Googleのクラウド部門Google Cloudは、顧客が持つ機密データをより容易に同社クラウドへと移行できるようにしたいと考えている。同社は英国で現地時間11月20日から開催している「Google Cloud Next '19 UK」において、企業に対して暗号化データのさらなる統制権をもたらすことを目的とした新サービス「External Key Manager」を発表した。企業はこのサービスによって、Googleのインフラの外で暗号鍵を管理できるようになる。
この新サービスは、「Google Cloud」上で暗号鍵を管理するために以前から提供されている、クラウドホスト型の鍵管理サービス「Cloud KMS」の代替となる機能をGoogle Cloudの顧客にもたらすことを目的としている。
「Google Compute Engine」の仮想マシンや、マネージド型のデータウェアハウスである「BigQuery」を利用する顧客は、Googleを信頼して機密データの暗号鍵を同社のクラウド上に格納するのではなく、オンプレミス環境や、外部のホスティングパートナー環境というGoogleインフラの外の世界に格納できるようになる。
Google CloudのTrust and Securityマーケティング責任者を務めるRob Sadowski氏は米ZDNetに、「『Google Cloud Platform』に送られてきた保存中(at-rest)のデータはすべて、顧客が何もしなくてもデフォルトで暗号化されている」と語った。
「そうは言っても、『それは安心だが、その暗号化の一部については自ら管理したい』と望む顧客もいる」(同氏)
External Key Managerはその名が示すように、Googleのインフラとは完全に独立した外部環境への暗号鍵の格納を可能にするサービスだ。
またGoogleは、顧客が機密性の高いデータをGoogleのクラウド上に格納する際にさらなる安心をもたらすための新たな選択肢も用意している。これには、2018年に発表された、暗号化対象データの格納時にハードウェアを用いて鍵の生成と管理を行う「Cloud Hardware Security Module」(Cloud HSM)も含まれている。
External Key Managerを使用する際に利用できる外部提携パートナーとしては、EquinixやFortanix、Ionic、Thales、Unboundが名を連ねている。
新たな統制機能には、「Key Access Justifications」というものも含まれている。External Key Managerを用いる場合、データの復号時に毎回、Googleは顧客の鍵を要求するための詳細な正当化情報を提供する必要が出てくるため、この機能が必要となる。また、顧客は自動化されたポリシーによって、鍵の提供可否を設定できるようになっている。
これらの機能を組み合わせることで、顧客はGoogleによるデータの復号を抑止できるようになる。またKey Access Justificationsは、BigQuery内やGoogle Compute Engine内において、データの状態を保存状態(at-rest)から使用状態(in-use)に移行する際の制御を実現するためのものだ。
External Key Managerは間もなくベータ版が、そしてKey Access Justificationsも間もなくアルファ版の提供が開始される。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
