Google は長年にわたり、先進的で安全性の高いインフラストラクチャの開発を進めてきました。コンピュータ セキュリティの分野における世界有数のエキスパートを含め、700 名を超える専任のエンジニアがお客様の情報の保護に取り組んでいます。セキュリティは Google のアーキテクチャの中核であり、その向上のため日々努めています。Google のセキュリティ チームはこれまで、情報セキュリティに関する数百におよぶ学術研究論文を発表してきました。また、ソフトウェアの脆弱性の発見、データの暗号化や 2 段階認証プロセスといった保護策の広範な導入を世界に先駆けて行ってきました。
お客様から多く寄せられるご質問にお答えするため、よくある質問に関する本記事と、関連の Google Workspace セキュリティ サイトをご用意しました。これらの重要な問題に対する Google の姿勢へのご理解と、疑問点の解消にお役立てください。なお、個人のお客様のプライバシーに関する情報については、Google のポリシーと規約のページをご覧ください。
不正行為の問題についてご報告いただく場合は、不正行為の報告をご覧ください。
同じサーバーを共有している他の顧客が私のデータにアクセスできないことを、どのように確認できますか?お客様のデータは、論理的には専用サーバーに保存されているのと同じように保護されています。承認を受けていない人物がお客様のデータにアクセスすることはできません。つまり、他のお客様がお客様のデータにアクセスすることはできず、お客様が他のお客様のデータにアクセスすることもできません。すべてのユーザー アカウントが Google の安全なアーキテクチャで保護されており、他のユーザーのデータを閲覧できないようになっています。
Google のサービスでは、すべてのデータに対して、HTTPS で暗号化されたトンネルを使用したアクセスが可能です。このプロトコルはすべてのユーザーに対してデフォルトで有効になっており、自分のデータは自分自身しか読めないようになっています。また、モバイル メール クライアントでも、暗号化アクセスによって通信のプライバシーが保たれています。さらに、サードパーティのメール クライアントからメールデータにアクセスする場合も、暗号化アクセスを必須としています。
はい。Google Workspace のすべてのお客様に SSL(Secure Sockets Layer) / TLS(Transport Layer Security)接続をご利用いただくことができ、新規のお客様については、それらの接続がデフォルトで有効になっています。
セキュア トランスポート(TLS)の適用により、管理者は特定のドメインまたはメールアドレスを送信先または送信元とするメールの TLS 暗号化を必須にできます。たとえば、お客様の組織内から外部の弁護士に送るメールはすべて、安全な接続を介して送信されるように設定することができます。相手のドメインが TLS に対応していない場合、受信メールは拒否され、送信メールは送信されません。
Google インフラストラクチャならではの技術、規模、俊敏性により、お客様のデータは安全に保たれます。Google のデータセンターは独自設計のサーバーで構築され、セキュリティとパフォーマンスを維持するために独自のオペレーティング システムが搭載されています。また、世界有数のエキスパートを含めた 700 名以上のセキュリティ エンジニアが、24 時間体制で脅威の早期検出と迅速な対応を行っています。個々の脅威を教訓としたセキュリティ対策を実施しているほか、Google が積極的な連携を図っているセキュリティ リサーチ コミュニティに対しては、システムの脆弱性を見つけてもらうことを奨励すらしています。Google が安全性と信頼性をいかに重要視しているかについて、以下に例を挙げてご説明します。
Google のデータセンターでは、堅牢な独自のオペレーティング システムとファイル システムを搭載したカスタム ハードウェアが使用されており、これらのシステムはすべて、高いセキュリティとパフォーマンスが得られるよう最適化されています。また、これらのハードウェアをすべて自社で制御しているため、あらゆる脅威または脆弱性に迅速に対応することができます。
前方秘匿性という、自社サーバーと他社サーバー間を移動するコンテンツを暗号化する技術を、大手クラウド プロバイダとして初めて実現したのが Google です。多くの同業他社もこの技術を将来的に取り入れようと追随、検討しています。
Gmail、添付ファイル、ドライブ内のデータは転送中も暗号化されており、お客様と Google サーバー間の転送時だけでなく、Google のデータセンター間での転送時もデータが安全に保たれています。
暗号解読技術の高度化に対抗するために、2013 年には RSA 暗号化鍵の長さを 2 倍の 2,048 ビットに変更し、数週間ごとに鍵を交換しています。
Google のお客様と規制当局からは、外部機関によるセキュリティ、プライバシー、コンプライアンスの管理状況の検証が期待されています。これに応じるため、第三者機関による複数の監査を定期的に受けており、いずれの監査でも、独立監査人が Google のデータセンター、インフラストラクチャ、運用状況を調査しています。
Google Workspace と Google Cloud Platform は、米国公認会計士協会(AICPA)による SOC1™、SOC2™、SOC3™ の各監査、および ISO/IEC 27001、27017、27018 の認証を受けています。これは、独立監査人が Google システム内のデータ保護の仕組み(論理的セキュリティ、プライバシー、データセンターのセキュリティを含む)を審査したうえで、これらの仕組みが適切に導入され、効果的に運用されていることを保証していることを意味します。
はい。Google はユーザーの安全を守る取り組みに対し最先端の技術で貢献していただいている外部機関に感謝して、Google の所有するウェブ プロパティを対象に脆弱性報告の報奨制度を設けています。このプログラムには、お客様の組織もお申し込みいただくことができます。大手クラウド プロバイダとしてこの種の報奨制度を提供するのは、Google が初めてでした。詳しくは、脆弱性報告の報奨制度に関するページをご覧ください。
はい。複数のレベルで暗号化されています。Google は、ユーザーと Google Workspace のサービス間で行われるすべての送受信に対して HTTPS(Hypertext Transfer Protocol Secure)を適用し、そのすべてのサービスで前方秘匿性(PFS)を使用しています。また、外部のメールサーバーとの間でのメール送受信は 256 ビット TLS(Transport Layer Security)で暗号化し、検証と鍵交換のフェーズでは 2048 RSA 暗号化鍵を使用しています。これにより、クライアント ユーザーが、同じく TLS を使用する社外ユーザーとの間でメールの送受信を行うときにメール通信が保護されます。
PFS では、接続用の秘密キーを永続的ストレージに保管しないことが求められます。つまり、たとえ 1 つのキーが破られたとしても、数か月分の接続の暗号化が解除されることはなくなります。サーバーの運用者でさえ、過去にさかのぼって HTTP セッションの暗号化を解除することはできなくなります。
Google は、より多くのサービスおよびリンクにおける暗号化の拡張と強化に日々取り組んでいます。
Google Workspace サービスでアップロードまたは作成されたお客様のデータは、以下のリストにあるとおり、暗号化された状態で保存されます。また、Google Workspace のすべてのサービスで HTTPS が有効になっているため、お客様のデータは、デバイスから Google に転送中も、Google のデータセンター間を移動中も、暗号化されています。Google Workspace の各サービスで暗号化されるデータの種類については、以下をご覧ください。
- Gmail - メールと添付ファイル。
- カレンダー - 予定とその詳細情報。
- Classroom - クラスとすべての関連情報。
- ドライブ - ドライブ内のファイルとすべてのファイルのメタデータ(タイトル、コメントなど)。
- ドキュメント - ドキュメントのオーナーまたは共同編集者によって作成されたコンテンツ。ただし、このリストにない他の Google サービス(YouTube など)でホストされたドキュメントに埋め込まれているコンテンツを除きます。
- スプレッドシート(フォームを含む) - スプレッドシートのオーナーまたは共同編集者によって作成されたコンテンツ。ただし、このリストにない他の Google サービス(YouTube など)でホストされたスプレッドシートに埋め込まれているコンテンツを除きます。
- スライド - プレゼンテーションのオーナーまたは共同編集者によって作成されたコンテンツ。ただし、このリストにない他の Google サービス(YouTube など)でホストされたプレゼンテーションに埋め込まれているコンテンツを除きます。
- トーク - アーカイブされた「オフレコ解除」のスレッド。
- ハングアウト チャット - アーカイブされた「オフレコ解除」のスレッド。「オフレコ」のチャットは保持されないため、保管中の暗号化の対象にはなりません。
- サイト - サイトのオーナーまたは共同編集者によって作成されたコンテンツ。ただし、(i)このリストにない他の Google サービス(YouTube など)でホストされたサイトに埋め込まれているコンテンツ、(ii)サイト、ガジェット、画像のホットリンクを介して他のサードパーティ ウェブサイトでホストされたままの、サイトに埋め込まれているコンテンツを除きます。
- コンタクト - エンドユーザーのアドレス帳の中身。
- グループ - グループ メッセージのアーカイブ。
- Vault - Vault 管理者によって作成されたコンテンツは暗号化されます。保存されたクエリ、監査ログも暗号化されます。Vault からエクスポートされた Gmail、メールと添付ファイル、トークの会話、ハングアウトのチャット、ドライブ内のファイル(動画コンテンツを除く)も暗号化されます。
- Keep - メモまたはリストのオーナーまたは共同編集者によって作成されたコンテンツ。