問題
Google Cloud Platformの共有責任モデルでは、Googleがクラウドインフラの保護を担当し、組織は自らのデータ保護、暗号化、ユーザー認証、アクセス制御を担当すると規定されています。
侵害されたGoogleアカウントは、そのユーザーがアクセス権限を持つ全てのデータへのアクセスを可能にします。データを暗号化することはデータ流出防止に有効な対策ですが、これらの鍵のライフサイクル管理を長期間かつ大規模に行うことは複雑です。さらに、暗号鍵を暗号化データとは別に保管することがベストプラクティスとされています。プラットフォーム上に鍵を残した場合、Googleが鍵とデータにアクセス可能となります。
貴重な知的財産を含むデータを扱う、または金融・防衛・政府などの厳格な規制業界で活動する組織は、暗号鍵の所有権を取得する必要があります。GDPRやシュレムスII判決などの規制でも、データ所有者が鍵を管理し、暗号化データとは別途保管することが義務付けられています。
フォートナイクス・ソリューション
Google Workspaceのクライアントサイド暗号化(CSE)は、Fortanix データセキュリティマネージャ(DSM) を外部キーマネージャー(EKM)として直接統合します。これにより、お客様は暗号化キーを完全に制御・所有でき、結果としてデータの主権を保持できます。この構成により、Googleのインフラストラクチャ外で暗号鍵を一元管理でき、キーの保管義務やデータとキーの分離(GDPR/Schrems-II)といったコンプライアンス要件を簡単に満たせます。Fortanix DSMを外部KMSとして利用すれば、GoogleドキュメントやGoogleドライブで機密データを共同作業しながら、GoogleもFortanixもお客様のデータを復号できません。
Fortanixは多様な暗号化方式を提供しており、AES-256など現時点で最も安全で量子コンピュータ耐性のある高度なアルゴリズムへ簡単に移行可能です。このような強力な暗号化技術により、機密データは現在想定しうる限りの期間にわたって安全に保護されます。
メリット
導入・統合・制御が簡単
Fortanixは、SaaSベースの集中型キー管理サービスを提供し、組織がGoogle Workspaceプロジェクトのデータセキュリティを迅速に強化し、暗号鍵のライフサイクルを簡単に管理できるようにします。Google Workspaceとのネイティブ連携により優れたエンドユーザー体験を実現しつつ、セキュリティチームは集中管理された直感的なインターフェースから鍵の保管場所と配布をシンプルに制御できます。
高度なセキュリティ
EKMは、ユーザーがGoogle Workspaceで機密データを共同作業する際や、Googleのインフラにそのようなデータを保存する際に、追加のセキュリティ層を提供します。FortanixをEKMとして利用することで、クラウドインフラが侵害された場合でも、データは組織の管理下で保護されたままです。暗号化キーを保護対象のデータから分離することで、データ漏洩のリスクを低減します。
簡素化されたコンプライアンス
EKMは、クラウドネイティブな鍵管理とは対照的に、共有インフラストラクチャにおける鍵侵害のリスクを完全な鍵管理権限で排除します。GoogleもFortanixも暗号化キーにアクセスできず、政府の召喚状からも保護されます。キーがGoogleクラウドにキャッシュされることはなく、アクセスはいつでも取り消せます。セキュリティチームはGoogle Workspaceユーザーごとのキー使用詳細ログを取得できます。FortanixをEKMとして使用することで、HIPAA、PCI、GLBA、シュレムスII、GDPRなどのコンプライアンス要件を満たすことが可能です。
