Japan 公式ブログ
Google の企業向けソリューションに関する公式な情報やユーザーの事例などを、いち早く皆さんにお届けします。
RSA 2008 Conference の基調講演より - "Googleのセキュリティ対策"について
2008年5月6日火曜日
2008年5月7日
Posted by 高橋智浩 (エンタープライズ Postini セールス)
4月24日、RSA 2008 Conference において、Enterprise Security and Compliance Director、Scott Petryが、Google のセキュリティ対策について講演の機会をいただきました。
Scottの話を要約すると、セキュリティを脅かす脆弱性そのものは、昔も今も基本的には大きく変わるところはありません。劇的に変わっているのは、セキュリティー保護を行うべき対象を取り巻く環境である点です。
昔は、データは全て社内に保管管理されていたので、社内からの漏洩や社内への進入阻止だけを主に考えて対策を取っていれば問題ありませんでした。また、守るべき対象も脅威となる手口も明白なため、ある特定の動作を禁止することで保護が可能でした。たとえば、ファイアウォールによるポートブロックなどを思い浮かべていただければご納得いただけるでしょう。
一方現在は、個人はもとより企業ベースでもインターネット上のあらゆるリソースを活用して業務の生産性を向上するようになってきています。必然的に守るべきデータは社内外に分散するようになりました。この劇的な環境変化のために、今までのような社内への侵入阻止や社内からの情報漏洩を防ぐといったアプローチだけでは万全なセキュリティとは言えません。セキュリティを脅かす新たな脆弱性の存在やその脆弱性を利用した不正アクセスの手口を事前に知ることはできませんので、事前になにかを設定して禁止するすることで守ることもできません。
セキュリティを高めるために、Googleでは次のような取組みをしています。
セキュリティーチームによるコード管理 - 製品コード開発に際し、特に脆弱性を突かれやすい部分をこのチームで開発、管理し、共通モジュールとして Google の全サービスに組み込んでいます。
セキュリティー教育の徹底 - 全ての社員にセキュリティ教育を徹底しています。エンジニアに対しては、さらにセキュアなコードを開発 するための強化トレーニングも実施します。
コードレビューの徹底化 - 複数人のエンジニアがいろんな視点から開発中の製品ソースコードをチェックし、(今まで知られている攻撃を受けてしまうような)脆弱性が入り込むのを防いでいます。
"Attacks = Lessons" - 私達は保護すべき対象に対する不正アクセスの手口を事前に全て把握することはできません。攻撃を受けた時に即座に詳細ログを取得し、解析を行うことにしています。その結果を元にセキュリティチームによってコードが開発され、十分なコードレビューの後に製品に反映させています。
しかしこれだけでは十分ではありません。私達が気づいていなかった脆弱性を発見し報告してくれた人との関係を良好に保つことも大事です。Googleは、新たな脆弱性の報告を受けた場合、即座に内容を解析し報告者に対して修正時期のコミットを行うとともに、その日時までは報告いただいた脆弱性を公表しないよう「お願い」をしています。
0 件のコメント :
コメントを投稿
Labels
77 min Lunch
add on
admin
Android
API
App Engine
apps
atmosphere
Atmosphere Tokyo
bigquery
Case Study
Chorme OS
Chrome for Work
Chrome ウェブストア
chromebook
chromebooks
Chromebooks for Education
Chromebooks for meeting
Chromebooks for Work
Chromebox for digital signage
Chromebox for meetings
Cloud
cloud connect
Cloud monitoring
Cloud Ranking
compliance
compute engine
Deloitte
developers
Drive for Work
earth api
Education
enterprise
Enterprise Japan
event
Firebase
G+
gadget
GAE
GCE
GCP
GEO
GEP
GfWtips
GKE
gmail
Gmail、新機能
Gone Google
GoneGoogle
Google App Engine
Google Apps
Google Apps Blog
Google Apps for Work
Google Apps Script
Google Apps ユーザー事例
Google atmosphere
Google calendar
Google calender
Google classroom
google cloud platform
Google Commerce Search
Google Derive
Google Docs
google drive
Google Drive for Work
google enterprise
Google Enterprise Day
Google for Work
Google form
Google hang-out
Google hung-out
google map
Google maps
google maps api
google maps api premier
Google Message Continuity
google search appliance
Google Shopping
Google Sites
Google Storage for Developers
Google Video
Google Wave
Google スライド
Google ドキュメント
Google フォーム
GoogleApps
GoogleApps、ユーザ事例
GoogleApps、新機能、spreadsheets
groups
gsa
healthcare
iOS
iphone
ISAE 3402 Type II
ISO 27018
IT
japan
Lotus Notes
map
maps api
media
microsoft office
migration
mobile
new features
Office 365
partner
partner program
postini
pricing
research
RSA
SAS70
search
Security
seminar
Shizuoka
Signage
Sites
SMB
SSAE 16 Type II
SSO
startup
Status Dashboard
Trial
Upload any files
vault
Virtual Conference
VMware
あっぷす先生
あっぷす先生 誤解をとく!
あっぷす先生会社訪問
イベント
おしえて!あっぷす先生
オフライン
クラウド
サイネージ
サポート
テレワーク
ハングアウト
プライバシー
ランキング
企業検索
互換性
事例
新機能
働き方
Archive
2016
2月
1月
2015
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2014
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2013
12月
11月
10月
9月
7月
6月
5月
4月
3月
1月
2012
12月
11月
10月
9月
8月
7月
6月
5月
4月
2月
2011
12月
10月
9月
8月
7月
5月
4月
2月
1月
2010
12月
11月
10月
9月
7月
6月
5月
3月
2月
1月
2009
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2008
12月
11月
10月
9月
8月
7月
6月
5月
Enterprise のニーズを最大限に満たす Google Apps Message Security
SPAM と Google Apps Message Security
SPAM や Virus 感染メールへの対応は万全ですか?
RSA 2008 Conference の基調講演より - "Googleのセキュリティ対策"について
4月
3月
2月
2007
12月
Feed
Follow @GoogleforWorkJa
Useful Links
Google Apps for Work
Google Cloud Platform
Google 検索アプライアンス
Google Maps for Work
企業向けソリューション
Google Apps公式アップデート情報
0 件のコメント :
コメントを投稿