クラウドのセキュリティに関するよくある質問

Google Cloud Platform のセキュリティを評価するためにペネトレーション テストを行う際、Google に連絡する必要はありません。ただし、Google Cloud Platform の利用規定ポリシーと利用規約に準拠し、お客様のプロジェクトのみを対象とする（テストの影響範囲が他のお客様のアプリケーションに及ばないようにする）必要があります。脆弱性を発見した場合は、脆弱性報奨金プログラムからご報告ください。

Google インフラストラクチャの技術、スケール、俊敏性は、セキュリティに関する独自の利点をもたらします。Google のデータセンターはセキュリティとパフォーマンスの高い独自のオペレーティング システムが稼働するカスタム設計されたサーバーで構築されています。世界有数のエキスパートを含む 500 人以上の Google セキュリティ エンジニアが 24 時間体制で脅威を早期に発見し、迅速に対処します。個々のインシデントから学習して対応力を高めることはもちろん、セキュリティ研究団体と積極的に関わり合って Google システムの脆弱性を明らかにすることを奨励することさえしています。以下に、セキュリティと信頼性が Google の中心にあることを示す例をいくつか紹介します。

• Google のデータセンターでは、強化された独自のオペレーティング システムとファイル システムが稼働するカスタム ハードウェアを使用しています。これらの各システムはセキュリティとパフォーマンスが最適化されています。Google がハードウェア スタック全体を制御しているため、新たな脅威や弱点が現れても迅速に対処できます。
• Google とお客様との間、およびデータセンター間で転送されるデータは暗号化され、保存されているデータは Cloud Platform サービスで暗号化されます。
• 2013 年にみられた暗号解読技術の進歩に対処するため、RSA 暗号化鍵の長さを 2 倍の 2048 ビットに変更しました。この鍵は定期的に交換されており、業界の水準向上に一役買っています。

Google Cloud Platform のプロジェクトで利用されているセキュリティ モデルは、他の Google サービスでお客様の安全を保護するために使用されているものと同じです。それでも、お客様のインスタンスの設定が適切でない場合、攻撃に対して脆弱になる可能性があります。これは警察が近隣をパトロールしていても家のドアに鍵をかけないといけないのと似ています。

Google Cloud Platform のインスタンスをセキュリティ保護するベスト プラクティスは以下のとおりです。

• インスタンスに安全に接続する。アプリケーションが外部に面している場合は、ファイアウォールを適切に設定してポートを保護することを推奨します。インスタンスをセキュリティ保護するためのヒントについては、VM インスタンスへの安全な接続をご覧ください。企業の場合はネットワーキングとセキュリティをご覧ください。
• プロジェクトのファイアウォールがインターネット上のすべての人に開放されないようにする。すべてのファイアウォール ルールを 0.0.0/0 に対して開放したままにすると、インターネット上のすべてのソースからインスタンスへの接続を確立できます。特にインスタンスを公開する場合を除き、一般的なベスト プラクティスは、アプリケーションへのアクセスのみを許可し、アプリケーションへのアクセスに必要なポートのみを開放することです。ファイアウォールに関するベスト プラクティスについては、Compute Engine のネットワークとファイアウォールの使用ガイドにあるファイアウォール ルールとファイアウォールをご覧ください。
• 安全なパスワードを使用する。パスワードは、許可された人だけがインスタンスにアクセスできるようにする手段です。安全なパスワードの作成について詳しくは、安全性の高いパスワードを作成するをご覧ください。また、Cloud Platform Console へのアクセスに使用する Gmail アカウントも忘れずにセキュリティ保護してください。Gmail アカウントをセキュリティ保護するためのヒントについては、Gmail のセキュリティに関する推奨をご覧ください。
• すべてのソフトウェアを最新状態に維持する。インストールされているソフトウェアが最新状態にあることを確認し、インスタンスを危険にさらす既知の脆弱性がないようにします。
• モニタリング API によってプロジェクトの使用状況を注意深く監視し、異常な使用状況を見分ける。Google Cloud Platform には Stackdriver Logging が用意されています。これを使用すれば、Google Cloud Platform 上のアプリケーションやサービスからログを収集して保存できます。ログに基づく指標を作成し、それを異常な動作の監視やアラートの通知に使用できます。詳しくは、Stackdriver Logging のドキュメントをご覧ください。使用状況に不審な点がある場合は詳細に調査し、悪意のあるソフトウェアによってインスタンスが乗っ取られていないことを確認してください。

堅牢なシステムを設計するためのヒントについては、堅牢なシステムを設計する方法をご覧ください。

プロジェクトのオーナーには、マシンにインストールされたソフトウェアのセキュリティを守る責任があります。インスタンスのセキュリティが侵害されたように思われる場合は、以下の手順で被害を抑えます。

• インスタンスを直ちに停止します。
• 影響を受けたユーザーに知らせます。なぜサービスがダウンしたのか不思議に思っている可能性があります。
• インスタンスとインストール済みソフトウェアの動作を分析して脆弱性の源を特定します。
• すべてのソフトウェアが最新状態にあることを確認します。マシンにインストールされているソフトウェアに既知の脆弱性がないか確認し、事前措置を講じて最新のセキュリティ パッチを適用します。
• 追加のセキュリティ対策を導入し、第三者によってプロジェクトのセキュリティが侵害されないようにしてから、プロジェクトを完全に再インストールします。
• （上記の）プロジェクトを保護するために自分でできることは何ですか？のガイドラインに沿って 今後のプロジェクトのセキュリティを確保します。
• Google Cloud Platform からプロジェクトの不審な動作について警告を受けた場合は、その警告に弁明するため、インスタンスに実施したセキュリティ保護対策を Google Cloud Platform Console に入力します。

残念ながら、お客様のインスタンスに何がインストールされていて、どのソフトウェアが問題を引き起こしたかについて、Google では把握できません。脆弱性の原因を調査してそれを軽減する措置を講じるのは、お客様の責任となります。問題をトラブルシューティングするため追加のサポートが必要な場合は、Cloud Platform のサポートページをご覧ください。

これが起こる理由はいくつかあります。サードパーティ アプリケーションによってインスタンスが脆弱になることもあります。インスタンスを監視してセキュリティを維持することが重要です。

また、Google Cloud Platform の利用規定を再確認してプロジェクトが規定を遵守していることを確かめてください。非常にまれではありますが、プロジェクトの意図的な動作に対してセキュリティ侵害を受けたインスタンスによる不審な動作のフラグが設定されることがあります。そのような場合は、Google Cloud Platform Console でビジネスの正当性を主張できます。Google チームのメンバーがその申し立てを検討し、2 営業日以内に返信いたします。

G Suite を利用しているか、Google アカウント用のマネージド ドメインを所有している場合は、ウェブプロキシを経由させることで、Cloud Platform Console へのアクセスを制限することができます。詳細については、G Suite 管理者ヘルプの一般アカウントへのアクセスのブロックをご覧ください。

ブロックされたユーザーには、「このネットワーク内の user@domain.com では Google Developers Console はご利用いただけません。詳しくはネットワーク管理者にお問い合わせください。」というメッセージが表示されます。