Googleのクラウドに対してぼんやりセキュリティ面が不安だという声を良く耳にします。では、具体的にどういったところがご不安でしょうか?漠然と目に見えないから不安というだけでは無いでしょうか?
今回はGoogle Cloud Plarform が取得している第三者認証を紹介致します。Googleが具体的にどういう監査を受け、認めてもらっているのか知って頂き、少しでも不安を解消して頂ければと思います。
Google は、セキュリティ、プライバシー、コンプライアンス統制についての保証を提供するために、毎年、国際的に認められた監査機関による第三者監査を定期的に受けています。
Googleは以下の規格の年次監査を行っています。

  • SSAE16 / ISAE 3402 Type II:

    ・SOC 2
    ・SOC 3

  • ISO 27001
  • FISMA Moderate
  • PCI DSS v3.0

SSAE16 / ISAE 3402 Type II

SOC 2、SSAE16 監査の国際版が ISAE 3402 Type II にあたります。これらの監査を使用し、サービスに対するデータ保護の文書化と検証を行っています。
ISAE3402(国際保証業務基準3402)とは、委託会社の財務諸表に関連する業務(信託財産運用・保管、給与計算、ITアウトソーシング等)を受託した会社の依頼に基づき、監査人がその受託業務に関する内部統制について評価し、報告書を作成するための基準として国際会計士連盟(IFAC)が定めたものです。
タイプ2の報告書の評価対象は、受託会社のシステムの記述書並びに記述書に記載の統制目的に関連する内部統制のデザイン及び運用状況です。
ISAE3402/SSAE16/86号報告書は、日本では信託銀行、生命保険会社、投資運用会社、システム会社、人事関連アウトソーシング会社などで数多く作成されています。
参考:https://home.kpmg/jp/ja/home/insights/2013/10/isae3402.html

SOC 2 / SOC 3

SOC報告書は、ある特定の業務を企業(受託会社)が外部者から受託、提供する場合に、当該業務に係る受託会社における内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載したものです。報告書では、一定の基準やガイダンスに基づく合理的な保証(絶対的ではないものの、相当程度に高いレベルでの意見)が表明されます。
SOC 2・SOC 3は、下記のいずれかに関する内部統制の状況の理解を目的としています。

  • セキュリティ
    システムが(物理的、論理的双方の)未承認のアクセスから保護されている
  • 可用性
    システムは、コミットあるは合意したとおりに操作でき且つ利用出来る
  • 処理のインテグリティ
    システム処理は完全、正確、タイムリーかつ承認されている
  • 機密保持
    機密として設定された情報が、コミットあるいは合意した通りに保護されている
  • プライバシー
    個人情報が、企業のプライバシー通知におけるコミットメント及びAICPA / CICAが発行した「一般に公正妥当と認められるプライバシー原則」に従って、収集、利用、維持、開示および廃棄されている

GCPのSOC3報告書はこちらでご覧いただけます。またPDF版もこちらからダウンロード可能です。
参考:http://www.shinnihon.or.jp/services/advisory/risk-advisory/column/2013-05-29.html

ISO 27001

ISO 27001 は、ISO 27002 のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定したセキュリティ管理標準規格です。これは国際的に幅広く認知されているセキュリティ標準です。
GoogleはGoogleCloudPlatformを提供するシステム、アプリケーション、人、技術、プロセス、データセンターに対して、ISO 27001の認証を得ています。
GCPのISO 27001証明書はこちらからダウンロード可能です。(PDF)

FISMA Moderate

Googleは、Google App Engine に対するFISMA Moderate認可を受けています。
FISMA Moderate 認証は、アメリカ国立標準技術研究所 (NIST) により詳細に規格されたセキュリティ基準にもとづき、広範囲のセキュリティの設定やコントロールについて対応することを要求しています。

PCI DSS v3.0

PCIDSS(Payment Card Industry Data Security Standard)とは、加盟店様・決済代行事業者様が取り扱うカード会員様のクレジットカード情報・お取り引き情報を安全に守るために、VISA・JCB・MasterCard・American Express・Discoverの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。機密性の高いデータのセキュリティを確保する上で最も重要なベースラインの1つとして広く認知されています。
v3.0では、侵入テスト要件など12件の要件について変更が加えられ、さらに基準が厳しくなっているようです。
Googleの第三者による監査は、GCPの機密性、完全性、可用性において情報セキュリティの保証を提供するために行われています。

HIPAA

Googleはお客様がHIPPAの規制用件を満たす必要があるデータもサポートできるよう、事業提携契約(BAA)を締結しました。
GCPは、 米国における医療保障の相互運用性と説明責任に関する法令(HIPAA)の対象となる事業体とその取引先が、安全なGCP環境を活用して、保護された医療情報を処理、管理、保存出来るようにしています。
(GCPのためのHIPAAのサポートに関するブログ記事はこちらです。)
GCPの事業提携契約(BAA)は、Compute Engine、Cloud Storage、 CloudSQL 、およびBigQueryに対応しています。
いかがでしたでしょうか。いずれの認証も第三者による厳しいセキュリティチェックを受けて、合格していることを意味しています。これらを自前で取るまたは取れると同等のセキュリティを保つ運用をすることがどれだけ大変なことか、想像出来るでしょうか?
例えば、Googleでは運用担当者のバックグラウンドチェックは非常に厳しく実施しておりますし、データセンタレベルでの災害対策訓練も行っております。
Googleは世界有数のセキュリティを提供することに尽力しており、それをコア コンピテンシーとして掲げています。セキュリティも自前で行う時代では無く、外部委託+第三者チェックにより担保する、という時代では無いでしょうか?
参考:https://cloud.google.com/security/compliance