Google Appsとセキュリティ Google Enterprise Day 2008 Tokyoのメモから
「Google Enterprise Day 2008 Tokyo」のメモの続きになりますが、午後からGoogle Appsのセキュリティのセッションを聴講してきました。
その内容のメモと少し自分の調べた内容を紹介したいと思います。
セキュリティを取り巻く背景として、メールの93%以上がスパムでスパムの増加率が161%、手口は年々巧妙になっている点を述べています。これらを各企業が各々アプライアンスのソフトウエア等で対応するのは困難な状況となってきているようです。また、外部からの漏洩だけでなく、内部からの漏洩も年々増えており、68%の企業が年間6件以上のデータ漏洩に直面していると述べています。そのコストで膨大なコストがかかってしまう点を指摘しています。内部統制への対応も重要になっている点をあげています。
メールの配信などのポリシー管理やメールサーバーのメンテナンス等の作業が煩雑になり、メールの処理量は年率30%で増加している点をあげています。そしてメールのアーカイブを行い、SOX法や訴訟に備えた対応も重要になっている点を述べています。
終わることのないセキュリティ対策、対応する作業は、OSのバージョンアップからバックアップまで多岐にわたり、現状のサービスを利用するためで社内リソースが裂かれている問題点を指摘しています。セキュリティもクラウド型としてメンテナンスフリーで利用していくことが今後重要になってくることしています。
お客様から、グーグルに任せて安全なのか? ビジネスの現場に使えるのか? 大丈夫なのか? という質問をよく受けるようです。その場合は、セーフハーバー(Safe Harbor)に登録していることを説明しているようです。日本の個人情報保護法にあたるようです。
以下は自分で調べたのですが、セーフハーバーには、セーフハーバープライバシー(Safe Harbor Privacy)というヨーロッパ連合 (EU) からアメリカに転送される個人データのプライバシー保護に関する基本原則があります。米国商務省と欧州委員会は、アメリカの企業がセーフハーバープライバシーを満たすために共同で「Safe Harbor Agreement」と呼ぶ規定を策定し、2001年7月1日から施行されています。この規定の中には、通知、選択、アクセス、転送、セキュリティ、データの整合性および実施の7つの原則があり、企業がセーフハーバーに登録している場合、これらの原則に従うことが義務付けられます。従わなかった場合、12000ドルの罰金があるようです。
また、11月4日に、世界で最も厳しいセキュリティ監査基準「SAS 70 Type II」の認定取得をしたことも説明しています。SAS 70 とは、米国公認会計士協会の「監査基準書第70号」と呼ばれる監査基準のことで、内部統制システムの評価を行なう際に監査機関が適用する基準です。「Google Apps」は企業向けに提供できるレベルの製品として認定されたことを意味しています。
グーグルが、「SAS 70 Type II」取得する前は、監査人が個々にグーグルに問い合わせを受け個別に対応を実施していました。個々に対応していたため労力もかかりグーグル側の説明が客観性に欠ける場合があると指摘を受けたこともあるようです。この繰り返しはかなり労力がかかったようです。
「SAS 70 Type II」取得後は大幅に変わり、監査人の問いに対して、グーグルではなく監査法人が対応し、適切な内部統制をしているか検証・証明を行い、サマリー(3枚程度)と分厚い証明書を監査人に提出するようです。
次に、Google Apps Message Securityの説明をしています。Google Message Securityは、ユーザのメールサーバに届く段階にスパムやウイルスそしてマルウエア等の外部の脅威から防御し、情報漏洩の抑止やコンプライアンス要件に対応するための総合的なポリシー管理をするサービスです。
自社独自でセキュリティ対策を講じる場合の問題点をあげています。まず、大量のスパムが自社のネットワークに入り帯域を独占してしまうこと。セキュリティアプライアンスにウイルス等が書き込まれて故障した場合、正規のメールも吹っ飛んでしまう危険性を指摘しています。また、セキュリティアプライアンスが、リアルタイムに定義ファイルにアクセスできない場合があり、フィルタリングできないリスクを指摘しています。特に、夏休みは大学生がウイルスをつくるケースが多く、夏に新種のウイルスが多く発生する場合が多いようで定義ファイルへのアクセスが遅れれば、ウイルスに感染してしまうというリスクも多いでしょう。それから、個々の会社でアプライアンスを用意し運用するとなれば非常にコストがかかってしまう点も指摘しています。そのため、セキュリティ対策は自社で運用するよりもクラウド側で対応をしたほうがメリットは高いとしています。Google Apps Message Securityは、ExchangeやNotesメールにも対応できるとのことです。
次に、Google Message Discoveryの話です。Google Message Discoveryは、社員の電子メールをアーカイブし、内部統制などのコンプライアンス対応のためのサービスです。電子メールをユーザーあたり年間45ドルで最大10年間保管するアーカイブサービスを提供しています。
それからデータセンターのセキュリティについても説明しています。世界の数十箇所のデータセンターで冗長化し、データセンターの所在地を非公開にしています。グーグルのデータセンターでは、グーグルのデータセンターであるという目印となるものは一切出さないようにしているようです。また、すべての施設は、グーグルが採用した社員でグーグルがすべて運営しているようです。またデータセンターの監視体制も徹底しており、生態認証等の電子機器によるチェック等をしているようです。
次に自分の資産を金融機関にあずけるかたんす預金いするかどちらにしますか?という説明をしている。たんす預金は、自社で運営しているケースと同じであるとし、ATMから必要な時にお金を引き出すといったマインドセットがクラウドが普及していく場合には必要だとしています。
最後に事例を紹介しています。TOKYU HANDSの事例では、新しいものにチャレンジする文化があり、例えば、クリスマスのデコレーションの動画をGoogle Videoを使い社内で共有しているようです。またコープさっぽろの大規模な事例も紹介しています。最近の立教大学の事例も紹介し、スパムやフィルタリング作業をグーグル側が実施し、大学は快適なメール環境を利用しているケースを紹介しています。
グーグルのサービスに一番不安視されるのはセキュリティ面です。グーグルの説明を聞く限り、セキュリティへの対応はそれなりに実施しているように見えます。Google Apps が企業に普及していくための鍵はこのセキュリティへの対応がユーザ側にいかに理解されていくかというのがポイントになってくるでしょう。