GCP単体でのセキュリティレベルについて

GCP単体のセキュリティについて、質問というか疑問です。

URL1では、Googleのセキュリティ方針についていろいろ記載していて、セキュリティ万全な印象を受けました。
一方、URL2では、セキュリティパートナーとして、様々な企業が紹介されています。

ここで質問というか疑問なのですが、GoogleCloudPlatform単体のセキュリティは大したことないのでしょうか？
セキュリティパートナーを使用しないとちゃんとしたセキュリティは確保できないのでしょうか？
少なくともURL1ではIPS/IDSの実施やポートスキャニング等は触れられていませんでした。

URL1:Googleのセキュリティに関するホワイトペーパー
https://cloud.google.com/security/overview/whitepaper?hl=ja

URL2:セキュリティパートナー
https://cloud.google.com/security/partners?hl=ja

回答2件

GCP の提供するサービスは主にインフラです。(それを拡張してさらに上のレイヤサービスも提供していますが、インフラがベースです)

で、インフラに対しての認定資格が以下のページにまとめてあります。
コンプライアンスリソースセンター

インフラ屋から見たときに、十分堅牢と言える資格が認定されています。

ただし、google が提供するインフラ上で動くサービスを作るのはユーザです。
クラウドは比較的新しい概念で、従来のインフラと若干異なるセキュリティ設計が必要な箇所があります。
また、その上で動くサービスにも、インフラとは別にセキュリティ要件が定義されます。

そこで、それらの要件を十分に実現させるためのパートナーが「セキュリティパートナー」になります。
いわゆる「責任分界点」の外側を補完するものです。

セキュリティパートナーを使用しないとちゃんとしたセキュリティは確保できないのでしょうか？

「責任分界点」が理解できていない状態であれば、セキュリティパートナー以前に全体のセキュリティ統括が必要なので、全体のセキュリティコンサルができる会社に依頼しなければ、必要十分なセキュリティは確保できません。

投稿2020/06/12 20:17

編集2020/06/13 02:20

退会済みユーザー

総合スコア0

回答へのコメント

kumataro_

2020/06/14 09:51

ご回答ありがとうございます。具体的な要件ですが、顧客からIPS/IDSの実施やポートスキャニングを実装する事がセキュリティ要件の一つであるという前提の場合、GCPのページにそれらの機能について記載されていない場合は、GCPの機能ではそれらのセキュリティ要件を満たす事は不可能という事なのでしょうか。その場合は、セキュリティコンサルへ依頼するか、セキュリティパートナーを利用するか、自分で実装する？必要があるという理解でよろしいのでしょうか？

退会済みユーザー

2020/06/14 23:51

> 顧客からIPS/IDSの実施やポートスキャニングを実装する事がセキュリティ要件の一つであるという前提現時点では、IPS/IDS の導入がセキュリティ要件となるほど、IPS/IDS の機能は一般的な認知を得ていないと思います。何らかのセキュリティ要件の実現のための機能として見るのが適切かと。普通は、背景にセキュリティ要件が隠れています。(まぁ、セキュリティ要件ではなく、ただの要件として「IPS/IDS の導入」が語られる場合もありますが。。。PCI DSS 対応等) 回答にも書きましたが、「責任分界点」が理解できていない状態であれば、セキュリティパートナー以前に全体のセキュリティ統括が必要なので、全体のセキュリティコンサルができる会社に相談してください。

kumataro_

2020/06/17 02:36

ありがとうございます。検討します。

ベストアンサー

te2jiさんの回答で全てなのですが、反応がないようですので、具体例で説明しましょう。

自分自身がブログ記事を公開するためのサイトを新たに作るとします。
bloggerとか、はてなブログにユーザー登録すれば、直ちに始めることができます。この場合、利用者側ではパスワードの管理とか、できれば二段階認証（あれば）など、認証まわりのセキュリティには気をつける必要がありますが、ソフトウェアのアップデートはなどは必要ありません。bloggerや、はてなブログはSaaS(Software as a Service)と呼ばれます。

ですが、もう少し色々やりたいと思えば、レンタルサーバーを借りて、自分で（あるいはレンタルサーバーの機能を利用して）WordPress等をインストールすることもできます。この場合、OSやPHPのアップデートはレンタルサーバー事業者側でやってくれますが、WordPressやプラグイン、テーマのアップデートは自分でやる必要があります。レンタルサーバーの他に、PaaS(Platform as a Service)と呼ばれるクラウドサービスも同様です。

さらに、レンタルサーバーのPHPバージョンが古いなどが気に入らないので、PHPなども自分でインストールしたいとします。そうなると、VPSやIaaS型のサービスを借りて、自分でPHPなどもインストールすることもできます。VPSやIaaS(Infrastructure as a Service)の場合、OSのインストールはやってくれる（OSの種類は選択はできる場合が多い）ものの、OS自体や、PHP、WordPress、プラグイン、テーマなどソフトウェアのアップデートはすべて自分でやる必要があります。

GCPはIaaS型のサービスなので、ソフトウェアや認証についてはすべて利用者側で担当する必要があります。

これは自由度との裏返しで責任が生じるのだと考えてください。IaaS型のサービスには、利用者が「ソフトウェアのアップデートをしない」自由もあります。ですが、その「自由」には「責任」も伴います（下表）。

	IaaS/VPS	Paas/レンタルサーバー	SaaS
OS/PHPのアップデート	利用者	事業者	事業者
WordPress/プラグイン等のアップデート	利用者	利用者	事業者
パスワード管理	利用者	利用者	利用者

GCPや(Amazonの)EC2などは非常に高機能なので、セキュリティを強化する機能も豊富ですが、使いこなしが難しい面もあります。セキュリティのパートナーは、この難しい機能を代行で設定してくれたり、使い方のアドバイスをくれるものです。

投稿2020/06/14 07:39

ockeghem

総合スコア11539

回答へのコメント

kumataro_

2020/06/14 09:47

ご回答ありがとうございます。 Iaasで、顧客からIPS/IDSの実施やポートスキャニングを実装する事がセキュリティ要件の一つであるという前提で、GCPのページにそれらの機能について記載されていない場合は、GCPの機能ではそれらのセキュリティ要件を満たす事は不可能という事なのでしょうか。その場合は、セキュリティパートナーを利用するか、自分で実装する？必要があるという理解でよろしいのでしょうか？

ockeghem

2020/06/14 09:55

IaaSには一般的にIPS/IDSの機能はないと思いますので、それは利用者側で適宜独自に実装することになると思います。GCPに限った話ではありません。なので、「セキュリティパートナーを利用するか、自分で実装する？必要があるという理解でよろしいのでしょうか？」という質問に対する答えは YES です。ただし、「独自に実装」というか、製品選定して導入ですね。

kumataro_

2020/06/17 02:36

ありがとうございます。理解が深まりました。

15分調べてもわからないことは
teratailで質問しよう！