teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップSecurity+に関する質問
Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

Google Cloud Platform

Google Cloud Platformは、Google社がクラウド上で提供しているサービス郡の総称です。エンドユーザー向けサービスと同様のインフラストラクチャーで運営されており、Webサイト開発から複雑なアプリ開発まで対応可能です。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Google

Googleは、アメリカ合衆国に位置する、インターネット関連のサービスや製品を提供している企業です。検索エンジンからアプリケーションの提供まで、多岐にわたるサービスを提供しています。

Q&A

解決済

2回答

2607閲覧

GCP単体でのセキュリティレベルについて

kumataro_
kumataro_

総合スコア5

Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

Google Cloud Platform

Google Cloud Platformは、Google社がクラウド上で提供しているサービス郡の総称です。エンドユーザー向けサービスと同様のインフラストラクチャーで運営されており、Webサイト開発から複雑なアプリ開発まで対応可能です。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Google

Googleは、アメリカ合衆国に位置する、インターネット関連のサービスや製品を提供している企業です。検索エンジンからアプリケーションの提供まで、多岐にわたるサービスを提供しています。

0グッド

1クリップ

投稿2020/06/12 11:14

0

1

GCP単体のセキュリティについて、質問というか疑問です。

URL1では、Googleのセキュリティ方針についていろいろ記載していて、セキュリティ万全な印象を受けました。
一方、URL2では、セキュリティパートナーとして、様々な企業が紹介されています。

ここで質問というか疑問なのですが、GoogleCloudPlatform単体のセキュリティは大したことないのでしょうか?
セキュリティパートナーを使用しないとちゃんとしたセキュリティは確保できないのでしょうか?
少なくともURL1ではIPS/IDSの実施やポートスキャニング等は触れられていませんでした。

URL1:Googleのセキュリティに関するホワイトペーパー
https://cloud.google.com/security/overview/whitepaper?hl=ja

URL2:セキュリティパートナー
https://cloud.google.com/security/partners?hl=ja

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

GCP の提供するサービスは主にインフラです。(それを拡張してさらに上のレイヤサービスも提供していますが、インフラがベースです)

で、インフラに対しての認定資格が以下のページにまとめてあります。
コンプライアンス リソース センター

インフラ屋から見たときに、十分堅牢と言える資格が認定されています。

ただし、google が提供するインフラ上で動くサービスを作るのはユーザです。
クラウドは比較的新しい概念で、従来のインフラと若干異なるセキュリティ設計が必要な箇所があります。
また、その上で動くサービスにも、インフラとは別にセキュリティ要件が定義されます。

そこで、それらの要件を十分に実現させるためのパートナーが「セキュリティパートナー」になります。
いわゆる「責任分界点」の外側を補完するものです。

セキュリティパートナーを使用しないとちゃんとしたセキュリティは確保できないのでしょうか?

「責任分界点」が理解できていない状態であれば、セキュリティパートナー以前に全体のセキュリティ統括が必要なので、全体のセキュリティコンサルができる会社に依頼しなければ、必要十分なセキュリティは確保できません。

投稿2020/06/12 20:17

編集2020/06/13 02:20
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kumataro_
kumataro_

2020/06/14 09:51

ご回答ありがとうございます。 具体的な要件ですが、顧客からIPS/IDSの実施やポートスキャニングを実装する事がセキュリティ要件の一つであるという前提の場合、GCPのページにそれらの機能について記載されていない場合は、GCPの機能ではそれらのセキュリティ要件を満たす事は不可能という事なのでしょうか。 その場合は、セキュリティコンサルへ依頼するか、セキュリティパートナーを利用するか、自分で実装する?必要があるという理解でよろしいのでしょうか?
退会済みユーザー

退会済みユーザー

2020/06/14 23:51

> 顧客からIPS/IDSの実施やポートスキャニングを実装する事がセキュリティ要件の一つであるという前提 現時点では、IPS/IDS の導入がセキュリティ要件となるほど、IPS/IDS の機能は一般的な認知を得ていないと思います。何らかのセキュリティ要件の実現のための機能として見るのが適切かと。普通は、背景にセキュリティ要件が隠れています。(まぁ、セキュリティ要件ではなく、ただの要件として「IPS/IDS の導入」が語られる場合もありますが。。。PCI DSS 対応等) 回答にも書きましたが、「責任分界点」が理解できていない状態であれば、セキュリティパートナー以前に全体のセキュリティ統括が必要なので、全体のセキュリティコンサルができる会社に相談してください。
kumataro_
kumataro_

2020/06/17 02:36

ありがとうございます。検討します。
guest

0

ベストアンサー

te2jiさんの回答で全てなのですが、反応がないようですので、具体例で説明しましょう。

自分自身がブログ記事を公開するためのサイトを新たに作るとします。
bloggerとか、はてなブログにユーザー登録すれば、直ちに始めることができます。この場合、利用者側ではパスワードの管理とか、できれば二段階認証(あれば)など、認証まわりのセキュリティには気をつける必要がありますが、ソフトウェアのアップデートはなどは必要ありません。bloggerや、はてなブログはSaaS(Software as a Service)と呼ばれます。

ですが、もう少し色々やりたいと思えば、レンタルサーバーを借りて、自分で(あるいはレンタルサーバーの機能を利用して)WordPress等をインストールすることもできます。この場合、OSやPHPのアップデートはレンタルサーバー事業者側でやってくれますが、WordPressやプラグイン、テーマのアップデートは自分でやる必要があります。レンタルサーバーの他に、PaaS(Platform as a Service)と呼ばれるクラウドサービスも同様です。

さらに、レンタルサーバーのPHPバージョンが古いなどが気に入らないので、PHPなども自分でインストールしたいとします。そうなると、VPSやIaaS型のサービスを借りて、自分でPHPなどもインストールすることもできます。VPSやIaaS(Infrastructure as a Service)の場合、OSのインストールはやってくれる(OSの種類は選択はできる場合が多い)ものの、OS自体や、PHP、WordPress、プラグイン、テーマなどソフトウェアのアップデートはすべて自分でやる必要があります。

GCPはIaaS型のサービスなので、ソフトウェアや認証についてはすべて利用者側で担当する必要があります。

これは自由度との裏返しで責任が生じるのだと考えてください。IaaS型のサービスには、利用者が「ソフトウェアのアップデートをしない」自由もあります。ですが、その「自由」には「責任」も伴います(下表)。

IaaS/VPSPaas/レンタルサーバーSaaS
OS/PHPのアップデート利用者事業者事業者
WordPress/プラグイン等のアップデート利用者利用者事業者
パスワード管理利用者利用者利用者

GCPや(Amazonの)EC2などは非常に高機能なので、セキュリティを強化する機能も豊富ですが、使いこなしが難しい面もあります。セキュリティのパートナーは、この難しい機能を代行で設定してくれたり、使い方のアドバイスをくれるものです。

投稿2020/06/14 07:39

ockeghem
ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kumataro_
kumataro_

2020/06/14 09:47

ご回答ありがとうございます。 Iaasで、顧客からIPS/IDSの実施やポートスキャニングを実装する事がセキュリティ要件の一つであるという前提で、GCPのページにそれらの機能について記載されていない場合は、GCPの機能ではそれらのセキュリティ要件を満たす事は不可能という事なのでしょうか。 その場合は、セキュリティパートナーを利用するか、自分で実装する?必要があるという理解でよろしいのでしょうか?
ockeghem
ockeghem

2020/06/14 09:55

IaaSには一般的にIPS/IDSの機能はないと思いますので、それは利用者側で適宜独自に実装することになると思います。GCPに限った話ではありません。なので、「セキュリティパートナーを利用するか、自分で実装する?必要があるという理解でよろしいのでしょうか?」という質問に対する答えは YES です。 ただし、「独自に実装」というか、製品選定して導入ですね。
kumataro_
kumataro_

2020/06/17 02:36

ありがとうございます。理解が深まりました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップSecurity+に関する質問

GCP単体でのセキュリティレベルについて