Google Workspace のセキュリティと信頼
Google ではお客様のデータを保護することを最優先事項としています。
Google ではお客様のデータを保護することを最優先事項としています。
Google はクラウドで生まれ、クラウドで運営されてきました。そのため、お客様のビジネスがクラウドで力を発揮するのに必要なセキュリティについても、もちろん深く理解しています。お客様にご利用いただくインフラストラクチャは Google 社内や Google の提供する企業向けサービスで運用されているのと同じものです。そのため、Google が構築し、日々利用している保護機能の利点をお客様の組織でもご活用いただけます。Google ではセキュリティの専門家を擁し、堅牢でグローバルなインフラストラクチャを運営しながら、革新を推し進めています。そのため、常に時代を先取りしながら非常に安全で信頼性の高い、各基準に準拠した環境をご利用いただけます。
Google では業界最先端の知識と技術を駆使して、安全なクラウド インフラストラクチャとアプリケーションを大規模に構築しています。このように主張しているプロバイダは数多くあるかもしれませんが、セキュリティとプライバシーの機能については、一方的に主張するだけでなく、実際にお客様に見ていただき、理解していただくことが不可欠であると Google は考えています。
Google では全従業員が「セキュリティ第一」で考えることを求められます。Google にはセキュリティとプライバシーを専門とする従業員が数多く常勤しており、その中には情報、アプリケーション、ネットワークのセキュリティに関する分野で世界をリードする専門家も含まれています。Google では万全の保護体制を維持するため、ソフトウェア開発の全プロセスにセキュリティ機能を組み込んでいます。たとえば、セキュリティの専門家がアーキテクチャ案の分析やコードの確認を実施してセキュリティ上の脆弱性を明らかにすることで、新しいサービスや機能に対するさまざまな攻撃モデルについて理解を深めるようにしています。問題のある事象が確認された場合は、専門の Google Workspace インシデント管理チームがその対処にあたり、迅速な対応、分析、修復を通じてお客様への影響を最小限に抑えます。
Google の調査活動や支援活動では、Google のソリューションを選択したユーザーの皆様だけにとどまらず、インターネット ユーザーの幅広いコミュニティも対象とした保護の取り組みが行われています。Project Zero として知られるフルタイムのチームが、提供元が Google かどうかにかかわらず、広く普及したサービスを対象として、影響の大きな脆弱性を検出することを目標に活動しています。Google ではこうした取り組みの透明性を確保し、第三者を介さずに直接ソフトウェア ベンダーにバグを報告するようにしています。
Google は、セキュリティを常に最優先事項としています。たとえば、次のような厳しいセキュリティ対策を実施しています。
Google は、自社サーバーと他社サーバーの間を移動するコンテンツを暗号化する前方秘匿性という技術を、大手クラウド プロバイダとして初めて実現しました。前方秘匿性では接続に利用する秘密鍵が一時的なものであるため、攻撃者はもちろんサーバーの運用者ですら、過去に遡って HTTPS セッションを復号化することはできません。同業他社の多くが Google に倣って、この技術を採り入れたり、今後の採用に向けて取り組んだりしています。
すべての送信メールと受信メールは、Google データセンター間での移動時に 100% 暗号化されます。これにより、お使いの端末と Gmail サーバー間だけでなく、Google 内部でのメールの移動時にもメッセージが安全に保護されます。また、Google では TLS インジケーターを導入しており、お客様のメールが安全でない状態でプロバイダ間を移動した場合は、真っ先にユーザーに通知するようにしています。
暗号解読技術の進歩からデータを守るために、Google は 2013 年、RSA 暗号化キーの長さを 2,048 ビットに倍増しました。さらに、数週間ごとにキーを変更する取り組みも開始しており、これが業界の水準を引き上げています。
Google Workspace では、企業のシステムとアプリケーションの設定を管理者が管理できます。認証、アセットの保護、運用上の管理をすべて 1 つのダッシュボードで行って、作業の合理化を図れます。また、統合された Cloud Identity の機能を使用してユーザーを管理できるほか、多要素認証とセキュリティ キーで保護を強化することも可能です。組織のセキュリティ ニーズに最適な Google Workspace のエディションをお選びいただけます。
ユーザーのログイン時に追加の本人確認を求める 2 段階認証プロセスにより、不正アクセスのリスクを大幅に低減できます。また、セキュリティ キーを適用して物理的なキーを要求することで、ユーザー アカウントのセキュリティをさらに強化できます。キーからは暗号化された署名が送信され、所定のサイトでしか機能しないため、フィッシング対策として役立ちます。Google Workspace 管理者は、追加のソフトウェアをインストールしなくても、管理コンソールから多数のセキュリティ キーを簡単に導入、監視、管理できます。
Google では、堅牢な機械学習の機能を不審なログインの検出に活用しています。不審なログインが検出されると管理者に通知が届くため、管理者はアカウントを保護するための対策をとることができます。
シングル サインオン(SSO)がサポートされている Google Workspace では、他の企業向けクラウド アプリケーションへのアクセスを統合できます。Google の Identity and Access Management(IAM)サービスを利用すれば、管理者はすべてのユーザーの認証情報やクラウド アプリケーションへのアクセスを 1 か所で管理することが可能です。
Google Workspace では、管理者がカスタムルールを設定することで、Secure/Multipurpose Internet Mail Extensions(S/MIME)を使ったメールの署名と暗号化を必須にすることができます。このようなルールを設定しておけば、メール内で特定のコンテンツが検出された場合に自動的に S/MIME を適用することが可能です。
ゼロトラスト セキュリティ モデルと Google の BeyondCorp の実装をベースとしたコンテキストアウェア アクセスにより、ユーザーは生産性を保ちながら安全にサービスにアクセスすることができます。コンテキストアウェア アクセスには詳細なアクセス管理機能が備わり、クラウドおよびオンプレミスのアプリとインフラストラクチャ リソースが 1 つのプラットフォームで管理されています。このサービスを使用することで、管理者はユーザーの ID とリクエストのコンテキストに基づいて、Google Workspace アプリへのアクセスを詳細に管理できます。
Google の高度な保護機能プログラムでは、標的型オンライン攻撃を受ける危険性が高いユーザーを効果的に防御します。この企業向けプログラムを導入すると、登録したユーザーに対してアカウントのセキュリティに関する選りすぐりの高度なポリシーが適用されます。これらのポリシーには、セキュリティ キーを必須にする、信頼できないアプリへのアクセスをブロックする、メールに対して高度な脅威検出スキャンを実施するといったものがあります。
Google Workspace 管理者は、データ損失防止(DLP)ポリシーを設定して、Gmail とドライブ内の機密情報を保護できます。DLP ポリシーの設定は、提供されている定義済みコンテンツ検出項目のライブラリを使用して簡単に行うことができます。DLP ポリシーを設定すると、たとえば Gmail ではすべての送信メールに含まれる機密情報が自動的にチェックされ、データ漏えいを防ぐ措置(メールを隔離して精査する、ユーザーに情報の変更を求める、またはメールの送信をブロックしたうえで送信者に通知する)が実行されます。ドライブの DLP では、容易に設定できるルールや、画像に含まれているコンテンツの光学式文字認識(OCR)機能を利用して、機密性の高いコンテンツが含まれているファイルを監査したり、ユーザーが機密情報を社外のドメインと共有しようとした場合に警告を表示して共有を防止するルールを設定したりすることが簡単にできます。詳しくは、Google の DLP に関するホワイトペーパーをご覧ください。
機械学習の活用により、Gmail での迷惑メール検出の精度は 99.9% にまで達しています。機械学習は、必要なメールとしてシステムを通過する恐れのある迷惑メールやフィッシング メールのブロックにも役立っています。Gmail の受信トレイに届くメールのうち、迷惑メールの割合は平均で 0.1% 未満となっており、メールが迷惑メールフォルダに誤って振り分けられる割合はさらに少ない 0.05% 未満となっています。
不正なソフトウェアによる攻撃を防ぐため、Google ではユーザーが添付ファイルをダウンロードする前に、複数のエンジンで自動的にウィルス スキャンを行っています。Gmail では、メールを送信する前にも添付ファイルのウィルス チェックが行われます。こうしてスキャンを行うことで Gmail を利用するすべてのユーザーを保護し、ウィルスの拡散を防ぐことができます。添付ファイルのうち、.ade、.adp、.bat、.chm、.cmd、.com、.cpl、.exe、.hta、.ins、.isp、.jar、.js、.jse、.lib、.lnk、.mde、.msc、.msi、.msp、.mst、.nsh、.pif、.scr、.sct、.shb、.sys、.vb、.vbe、.vbs、.vxd、.wsc、.wsf、.wsh などの形式のものは、たとえ圧縮ファイルの一部として添付されていても、自動的にブロックされます。
Google Workspace では機械学習を広く活用することで、ユーザーをフィッシング攻撃から保護しています。Google の学習モデルでは、過去にフィッシングと分類されたサイトと新しい未認識の URL との相似解析が実施され、新しいパターンが検出された場合にはどのような手動システムよりもすばやい適応が実現しています。Google Workspace では、管理者がセキュリティ キーの使用を必須にすることで、フィッシング攻撃で漏えいした認証情報を使用できなくすることも可能です。
お客様の組織の評判がフィッシング攻撃によって損なわれないよう、Google Workspace は標準規格である DMARC に準拠しています。これにより、ドメインからの未承認メールを Gmail などの DMARC 対応メール プロバイダでどのように処理するかをドメイン所有者が指定できるようになっています。ポリシーを定義することで、ユーザーと組織の評判を守ることができます。
Google Workspace と完全に統合されているエンドポイント管理機能では、継続的にシステムをモニタリングできるほか、デバイスの不審なアクティビティが検出された際にアラートが送信されます。管理者はエンドポイント ポリシーの適用、デバイス上のデータの暗号化、紛失または盗難の際のモバイル デバイスのロック、デバイスのリモートワイプを実施できます。
Google Workspace のセキュリティ センターを利用すると、Google Workspace 環境のセキュリティの状況を 1 か所で包括的に把握できます。セキュリティを分析し、おすすめの対応方法を確認できるほか、総合的に対処することもできるので、組織のデータ、デバイス、ユーザーの保護に役立ちます。
認証管理の一環として、管理者はサードパーティ製アプリケーションを把握、管理できます。認証や企業データへのアクセスには OAuth を利用します。OAuth でのアクセスは細分化されたレベルで無効にすることができ、検査済みのサードパーティ製アプリケーションをホワイトリストに登録することもできます。
管理者による機密データの継続的な管理に向け、Google では Google ドライブで IRM(Information Rights Management)をご利用いただけるようにしています。管理者やユーザーは、詳細な共有メニューからファイルのダウンロード、印刷、コピーを無効にできるほか、ファイルへのアクセスに有効期限を設定することも可能です。
Google Workspace の新機能であるアラート センターでは、Google Workspace で発生した重要な通知、アラート、操作を確認できます。管理者は、このような潜在的なアラートに関する分析情報をもとに、組織がセキュリティに関する脅威にどの程度さらされているのかを評価することができます。セキュリティ センターを利用して総合的な対策を講じることで、問題の効率的な解決が可能です。
多くの組織では、Google の分散型データセンターの機能を活用することにより、最低限のレイテンシや堅牢な地理的冗長性といった重要なメリットを最大限に享受しています。ただし、厳格な管理要件が定められている組織の場合は、Google Workspace のデータ リージョンを使用して、特定のデータの保管場所を選択できます。この場合はデータを米国かヨーロッパ各地に保管できるほか、世界各地に分散させることも可能です。
Google Workspace は、業界のベスト プラクティスに基づき、厳格なプライバシー基準とセキュリティ基準に準拠するよう設計されています。Google は契約に基づくデータの所有、データの使用、セキュリティ、透明性、説明責任に積極的に取り組んでいるほか、お客様がレポートに関する要件やコンプライアンスを満たすために必要となるツールも提供しています。
Google のお客様や規制当局からは、Google のセキュリティ、プライバシー、コンプライアンスの管理が独立した機関によって検証されることが求められています。これに対応するため、Google は複数の独立した第三者機関による監査を定期的に受けています。
ISO/IEC 27001 は広く認知され、受け入れられている独立したセキュリティ規格の一つです。Google では、Google Workspace の運用におけるシステム、テクノロジー、プロセス、データセンターについて ISO/IEC 27001 認証を取得しています。ISO/IEC 27001 認証を受けている Google の各種サービスはこちらよりご確認ください。
ISO/IEC 27017 は、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を、クラウド サービスに特化して定めた国際規格です。Google の国際規格への準拠は、Dutch Accreditation Council(国際認定フォーラム(IAF)のメンバー)によって認証された ISO 認証機関、Ernst & Young CertifyPoint によって認定されています。ISO/IEC 27017 認証を受けている Google の各種サービスはこちらよりご確認ください。
Google Workspace が ISO/IEC 27018:2014 に準拠しているように、Google ではプライバシーとデータの保護に関する国際的な基準に準拠することを自らの責務と捉えています。ISO/IEC 27018 のガイドラインには、広告宣伝を目的としてお客様のデータを使用しないこと、Google Workspace の各種サービスにおけるお客様のデータはお客様に帰属すること、データの削除と書き出しを行うためのツールをお客様に提供すること、第三者による開示要求からお客様の情報を保護すること、お客様のデータの保管場所について透明性を確保することが定められています。ISO/IEC 27018 認証を受けている Google の各種サービスはこちらよりご確認ください。
American Institute of Certified Public Accountants(AICPA: 米国公認会計士協会)の SOC(Service Organization Controls)2 と SOC 3 の各監査フレームワークは、セキュリティ、可用性、処理の整合性、機密性に関する Trust サービスの原則と基準に基づいています。Google は SOC 2 と SOC 3 のレポートを取得しています。SOC 3 レポートはダウンロードしていただくことも可能です。
Google Workspace のサービスは Federal Risk and Authorization Management Program(FedRAMP: 米国連邦政府によるリスクおよび認証管理プログラム)の要件に準拠しています。FedRAMP は米国政府が規定するクラウド セキュリティ規格です。Google Workspace は個人情報(PII)や管理対象非機密情報など、影響レベルが「中程度」のデータを米国連邦政府機関が管理する際に利用できるサービスとして承認されています。また、Google Workspace は英国政府のセキュリティ原則に従って、「公的な」情報(「公的な機密」情報を含む)を使用する際に適切であるとの評価も受けています。プロダクトやサービスに関するコンプライアンスについて詳しくは、FedRAMP の「Google Services」のページをご覧ください。
Payment Card Industry Data Security Standard(PCI DSS)に準拠する必要がある Google Workspace のお客様については、データ損失防止(DLP)ポリシーを設定し、支払いカード情報を含むメールが Google Workspace から送信されないようにすることができます。また、ドライブでは、監査が実行されるように Vault を設定し、カード保持者のデータが一切保管されないようにすることもできます。
FISC(金融情報システムセンター)は、日本の金融情報システムに関する技術、利用、管理、脅威および防御に関連した研究を行う公益財団法人です。この組織が作成した主要なドキュメントの 1 つに、設備、運用、技術インフラストラクチャに関する管理について解説した「金融機関等コンピュータ システムの安全対策基準・解説書」があります。Google の管理環境が FISC のガイドラインにどのように準拠しているかをお客様にご説明するために、Google はガイドを作成しました。このガイドで概説されている安全対策基準の多くは、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 の各認証など、第三者が監査する Google のコンプライアンス プログラムの一環となっているものです。Google の FISC 安全対策基準への対応についてはこちらをご覧ください。詳しくは、営業担当へお問い合わせください。
スペインの Esquema Nacional de Seguridad(ENS)認定スキームは、La Entidad Nacional de Acreditación(ENAC)が財務・行政管理省、National Cryptologic Centre(CCN)の緊密な協力を得て策定したセキュリティの枠組みです。ENS は国王令 3/2010(法令 951/2015 で改正)の一環として設立されたもので、スペインの公的機関を対象に適切な情報保護の基本原則と要件を定めています。Google Cloud(GCP および Google Workspace)はすべての要件を満たし、ENS の高セキュリティ レベルに準拠しています。
Google Workspace は、保護対象医療情報(PHI)の保護、使用、開示を統制する U.S. Health Insurance Portability and Accountability Act(HIPAA: 米国の医療保険の相互運用性と説明責任に関する法律)をお客様が遵守できるよう支対応しています。HIPAA の対象となるお客様で、PHI の処理や保管に Google Workspace のご利用を希望される場合は、Google の業務提携契約の修正条項にご署名ください。詳しくは、Google Workspace の HIPAA コンプライアンス対応をご覧ください。
Google Workspace は、Google の Cloud のデータ処理に関する追加条項、復処理者の情報開示規定、EU 標準契約条項に則って、第 29 条作業部会のデータ保護勧告に対応しているほか、EU 標準契約条項も遵守しています。また、Privacy Shield(プライバシー シールド)も継続的に遵守してデータのポータビリティを確保しているため、管理者は追加料金を課金されることなく、標準的な形式でデータを書き出すことができます。
Google Workspace は、ユーザーデータのセキュリティとプライバシーを優先し、改善するための取り組みを擁護しています。Google は、一般データ保護規則(GDPR)が適用された各種サービスを Google Workspace のお客様に安心してご利用いただけるよう、Cloud のデータ処理に関する追加条項を更新しました。また、Cloud のデータ処理に関する追加条項と標準契約条項を通じて、厳格なポリシー、処理、管理を実施してきました。Google はこれらの契約を通じて、Google がお客様に代わって行う処理について、GDPR で Google に適用される義務を遵守することを明示しています。さらに、欧州データ保護機関と緊密に連携してその要件を遵守してきました。詳細をご確認ください。
G Suite for Education は数多くの学生の皆さまにご利用いただいています。G Suite for Education のサービスは、FERPA(Family Educational Rights and Privacy Act: 家庭教育の権利とプライバシーに関する法律)に準拠しています。FERPA への準拠に関しては、Google の契約に規定されています。
オンラインで子どもたちを保護することは、Google にとって重要です。Google では COPPA(Children’s Online Privacy Protection Act of 1998: 児童オンラインプライバシー保護法)の要件に基づき、G Suite for Education をご利用いただいている学校に対して、Google のサービスを利用する際に保護者の同意を得ることを契約で義務付けています。Google サービスは COPPA に準拠した形で利用することができます。
Google はサービス内のさまざまな機能や契約義務を通じて、お客様が南アフリカの個人情報保護法(POPI 法)を遵守できるようにしています。POPI の適用対象となるお客様は、Cloud のデータ処理に関する追加条項に署名することで、ご自身のデータの保存方法、処理方法、保護方法を規定できます。
Google Vault では、特定の Google Workspace アプリに含まれる組織データの保持、検索、書き出しを行うことができます。Vault は完全にウェブベースのサービスであるため、追加のソフトウェアのインストールやメンテナンスは必要ありません。
Google Vault を利用すると、法的な基準やデータ管理に関する一連のガイドラインに沿う形で特定の Google Workspace アプリのデータを標準的な形式で書き出して、追加の処理や確認を行うことができます。
Google Workspace の監視ツールを利用すれば、管理者はメールをスキャンして、英数字のパターンや不適切なコンテンツが含まれているメールを抽出できます。また、ルールを作成し、そのルールに一致するメールに対して「宛先に配信される前に拒否する」または「内容を変更して配信する」のいずれかの措置を適用できます。
使いやすいインタラクティブなレポートを利用して、組織がさらされているセキュリティ上の問題をドメインレベルやユーザーレベルで評価できます。さまざまなアプリケーション プログラミング インターフェース(API)を使った拡張も行えるため、利用環境に適したカスタム セキュリティ ツールを構築することができます。ユーザーによるデータの共有状況、インストールされているサードパーティ製アプリ、2 段階認証プロセスなどの適切なセキュリティ対策の整備に関するインサイトを活用してセキュリティ体制を改善できます。
Google Workspace の管理者は、Google Workspace 内のユーザーの操作を追跡したり、カスタム通知を設定したりできます。この追跡機能は、管理コンソール、Gmail、ドライブ、カレンダー、グループ、モバイル、サードパーティ製アプリケーションの承認設定を対象としています。たとえば、指定したファイルがダウンロードされたときや、「機密」という言葉が含まれるファイルが組織外部と共有されたときなどに、管理者に通知が届くように設定できます。
大規模なデータ解析に対応する Google の企業向けデータ ウェアハウス、BigQuery を利用すると、洗練された高性能のカスタムクエリを使って Gmail ログを分析したり、サードパーティ製ツールを活用してさらに詳細な分析を行ったりできます。
Google は透明性を重視しています。透明性を通じてお客様と信頼関係を築き、それを維持するために真摯に取り組んでいます。お客様のデータは、Google ではなくお客様に帰属します。Google がお客様のデータを第三者に販売することはありません。また、Google Workspace に広告が表示されることはなく、Google が広告を目的に Google Workspace のサービスのデータを収集、利用することも一切ありません。
Google が広告を目的に Google Workspace のサービス内のユーザーデータを収集、スキャン、使用することはありません。また、Google Workspace に広告を表示することもありません。お客様のデータは、Google Workspace のサービスの提供とシステム サポート(迷惑メールの自動振り分け、ウィルスの検出、スペルチェック、キャパシティ プランニング、トラフィック ルーティング、個人アカウント内でのメールやファイルの検索機能など)のために使用させていただきます。
企業、学校、政府機関が Google Workspace のサービスにデータを保存していても、そのデータは Google に帰属するわけではありません。企業の知的財産であれ、個人情報であれ、学校の課題であれ、Google がデータを所有したり、第三者に販売したりすることはありません。
Google スタッフが行った操作、アクセスした理由、特定のサポート チケットへの参照(該当する場合)を詳細に記録したログを提供することでアクセスの透明性を確保し、お客様の信頼に応えます。
Google Workspace は サービスレベル契約を 99.9% 達成しています。また、Google Workspace では計画的ダウンタイムやメンテナンスの時間枠を設けていません。他の多くのプロバイダとは異なり、Google のアプリケーションはサービスのアップグレード中やシステムのメンテナンス中でもご利用いただけます。
Google は、システムや処理に関する情報(リアルタイムのパフォーマンスの概要、データの取り扱いに関する監査結果、データセンターのロケーションなど)をお客様に開示するよう努めています。お客様のデータは、所有者であるお客様が制御できるようになっており、いつでも削除したり、書き出したりできます。また、Google では定期的に透明性レポートを公開して、政府やその他の機関がお客様のオンライン上のセキュリティとプライバシーにどのような影響を与える可能性があるのかを詳しくお知らせしています。Google はお客様の知る権利を尊重します。これまで逐次情報を開示し、お客様の権利を保護してきた実績もあります。