットワークのセグメンテーションやファイアウォールを用いていない。

 サービスのソースコードは中央のリポジトリに過去のバージョンも含めて保存され、監査可能。バイナリは決められたレビューを経てチェックインされ、テストされることを要求される。コードレビューは監査および作成者以外のエンジニアの承認が必要であり、あらゆるシステムのコードの変更はそのシステムオーナーの承認が必要である。

 
Inter-Service Access Management(サービス間のアクセスマネジメント)
 サービスのオーナーは、インフラが提供するアクセス管理機能によって、そのサービスがどのサービスと通信可能かを設定できる。エンジニアがアクセスするサービスも、エンジニアのIDによってサービスのアクセス管理が可能。

 マシン、サービス、従業員のID全体がグローバルな名前空間に包括されている。

 インフラはこのIDに対して承認ワークフローやロギング、通知などの豊富な管理機能を備えている。

Encryption of Inter-Service Communication(サービス間通信の暗号化)

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!