Google Cloud Platform の準拠しているセキュリティ規格について

Google Cloud Platform(GCP)のフルマネージドサービスGoogle Cloud Platform(GCP)の
フルマネージドサービス

電話番号

東証マザーズ上場

GCPパートナー

Google Cloud Platformの基礎知識

Google Cloud Platform のセキュリティ規格について

セキュリティが大事なのは、みなさん理解があるところです。しかし、クラウド事業者がセキュリティ規格を持つことの意味について理解できている人は少ないように思います。
この記事では、クラウド事業者がセキュリティ規格を持つことの意味について説明するとともに、
Google Cloud Platform が持つセキュリティ規格についてそれぞれ紹介いたします。

Google Cloud Platform の準拠しているセキュリティ規格について

Google Cloud Platform は複数のセキュリティ規格に準拠しています。どのような規格に準拠しているか紹介いたします。
(2016年7月の情報に基づく)
 SSAE-16
SOC2/SOC3
ISO27001ISO27017
/27018
HIPAA
(BAA)
PCI DSSv3.1FedRAMP
GCE
GCS
GAE
Datastore
Big Query
Cloud SQL
Container Engine
 SSAE-16
SOC2/SOC3
GCE
GCS
GAE
Datastore
Big Query
Cloud SQL
Container Engine
 ISO27001
GCE
GCS
GAE
Datastore
Big Query
Cloud SQL
Container Engine
 ISO27017
/27018
GCE
GCS
GAE
Datastore
Big Query
Cloud SQL
Container Engine
 HIPAA
(BAA)
GCE
GCS
GAE
Datastore
Big Query
Cloud SQL
Container Engine
 PCI DSSv3.1
GCE
GCS
GAE
Datastore
Big Query
Cloud SQL
Container Engine
 FedRAMP
GCE
GCS
GAE
Datastore
Big Query
Cloud SQL
Container Engine

Google Cloud Platform のセキュリティ規格一覧

Google Cloud Platform が準拠しているセキュリティ規格は以下の一覧のとおりです。多くの国際的なセキュリティ規格に対応しています。

AICPA SOC

AICPA SOCは、米国公認会計士協会(AICPA)が策定した、受託業務を行う会社向けの、内部統制の有効性を評価するセキュリティ規格です。最近では、クラウドサービスの提供者が受託業務に関わる内部統制の保証証明書をサービス利用者に提供する動きが増えてきています。

ISO 27001

ISO 27001は、組織が保有する情報に関わるさまざまなリスクを適切に管理し、組織の価値向上をもたらすISMSの国際的なセキュリティ規格です。

ISO 27017/18

ISO 27017は、クラウドサービスに関係する情報セキュリティコントロールのための国際規格です。クラウドサービス固有のガイダンスが示されています。ISO 20017を取得できる事業者は、クラウドサービスを提供している事業者もしくはクラウドサービスを利用している事業者となります。
ISO 27018は、パブリッククラウドにおける個人情報保護に関する国際規格です。

PCI DSS v3.1

PCI DSSは、国際カードブランドが5社共同で設立した PCI Security Standards Council(PCI SSC) によって策定されているクレジットカード情報漏洩防止のための国際セキュリティ規格です。

HIPAA

HIPAAは、United States Health Insurance Portability and Accountability Act of 1996(米国における医療保険の相互運用性と説明責任に関する法令)の略称です。医療関係の情報システム標準化について定められています。

FedRAMP

FedRAMPは、Federal Risk and Authorization Management Programの略称です。Federal Information Security Management Act (連邦情報セキュリティ マネジメント法) (FISMA) の下、クラウドサービスのセキュリティ評価、認証、継続的モニタリングの方法を標準化したものです。
クラウドサービス事業者が、米国のある1つの省庁からFedRAMP認証を受けると、他の省庁でも認証を引き継ぐことができます。

Google Cloud Platform がこれらのセキュリティ規格に準拠していることの意味

物理セキュリティや入退室管理といった物理に極めて近いレイヤーに関わる監査項目をパスすることができます。

これはどういったロジックにより支えられているのでしょうか。以下で詳しく説明します。

もし、あなたがGoogle Cloud Platform 上でクレジットカード情報を扱うサービスを作ったとしましょう。クレジットカード情報の扱い方(伝送、保存など)にかかわらず、クレジットカード情報を扱うためにはPCI DSSへの準拠が必要になります。クレジットカード情報の扱い方により、対応が必要な項目数や、自己問診でパスできる可能性があります。しかし、クレジットカード情報の保存を行った場合は、すべての項目に対応する必要があります。

すべての項目には、前述した物理に極めて近いレイヤーのセキュリティに関する項目も多く含まれます。PCI DSSの準拠や維持にかかるコストは人件費だけでなく、設備やプロセスの維持に対しても発生することとなります。

クラウドサービスの提供者がPCI DSSを持つことで、利用者のPCI DSSに関するコストを下げるだけでなく、責任分界点を明確にするメリットもあります。なぜなら、クラウドサービスのPCI DSS対応状況を詳細なレポートとして受け取ることができるためです(提供を受けるにはNDAが必要になる場合があります)。

このように、クラウドサービス事業者がセキュリティ規格に準拠していることはとても強力な意味を持っています。

Google Cloud Platform の基礎知識を網羅

PDFのキャプチャが入ります。

クラウドサーバーを導入したいが、どれが良いか分からない、導入前にどのようなことが必要か分からない、Google Cloud Platform の基本的な機能を知りたい、運用時に気を付けるべき点を分かっておきたい、など、クラウドサーバー導入を検討している方対象にクラウドサーバー、 Google Cloud Platform の概要について簡潔に解説した資料となっております。

資料ダウンロードはこちら