原口 豊(はらぐち・ゆたか)
大手証券会社システム部に在籍後、1998年ベイテックシステムズを設立し社長就任。2008年に、いち早くクラウドコンピューティングの可能性に注目し、サービスの提供を開始、GoogleAppsの導入サポート実績はこれまで250社以上。「サテライト・オフィス」ブランドで多数のテンプレートを無償提供するなど、GoogleAppsの普及に尽力。GoogleEnterprise Day 2009ではパートナーアワードを受賞した。

内部統制の整備を保証するセキュリティ監査基準「SAS 70 Type II」を取得

Google Appsのセキュリティについて「大手企業から一番多く寄せられる質問が、Google Appsは"SLA(Service Level Agreement:サービス品質保証契約)"や各種情報セキュリティに関するガイドラインをクリアしているのかということです」と語る原口氏。

企業・組織のセキュリティの状況を示すガイドラインに、ISO/IEC27001に基づいて情報セキュリティマネジメントの実施状況を認定する「情報セキュリティマネジメントシステム(ISMS:Information Security Management System)」や、個人情報の取り扱いについて一定基準を満たした企業にプライバシーマークの使用を許諾する「プライバシーマーク制度」などがある。個人情報や経営情報など、機密情報を多々扱う企業がGoogle Appsの導入を検討するにあたっては、こうした各種ガイドラインへの対応状況が気になるというわけだ。

原口氏は「こうした企業ニーズに対応するべく、GoogleではGoogle Appsに対してセキュリティ監査基準「SAS 70 Type II」認定を取得しています」と語る。SAS 70とは、サービスプロバイダーの内部統制環境を顧客や顧客の監査役に保証できるよう、米国公認会計士協会(AICPA:American Institute of Certified Public Accountants)が策定した監査基準のことだ。

中立な第三者視点で作成された報告書には、情報処理に関する具体的なプロセスやハードウェア要素などが明記してあり、信頼度の高い国際監査基準として世界中の企業に活用されている。

SAS 70の報告書には、委託企業の財務諸表監査に関する内部統制状況を記載した「Type I」、これに加えて所定期間で内部統制が有効に運用されていたかどうかを検証・評価する「Type II」の2種類があるが、Google Appsではより厳格な後者の認定を取得。世界100ヵ国以上に500以上の拠点と約3万人の人員を有する国際会計事務所グループ「Grant Thornton」によって、内部統制環境が保障されているのである。

「このように、Google Appsは第三者機関による十分な内部統制環境の検証および認定が行われていますので、企業でも安心して利用いただけます。また、要望に応じてSAS 70 Type IIの報告書を無償で提供することも可能です」と、原口氏はGoogle Appsの高い信頼性について語る。

分散処理ファイルシステムで重要なデータを保護

次に、Google Appsのデータがどの程度安全に保存・管理されているかについて解説しよう。まず、Google Appsのデータ管理にはGoogleが独自開発した分散処理ファイルシステム「Google File System」が用いられている。

Google File Systemとは、世界中で稼働する膨大な数のサーバにデータを分散保存し、同社が得意とする高度な検索技術によって統合表示するシステムだ。この処理方式は、負荷を複数のCPUに分散することで高いパフォーマンスを発揮できるのはもちろん、重要データを扱う際のリスク回避にも大きく貢献している。

例えば、悪意ある第三者のハッキングやクラッキングに対しては、データの分散配置に加えて強固なセキュリティと暗号化でデータ流出を防止。また、各サーバは多重化によって冗長性が確保されているほか、世界各所のプライマリデータセンターには異なる地域にセカンダリデータセンターや補助データセンターが用意されているため、テロや自然災害のような緊急時にもデータが消失してしまう心配はない。

APIの追加などで多彩な企業ニーズに対応できる柔軟性

さらにGoogle Apps Premier Editionでは、独自のセキュリティサービス「Google Security&Compliance Service」も提供されている。これは、高度な技術と業界標準のポリシーに実践例を組み合わせた多層セキュリティ戦略により、Googleのシステムと顧客の通信内容の可用性・整合性・機密性を確保するというものだ。

例えば、プライバシーとデータ統合に関しては、特許を取得したパススルー処理など各種専門技術を駆使し、メッセージコンテンツのリアルタイム評価を実現。一切の処理が自動化されているため、機密性の高いメール処理が可能となっている。

先に紹介した「Google File System」の基盤となるデータセンターにも高品位なサービスを提供するための仕組みが取り入れられている。設備面では、サーバの浸水を防ぐ高い床や耐震設計により万が一の災害に対応するほか、データセンターのキモとなる空調設備をはじめ、バックアップ電源や発電設備、消火設備などの環境も十分に整っている。セキュリティ面では、警備員による24時間体制のガード、内外部の監視カメラを使った施設内への出入り制限、許可を受けた従業員以外はアクセスが認められない施設内の鍵付き設備といった、物理的な対応がなされている。

Google Appsではこうした取り組みに加えて、社外からの利用を制限してセキュリティ強化が図れるシングルサインオンAPI、メールのセキュリティやアーカイブ機能を提供するホスティングサービス「Google Postini Services」などの追加が可能だ。次回以降、これらのセキュリティ技術の解説をしていこう。