Google Apps for BusinessがISO 27001を取得

グーグルは5月29日、Google Appsのセキュリティへの取り組みに関する記者説明会を開催し、Google Apps for BusinessがISO 27001を取得したことを明らかにした。

米Googleのセキュリティ担当ディレクターを務めるEran Feigenbaum氏がビデオ会議を介して、説明を行った。同氏は、「現在、ユーザーがクラウドサービスを導入する際、セキュリティが最後の課題になっている」と、同社がセキュリティに力を入れる理由を述べた。

続けて同氏は、「われわれは『アプリケーション』『データセンター』『プロセス』という3つの面から、セキュリティ対策を講じている」と、セキュリティに対し多角的に取り組む同社の姿勢をアピールした。

第3者による標準取得に関する取り組みの例としては、連邦情報セキュリティマネジメント法「FISMA」、米国保証業務基準「SSAE16」、国際保証業務基準「ISAE 3402」による認定を受けていることが紹介された。

ISO 27001の取得もこうした取り組みの一環となる。「ISO 27001の対象範囲はデータセンターに関わるあらゆるプロセス」と同氏。今回のISO 27001取得によってユーザーが得られるメリットについて、同氏は「1つは、第3者によって、セキュリティが確保されたシステムであることが証明され、ユーザーが安心感を得られること。もう1つは、クラウドのセキュリティの標準が定まっていないなか、RFPにおいて評価項目の1つとなること」と説明した。

同氏は、そのほかのセキュリティへの取り組みとして、「データの保存方法」と「2段階認証」を紹介した。

「クラウドサービスのメールの場合、単一のサーバに保存されるのが一般的だが、Gmailはファイルを分割して複数のサーバに保存している。分割されたファイルは複数回にわたり複製が行われる。つまり、ラック、サーバ、データセンターに依存することなく、セキュリティが確保されているというわけだ」

分割されたファイルは同社の独自技術で「難読化」されているため、仮に、1つのファイルを盗まれたところで、メール全体を解読することは不可能だという。同氏は「『暗号化イコールセキュリティ』というイメージがあるが、暗号化は暗号鍵をきちんと管理していなくては意味がない」と、同社が暗号化を行っていない理由を説明した。

「2段階認証」は半年前にすでに発表されているが、「ユーザーへの認知度を高めたい」として、今回あらためて紹介したという。Googleのアカウントでは、従来のIDとパスワードによる認証に加え、もう1回、分単位で変わるコードによる認証を受けることができる。コードはモバイルデバイス上で「Google Authenticator」という専用アプリから入手する。

同氏は、「企業は堅牢なセキュリティに必要なコストが不足している」として、あらゆる規模の企業も同社が提供するセキュリティ対策からメリットを得ることができるとアピールした。