要旨
Google Cloud Next ’23 Day 1、『統制を要するワークロードのための Assured Workloads とは』という講演を聞いてきました。
Google 堀地さまによる、デジタル主権やデータ安全性に関する Google の取り組みと、データ主権を担保する Assured Workloads というソリューションについての講演です。
本記事では、Assured Workloads によるデータ主権の確保について、講演内容と講演を受けた感想を記載します。
はじめに
国内の先行検討会社として、MUFG さまと共に KDDI / iret の名前が発表されました。
iret は、KDDI とともにお客様のデータ確保に対して本気で取り組んでいます。
機微情報を扱いたいが、クラウド上のデータ処理が不安。
信頼できるパートナーとともに、クラウド利用を推進し、活用したい。
お悩みのお客様がいらっしゃいましたら、ぜひ、 iret までご相談ください。
信頼できるクラウドに求められる要素とは
まず最初に、信頼できるクラウドとはなにか? という問いかけがありました。
信頼できるクラウドであるとともに、最前線で蓄積された攻撃や防御の知見は信頼できるクラウドに必要な条件であるとの事です。
Google Cloud では、常にワークロードやセキュリティソリューションをパワーアップさせています。
Google では、Mail / Calendar / Video など、億を超えるユーザーにソリューションを提供しています。
これらの常に攻撃にさらされている環境から、最戦前のセキュリティ知見を集積しているとのことです。
攻撃を検知するため、テレメトリの取り込み、分析、インテリジェンスの利用などを含めたセキュリティ運用のモダナイズを Google 内部では実現しています。
オープニング Keynote でもあったように深刻な脆弱性の少なさが、Google Cloud がクラウドプロバイダーとしての信頼性の証であるとありました。
組織が統制を有するワークロードを実現するためには、セキュリティに加えて以下のような対策が必要とのことでした。
- データ所在地
- 色々な場所に保存できるのがクラウドのメリットだが、地政学的な要因により自国内に保存したいニーズが増えてきている。
- データ所在地の管理のことを『データレジデンシー』という。
- セキュリティとコントロール
- データをクラウドに乗せるとしても、データの運用とセキュリティのコントロールを行いたい。
- データ管理を利用者がコントロールすることを『データ主権』という
- 経済性
- Private Cloud や、政府専用クラウドなどを利用した従来型の On-Prem でも十分ではないか?
- しかしこれらの環境では、経済性の観点で問題がある。
- これらの環境では、構築・維持運用などのオーバーヘッドが必要となる。
これらの統制を Google Cloud の標準スタック上で、簡易に実現する方法が Assured Workloads とのことです。
もともと、US や EU でローンチされていましたが、東京リージョン・大阪リージョンでも GA となり、一般利用することができます。
Assured Workloads 概要
Assured Workloads は、Google Cloud の標準スタックに追加して、追加コントロールにより統制を要する環境向けに提供されています。
利用にあたって、ハードウェアなどの構築は必要なく、Google Cloud 上でソフトウェア的に利用可能とのことです。
そのため、事前投資が必要なく、数クリックで環境を構築できることがメリットとのことでした。
新規のプロダクトの他、既存の Google Cloud 組織に対しても適用することは可能で、フォルダを作成するだけで Japan Region のほか、US や EU のコンプライアンスを利用することも可能とのことです。
Assured Workloads で提供される機能には、下記のような機能があります。
- データレジデンシー
- データの保存場所を自国内に限定する機能
- Data Residency
- データ管理の強化
- データ暗号鍵を顧客自身で管理する機能
- 生成・ローテーションや、鍵の外部保管などを担保する機能
- CMEK, HSM
- コンプライアンス
- 設定済みの組織ポリシーを変更してしまった場合でもリアルタムで検知する機能
- Assured Workloads Monitoring
- 運用の透明性
- サービスプロバイダーによるアクセス履歴をすべて記録する機能
- 許可しないアクセスを、顧客によって拒否する機能
- Access Transparency, Access Approval
これらの統制に関する機能を簡単に実現できるのが、Asured Workloads のメリットとのことです。
また、これらの機能を Google Cloud のインフラストラクチャ上で実現することで、On-Prem にはない価値が生まれるとのことでした。
- GCE といった、 IaaS の活用。
- GKE といった、 KaaS の活用。
- BigTable や Cloud SQL といった、PaaS の活用。
- BigQuery などのデータ基盤の活用。
これらの Google の先進的なテクノロジーを、 Assured Workloads 上でも利用することが出来ます。
Assured Workloads 利用事例 / 想定
本セクションでは、Assured Workloads の国外事例のほか、国内に置いて活用が見込まれる業種がいくつか例示されました。
国外事例
先駆けて提供されている他国の状況としては、以下のような事例がありました。
基本的な機能として、先にあった 4点を基礎としている点は変わりありません。
それに加え、いくつかの追加機能が各国要件に合わせて整備されているとのことです。
米国向けの機能としては、以下のような特徴があるとのことです。
- 米国の国民のみがサポートサービスを提供できるオプションの利用。
- 米国内の管轄官庁ごとの Compliance Program が提供されている。
- FedRAMP や CJIS 、IL4 IL5 など。
これらの、監督官庁の規制毎にコンプライアンス・プログラムを選択できるため、簡易に保護を実現できるとの事です。
欧州向けの機能としては、独国・仏国では、現地の法人と協力して Assured Workloads を提供しているとのことです。
これにより、欧州の人員によるサポートや鍵管理が提供されています。
その他、カナダやオーストラリア向けなども、基本コンセプトを現地法令に準じて変えながら世界中に提供しているサービスが Assured Workloads とのことです。
また、法令に準拠するために、データの暗号鍵管理を現地企業が担保して、現地法令に準拠する事例もあるとのことです。
国内事例
日本における活用についても、利用ターゲットとしては以下のような業界を考えているとのことでした。
- 法令、規制対象業種
- 銀行、保険
- ヘルスケア
- 政府機関
- etc.
- 対象業者へのサービス提供業者
統制が必要な業種向けのサービス基盤としても、Assured Workloads を活用してほしいとのことです。
日本においては、法制上の縛りは少ないですが、日本でもガバナンスを求めるような事例が出始めているとのことで、7 月に発表された IPA の『重要情報を扱うシステムの要求策定ガイド』が挙げられていました。
既存のガイドラインと併用されることを目的とした資料で、データの統制に向けた動きが、国内においても出始めていると紹介されていました。
On-Prem を使う場合の運用負荷を、Google Cloud にオフロードしてほしいとのことです。
Assured Workloads まとめ
最後に、まとめとして Assured Workloads の特徴を振り返りました。
Assured Workloads を活用することでデータ所在地、セキュリティとコントロール、経済性を実現できる。
Google Cloud 標準スタック + 追加コントロールにより保護されているため、簡易に実現することが可能。
US / EU ほか、日本を含む複数の国で提供されている。
技術や規制は進化するが、Assured Workloads を活用することで、運用負荷を下げられる。
まとめ
データ主権は、昨今の地政学的な要因により無視できないと個人的に考えています。
特に、メガクラウドプロバイダーが他国の法令下にあるため、日本国内で管理すべきデータをどのように保管するかは、多くの企業にとって普遍的な課題であると思います。
先の紹介にもあった通り、 iret は Assured Workloads も含め、お客様のデータ保護に対して全力で取り組んでいます。
データ保護のほか、データ主権などの悩みがありましたら、iret までご相談ください。
