Google Workspace のセキュリティ

Google Workspace の最も重要な要素はセキュリティです。

Google Workspace のサービスが安全な理由

 

セキュリティ

Google のセキュリティ管理は主に 3つのコンポーネントから構成されています。

人的資源

Google では情報セキュリティ、アプリケーションセキュリティ、ネットワークセキュリティ各分野でのエキスパートを常勤スタッフとして迎え、情報セキュリティチームを編成しています。このチームが防御システムの運営やセキュリティレビュー、セキュリティインフラのカスタマイズを担当しています。Google のセキュリティポリシーやセキュリティ基準の企画、文書化、実施もこのチームが担当しています

プロセス

セキュリティは Google の DNA を構成する要素となっています。Google アプリケーションはどれも最初からセキュリティを念頭に置いて構築されています。Google のアプリケーションはセキュアコード開発プロセスの一環として、何段階ものセキュリティレビューを経ています。アプリケーション開発環境は厳重な制約のもとに進められ、注意深く監視されており、最大限のセキュリティを実現しています。

テクノロジー

Google Workspace のデータは細かな断片に分割され、構成がわからないように複数のサーバーやディスクに分散されています。このため人間が解読することはできません。また複数のデータセンターにデータのコピーを分散することで冗長性と可用性を確保しています。不正操作によるリスクを低減するため Google サーバーはサービスの運用に必要なソフトウェアコンポーネントだけで構成されています。

従来のセキュリティと Google Workspace のセキュリティ

従来の機密データのセキュリティ強度

最近の統計で機密データの半数以上がデスクトップコンピュータやノート型コンピュータ、USB 接続のリムーバブルドライブに保管されていることがわかっています。このデータは数か月~数年の作業で蓄積されたもので、紛失してしまった場合、企業に与えるダメージは極めて重大です。機密データの漏洩あるいは紛失は生産性に影響するだけでなく、規定による処罰の対象となったり、プライバシー侵害、企業ブランドの低下といった深刻な問題を招きます。

セキュリティが組み込まれた Google Workspace

従来型ソフトウェアの利用形態ではセキュリティ上問題のある USB ドライブ、ディスク、ノート型コンピュータなどといった、簡単にアクセスできる場所にデータが保存されています。Google Workspace を利用することで、セキュアにどこからでも情報にアクセスできるので、機密データがローカルディスクに保存されてしまう可能性は低くなります。また Google Workspace は 99.9% の稼働率を保証しているので、安心して、必要なときにはいつでもデータにアクセス可能です。

第三者機関からのセキュリティに関する認証

Google Workspace は、業界のベスト プラクティスに基づき、厳格なプライバシー基準とセキュリティ基準に準拠するよう設計されています。Google のセキュリティ、プライバシー、コンプライアンスの管理は複数の独立した第三者機関による監査を定期的に受けています。

iso27001

 

ISO 27001

ISO 27001 は広く認識され受け入れられている独立したセキュリティ規格の 1 つです。Google Workspace の運用に必要なシステム、テクノロジー、プロセス、データセンターは、すべてこの ISO 27001 認証を取得しています。

iso27017

 

ISO 27017

ISO 27017 は、特にクラウド サービスを対象として、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を規定した国際規格です。Google の国際規格への準拠は、Dutch Accreditation Council(国際認定フォーラム(IAF)のメンバー)によって認証された ISO 認証機関である Ernst Young CertifyPoint によって認定されています。

iso27018

 

ISO 27018

Google Workspace が ISO/IEC 27018:2014 に準拠していることでおわかりいただけるように、Google ではプライバシーとデータの保護に関する国際的な基準に準拠することを自らの責務と捉えています。ISO 27018 のガイドラインには、お客様のデータを広告目的で使用しないこと、Google Workspace のサービス内にあるお客様のデータの所有者がお客様であること、データの削除と書き出しを行えるツールをお客様に提供すること、第三者から開示要請があった場合にお客様の情報を保護すること、お客様のデータの保管場所について透明性を確保すること、などが含まれています。

soc

 

SOC 2、SOC 3

American Institute of Certified Public Accountants(AICPA: 米国公認会計士協会)の SOC(Service Organization Controls)2 と SOC 3 の各監査フレームワークは、セキュリティ、可用性、処理の整合性、機密性に関する Trust サービスの原則と基準に基づいています。Google は SOC 2 と SOC 3 のレポートを取得しています。

FedRAMP

 

FedRAMP

Google Workspace のサービスは Federal Risk and Authorization Management Program(FedRAMP: 米国連邦政府によるリスクおよび認証管理プログラム)の要件に準拠しています。FedRAMP は米国政府が規定するクラウド セキュリティ規格です。Google Workspace は個人情報(PII)や管理対象非機密情報など、影響レベルが「中程度」のデータを米国連邦政府機関が管理する際に利用できるサービスとして承認されています。

PCI DSS

 

PCI DSS

Payment Card Industry Data Security Standard(PCI DSS)に準拠する必要があるGoogle Workspace のお客様については、データ損失防止(DLP)ポリシーを設定し、ペイメント カード情報を含むメールが Google Workspace から送信されないようすることができます。ドライブについては、監査が実施されるように Vault を設定したうえで、カード保有者に関するデータを一切保管しないようにすることも可能です。

まずは Google Workspace を 30日間無料でお試しください。
(現メールシステムに影響を与えずに併用ができます。)

Google Workspace 導入前のご相談はこちらから。
(1 営業日以内に返答いたします。)