Google Cloud（旧GCP）のセキュリティ対策について3分で解説

Googleが提供するクラウドサービス群のGoogle Cloud（旧GCP）は、コストパフォーマンスと利便性の高さから大企業をはじめ多くの企業で利用されています。しかし重要なデータをインターネット上に保存することに対して抵抗を持つ方も少なくありません。

そこで今回は気になるGoogle Cloudの安全性や、自分でできるセキュリティ対策について紹介します。

 目次

1. Google Cloud（旧GCP）とは
2. Googleのセキュリティ基準「Google セキュリティの概要」とは
3. 安心してGoogle Cloudを使うために、私たちができることとは
   1. Googleアカウントの2段階認証を設定する
   2. すべてのソフトウェアを最新に保つ
   3. 別途でセキュリティサービスを使う
4. まとめ

Google Cloud（旧GCP）とは

Google Cloud（旧GCP）とは、Googleが提供しているクラウドサービスをまとめた名称です。Google Cloudを契約することで、PaaSであるGoogle App Engineを軸に、機械学習のCloud AI、ストレージのCloud Storage、データ分析のBigQueryといった様々なサービスを従量課金制で利用できます。大企業や自治体でも広く利用されており、X（旧Twitter）やテレビ東京、京セラ、浜松市などがその導入事例として知られています。また、フリーミアムモデルで無料枠が用意されているため、テスト運用などの用途であれば費用をかけずに利用できる点が大きな特徴です。

Google Cloudは、AmazonのAWS（Amazon Web Services）やMicrosoftのMicrosoft Azureなどと類似のサービスです。Google CloudのWebサイトには各サービスの比較表が掲載されており、他社サービスとの対比ができるようになっています。

クラウド移行、知っておくべき３つの注意点とは？

Googleのセキュリティ基準「Google セキュリティの概要」とは

自社でサーバー環境を構築する必要がなく、必要な期間、必要な機能をすぐに利用できるクラウドサービスは非常に便利なサービスです。企業がデータを管理する手段として急速に広がっており、いまや当たり前の選択肢として多くの企業が利用しています。特にAIの活用が広がってからはクラウドサービスの利用がより活発になっています。機械学習環境を自社で一から構築しようとすると大きな負担になるため、Cloud Machine Learningのようなクラウドサービスの存在は欠かせません。

その一方で、クラウドサービスを利用するときに多くの方が不安を感じるのが、データの安全性です。自社で管理するオンプレミス環境であれば問題ありませんが、インターネットにある第三者のサーバーにデータを保存するクラウドサービスでは、データを安全に管理してくれるのか、災害時に復旧できるのか、広告などに利用されないかなど、セキュリティ面の対応が気になる方は多いでしょう。データ分析のために自社の販売データや顧客情報などの重要なデータを預けようとする企業であればなおさらです。

しかし、よほどの大企業でない限りは、少ない人手で管理運用するオンプレミスよりも万全の態勢で最新のセキュリティ対策をしてくれる大手クラウドサービスのほうが安全性において優れていると言えます。

さらに、Googleではユーザーが抱える不安を解消するために「Google セキュリティの概要」を公開しています。これはGoogleが取り組んでいるセキュリティ対策として社内の運用・教育体制やセキュリティ技術、データ管理体制などについて説明しているものです。

例えば2019年末には神奈川県庁で廃棄したパソコンのハードディスクがネットオークションにかけられたことが問題になりました。納税証明書などの個人情報が含まれている可能性があり、悪用されると大きな被害につながります。このような問題が起きないように、Googleでは処分に対する厳格な規定を定めているほか機器を廃棄するときにはバーコードやデバイスが識別できるアセットタグを使用して追跡できるようにしています。

安心してGoogle Cloudを使うために、私たちができることとは

安全にサービスを利用してもらうためにGoogleでは適切なセキュリティ対策を行っていますが、Google Cloudを安心して使うためには利用者側である私たちも正しいセキュリティ対策を行う必要があります。ここではその対策について解説します。

Googleアカウントの2段階認証を設定する

最も基本的な対策は、アカウント管理を徹底することです。Googleアカウントの情報が漏えいすると、不正利用やデータ盗難のリスクがあります。その有効な対策が、2段階認証（2要素認証）です。

これは、通常のIDとパスワードに加えて、もう一つの認証手段を追加することで、セキュリティの強度を高める仕組みです。Googleアカウントでは、以下のような複数の認証手段を利用できます。

• Googleからの認証コード：スマートフォンに送られる認証コード
• Googleからの認証メッセージ：スマートフォンに直接届く「はい/いいえ」のプッシュ通知
• バックアップコード：事前に取得しておく緊急時の認証コード
• Google 認証システム（Google Authenticator）：インターネットに接続できない環境でも利用可能な、時間ベースのセキュリティコード生成アプリ

2段階認証を設定しておけば、万が一IDやパスワードが盗まれても、それだけではログインできないため、安全性が格段に向上します。

さらにセキュリティを強化したい場合は、セキュリティキーの利用が推奨されます。セキュリティキーは、USBメモリのような形状をした小さな物理デバイスで、Googleストアなどで購入できます。公開鍵暗号方式を利用してユーザーのIDとログインURLを検証するため、フィッシングサイトなどによる不正なログインを効果的に防ぐことができます。

これらの対策を組み合わせることで、Googleアカウントをより安全に管理することが可能です。

すべてのソフトウェアを最新に保つ

GoogleではGoogle Cloudを安全に利用できるよう、常に最新のソフトウェアパッチを提供しています。利用者側のソフトウェアが最新の状態になっていなければ、新しいウイルスや脆弱性に対応できない場合があります。そのため、ソフトウェアが最新の状態にアップデートされていることを確認しましょう。

別途でセキュリティサービスを使う

Google Cloudは安全性が高いサービスですが、ビジネス用途で利用する場合はより強固なセキュリティ対策が求められます。自社ネットワークやテレワーク環境からクラウドサービスへログインする前に認証を行うような、専用のセキュリティ認証サービスの選択肢があります。

「HENNGE ONE」は、ユーザーアカウント管理、パスワードポリシー設定、アクセス状況監視を1つのコンソール画面で管理できる、国内シェアNo.1（※）のクラウドセキュリティサービスです。IPアドレスの制限やデバイス証明書、セキュアブラウザなど認証された環境からのみログインできるようにする設定が可能なので、万が一IDとパスワードが漏えいしたとしても不正ログインを防ぐことができます。

さらにXMLベースのユーザー認証規格であるSAML（Security Assertion Markup Language）2.0認証を利用して、ひとつのアカウントで複数のクラウドサービスにログイン可能な、シングルサインオンも可能になります。このようなサービスを導入することで、より安全にGoogle Cloudなどのクラウドサービス を利用できるようになります。

※ ITR「ITR Market View：アイデンティティ・アクセス管理／個人認証型セキュリティ市場2025」IDaaS市場：ベンダー別売上金額シェアにて2021年度、2022年度、2023年度、2024年度予測の4年連続で1位を獲得

まとめ

Google Cloudでは、安全に利用するためのセキュリティ対策がしっかり取られていますが、利用者側でもきちんと対策を行うとさらに効果的です。「HENNGE ONE」を組み合わせて利用することでセキュリティが強化され、より安全性を高めた利用を可能にします。