Google Workspace向け Fortanix
課題
Google Workspaceは中小企業からフォーチュン500企業に至るまで、多くの組織が選ぶ生産性スイートです。言うまでもなく、これらの組織に属するペタバイト級の機密データや規制対象データを安全に保管しています。
Googleは最新の暗号化標準を採用していますが、多くの組織、特に防衛・航空宇宙・政府機関などの規制が厳しい業界では、クラウド暗号鍵に対するさらなるセキュリティと管理を求めています。認証鍵をストレージシステムから分離することで、CSP(クラウドサービスプロバイダー)によるデータ解読を防ぎつつ、ユーザーは引き続き共同作業サービスを活用し、多数のデバイスからコンテンツにアクセスし、暗号化されたファイルを外部と共有できます。
共同価値提案
Google Workspaceのクライアントサイド暗号化は、データ主権やコンプライアンス要件の多様な範囲に対応しながら、データの機密性を強化することを目的としています。これに加えて、Googleが採用している業界をリードする暗号化標準により、保存データおよび施設間の転送データのすべてが暗号化されています。
Fortanix データセキュリティマネージャ(DSM)はGoogle Workspace External CSEと連携し、オンプレミス環境と同等のセキュリティレベルを維持しながらデータをクラウドに移行します。Googleがデータを解読することはできないだけでなく、暗号鍵もGCPに保存されることはありません。ユーザーはGoogle Workspaceのデータと鍵の承認を完全に制御できます。
ユーザーはFortanix DSM SaaSアカウントからGoogle Workspace鍵暗号化鍵(KEK)のポリシーを定義・管理できます。ファイルを受信すると、対応するデータ暗号化鍵は、ユーザーが顧客管理の認証で認証された後にのみ、顧客提供の鍵を使用して復号化されます。
Fortanix DSM SaaSはFIPS 140-2レベル3のハードウェアベースの保護を提供し、必要に応じてユーザー間およびリージョン間の完全な分離を実現します。また、監査ログ記録、エンタープライズレベルのアクセス制御、マルチサイトおよびハイブリッドクラウドサポート、組み込みの暗号化、鍵管理、トークン化、REST API、PKCS11、CNG JCE、KMIPなどの各種インターフェースサポートを備えた集中管理を提供します。
コア統合機能
解決
Fortanix Data Security Manager SaaS(DSM SaaS)を利用することで、お客様はFIPS 140-2レベル3認証の外部鍵管理サービスをGoogle Workspaceに導入できます。Fortanix DSM SaaSは、Google Workspaceのクライアントサイド暗号化(CSE)機能と直接連携し、外部鍵管理を実現します。CSEにより、Google Cloud内のデータを保護可能で、データと鍵を分離できます。データベース暗号鍵は、Google Workspace外のお客様のFortanix DSM SaaSアカウントで管理されます。結果としてユーザーが得られるのは:
暗号鍵の完全な制御:
Google CSEを利用するには、ユーザーはCSEの要件に準拠した外部キーマネージャーで暗号化キーアクセスサービスを設定する必要があります。
プレーンテキストの内容にアクセスできません:
Google Workspaceのデータは、ブラウザ上で暗号化された後、Googleのサーバーに送信されます。Googleがこのデータにアクセスする必要がある場合、ファイルごとに明示的な顧客の承認が必要となります。
ユーザー体験への影響を最小限に抑える:
この機能はエンドユーザーの体験を侵害したり変更したりするものではありません。重要な点として、CSEはこの追加の暗号化層に対してファイルの内容を対象としています。ファイル名、ラベル、アクセス制御リストを含むメタデータの大部分は、引き続きサービスの運営のためにGoogleが利用可能です。
ビジネス上の利点
集中管理
Google Workplaceプロジェクト向けのSaaS型キー管理サービスです。対称鍵・非対称鍵の管理、保存、使用、ローテーション、破棄を一括で行えます。
簡単セットアップ
数分で統合してすぐに使えます。
キーの来歴
Google Workspaceキーの場所と配布を管理します。
比類のない拡張
Google Workspaceでグローバルに協働し、拡張可能。鍵の保存場所や管理の心配は一切不要です。鍵はGoogleクラウド上にキャッシュされず、アクセスはいつでも無効にできます。
優れた制御
共有インフラにおける鍵の危殆化リスクを排除し、政府機関からも完全に秘匿された鍵機密性を実現します。
Googleのクライアントサイド暗号化はどのように機能しますか?
Google Workspace CSEは、エンドユーザーのデバイス上でコンテンツを暗号化および復号化することで、ブラウザやモバイルアプリで動作します。Google Workspaceクライアントは、顧客が設定・展開したFortanix DSM SaaSを呼び出し、暗号化操作を実行してGoogle Workspaceコンテンツをシールおよびアンシールします。
Google Workspace CSEはデータ保護のためにエンベロープ暗号化を使用し、クライアント側操作の実行にはウェブブラウザを利用します。まず、Google Workspaceクライアント内でデータ暗号化キー(DEK)が生成され、これを使用してデータが対称的に暗号化されます。次に、DEKはFortanix DSM SaaSに渡され、キー暗号化キー(KEK)を使用して対称的に暗号化されます。暗号化されたコンテンツと暗号化されたDEKは、Googleのインフラストラクチャに送信されて保存されます。
