Google Maps Platform のセキュリティとコンプライアンスに関する概要

このコンテンツは 2024 年 2 月に最終更新されたものであり、記載された時点での現状を表しています。お客様の保護を継続的に改善するため、Google のセキュリティ ポリシーとシステムは変更される場合があります。

はじめに

Google Maps Platform では、Google の地理空間技術を使用するウェブ アプリケーションとモバイルアプリを開発するための API と SDK を、さまざまな業界のお客様とパートナーに 50 以上提供しています。業界には、ソリューション構築時にセキュリティ、データ使用量、規制要件への対応が求められる多くの課題が存在します。業界と連携するサードパーティの技術について同じ要件への準拠を確保することも、そのような課題のひとつです。

このドキュメントでは、Google Maps Platform で実施されている「ヒト」、「プロセス」、「テクノロジー」の制御について概説してから、このプラットフォームをご利用いただくメリットについて説明します。まず、Google Maps Platform を支えるテクノロジーの 2 つの主要な柱について踏まえておきましょう。

  • Google が提供するテクノロジー、データセンター、インフラストラクチャ。Google Maps Platform のすべてのオペレーションは、Google が提供するデータセンターとインフラストラクチャという基盤の上で行われています。この前提のもと、Google の組織全体ですでに導入されているセキュリティ制御に対して内部監査および第三者監査を実施し、このドキュメントで説明するセキュリティ、運用、技術面での制御が Google Maps Platform で正しく実行されていることを検証しています。
  • Google Maps Platform テクノロジー。Google Maps Platform では、Google ですでに導入されている制御機能に、Google のプロダクト スイートに特化したセキュリティ、プライバシー、データ、オペレーションの制御機能が追加されています。

このドキュメントでは、Google Maps Platform のセキュリティのプロセスと制御について、以下のカテゴリごとに説明します。

  • Google の組織全体におけるセキュリティとプライバシー
  • 技術インフラストラクチャとハードウェアのセキュリティ
  • 運用上のセキュリティ
  • 主なセキュリティ制御
  • クライアント側でのセキュリティ(ウェブとモバイルの両方)
  • Google Maps Platform が現在受けている認証と監査
  • サポートされている法的枠組み(地域別)

Google Maps Platform に関心をお持ちの方は、Google 営業担当者にお問い合わせください。

Google の組織全体におけるセキュリティとプライバシー

セキュリティは、Google 全体の組織構造、組織文化、研修の優先順位、採用プロセスの中核をなすもので、Google データセンターとそこで提供されるテクノロジーの設計を導く基本的な指針です。セキュリティはまた、災害対策や脅威管理など、Google の日常業務の基盤ともなっています。Google では、データ、アカウント制御、コンプライアンス監査、業界認証などを扱う際に、真っ先にセキュリティを考慮し、オンプレミスで実行している多くのサービスよりも優れたセキュリティを提供するようにサービスを設計しています。オンプレミスでは異種ベンダーやプラットフォームの混在環境に依存せざるを得ず、セキュリティがサイロ化されていることも少なくありりません。Google Maps Platform プロダクトをビジネスに活用すると、Google に組み込まれたセキュリティ プログラムや制御機能のメリットを享受できます。世界中で 10 億人を超えるユーザーにサービスを提供する Google Maps Platform の運営で最も大切にしているのは、セキュリティなのです。

Google と Google Maps Platform は連携して、会社と組織全体に以下で構成される多層セキュリティを提供しています。

  • Google 専任のセキュリティ チーム
  • Google Maps Platform プロダクト セキュリティ チーム
  • 世界的なセキュリティ研究コミュニティへの積極的な関与
  • Google Maps Platform プライバシー チーム
  • セキュリティとプライバシーに関する Google 社員に対するトレーニング
  • 内部監査およびコンプライアンスの専門家

Google の専任のセキュリティ チーム

Google では、会社全体と製品分野に専任のセキュリティ チームを設けています。

Google 全体のセキュリティ チームは、Google Maps Platform を含む Google の複数の製品分野をサポートしています。このセキュリティ チームは、情報セキュリティ、アプリケーション セキュリティ、暗号化、ネットワーク セキュリティの分野で世界有数の専門家を有しており、次のような業務を行います。

  • セキュリティ プロセスを開発、レビュー、実装する。これには、Google ネットワークのセキュリティ計画の見直しや、Google の各プロダクト チームとエンジニアリング チームに対するプロジェクト固有のコンサルティングの提供が含まれます。たとえば、暗号化の専門家は、サービスの一部として暗号化を実装するプロダクトのリリース時の確認を行います。
  • セキュリティ上の脅威を常に管理する。市販ツールとカスタムツールの両方を使用して、Google ネットワーク上で進行中の脅威と不審なアクティビティをモニタリングします。
  • 定期的な監査と評価を行う。外部の専門家にセキュリティ評価に参加してもらう場合があります。
  • セキュリティに関する記事をコミュニティに幅広く公開する。Google は、特定のセキュリティ チームとその成果を紹介する、セキュリティ ブログYouTube シリーズを公開しています。

Google Maps Platform セキュリティ チームは、プロダクト開発および SRE において Google 全体のセキュリティ チームとより緊密に連携し、セキュリティの実装を監督します。具体的には、このチームは以下を管理します。

  • Google Maps Platform の災害復旧テスト(DiRT)。これは、Google Maps Platform プロダクトにおけるビジネスの継続性とフェイルオーバーをテストするもので、Google の高可用性インフラストラクチャで実施されます。
  • サードパーティによるペネトレーション テスト。Google Maps Platform プロダクトは、Google のセキュリティ対策を強化し、独立したセキュリティを保証するために、少なくとも年に 1 回ペネトレーション テストを受けます。

セキュリティ研究コミュニティとの連携

Google は長い間、セキュリティ研究コミュニティと密接な関係を築いてきました。また、Google Maps Platform や他の Google プロダクトの潜在的な脆弱性を発見するこのコミュニティのサポートを非常に重視しています。

  • Project Zero を通じたオンライン コミュニティでの共同作業 - Project Zero は、ゼロデイ脆弱性の研究に特化したセキュリティ研究者チームです。研究の例として、SpectreMeltdownPOODLE SSL 3.0 の脆弱性利用型不正プログラムと暗号スイートの弱点の発見が挙げられます。
  • 学術研究 - Google のセキュリティ エンジニアと研究者は、学術セキュリティ コミュニティとプライバシー研究コミュニティに積極的に参加し、そのような場で発表を行っています。セキュリティ関連のパブリケーションは、Google の Google Research サイトで確認できます。Google のセキュリティ チームは、書籍『Building Secure and Reliable Systems』で、その業務と実績に関する詳細な説明を公開しています。
  • 脆弱性報奨金プログラム - Google Maps Platform は脆弱性報奨金プログラムに参加しており、確認された脆弱性ごとに数万ドル相当の報奨金を提供しています。このプログラムは、顧客データを危険にさらす可能性がある設計上および実装上の問題の報告を研究者に推奨するものです。2022 年、Google は研究者に 1,190 万ドル以上の賞金を授与しました。Google が提供している報奨など、このプログラムの詳細については、Bug Hunters の主要な統計情報をご覧ください。セキュリティ問題の報告に関する詳細については、セキュリティの脆弱性に対する Google の対処法についての記事をご覧ください。
  • オープンソースのセキュリティ研究 - Google のエンジニアは、オープンソース プロジェクトと学術会議の主催と参加も行っています。脆弱性報奨金プログラムでは、オープンソース コードを改善するために、オープンソース プロジェクトへの助成金も提供しています。
  • 暗号化 - Google の世界水準の暗号担当者は、TLS 接続を量子コンピュータ攻撃から保護するため、CECPQ2(Combined Elliptic-Curve and Post-Quantum 2)アルゴリズムを開発しました。また、暗号 API のオープンソース ライブラリである Tink も開発しました。Google は社内のプロダクトやサービスにも Tink を採用しています。

Google Maps Platform の専任プライバシー チーム

専任のプライバシー チームは、プロダクトの開発およびセキュリティの組織とは別に活動しています。重要なプロセス、内部ツール、インフラストラクチャ、プロダクト開発など、あらゆる分野のプライバシーを改善しようとする内部イニシアチブをサポートします。プライバシー チームは次のことを行います。

  • プロダクトのリリース時に、データ収集に関する強力なプライバシー基準を組み込む。設計ドキュメントとコードの両方を確認することで、Google プロダクトのすべてのリリースに関与しています。
  • プロダクトのリリース後、データの適切な収集と使用について継続的に検証する自動プロセスを監督する。
  • プライバシーに関するベスト プラクティスに関する研究を行う。

セキュリティとプライバシーに関する Google 社員に対するトレーニング

セキュリティとプライバシーの分野は絶えず変化しているため、Google は、専用トレーニングが社員の意識を高める重要な手段であると考えています。セキュリティとプライバシーに関するトレーニングは、Google のすべての社員に対してオリエンテーションの一環として実施され、在職期間中も、必須トレーニングとして継続的に実施されます。

  • オリエンテーション中: 新入社員は Google の行動規範に同意する必要があります。この行動規範では、顧客情報を安全に保護するための Google の取り組みが強調されています。
  • 職務別の専門トレーニング。特定の職務には、セキュリティの特定の側面に関するトレーニングが必要です。たとえば、情報セキュリティ チームは新しいエンジニアに安全なコーディング方法、プロダクト設計、脆弱性自動テストツールなどについて指導します。エンジニアは、定期的なセキュリティ報告会に参加し、新しい脅威、攻撃パターン、防御技術などを紹介するセキュリティ ニュースレターを受け取ります。
  • 定期的なイベント。Google は、すべての社員が参加できる社内会議を定期的に開催することで、セキュリティとデータのプライバシーに関する意識を高め、イノベーションを推進しています。また、世界各地のオフィスでイベントを開催して、ソフトウェア開発、データ処理、ポリシーの適用におけるセキュリティとプライバシーの認識を高めています。

内部監査およびコンプライアンスの専門家

Google Maps Platform では、世界各地のセキュリティ関連法や規制に対する Google プロダクトのコンプライアンス状況を審査するため、専任の内部監査チームを設けています。新しい監査基準の制定や既存の基準の見直しが行われると、内部監査チームはこれらの基準を満たすために必要な制御、プロセス、システムを策定します。このチームは、第三者による独立した監査と評価のサポートも行います。詳細については、このドキュメントで後述するセキュリティの認証と監査に関するセクションをご覧ください。

セキュリティを中核にして構築されたプラットフォーム

Google は、多層防御の原則に基づいて、サーバー、独自のオペレーティング システム、地理的に分散したデータセンターを設計しています。Google Maps Platform は、Google が設計・構築した、従来のオンプレミス ソリューションやホスト型ソリューションよりも安全で管理しやすい IT インフラストラクチャ上で動作します。

最先端のデータセンター

データのセキュリティと保護は、Google の主な設計基準の一つです。Google データセンターのセキュリティは、階層化されたセキュリティ モデルによって物理的に保護されています。物理的な安全対策には、カスタム設計された電子アクセスカード、警報、車両セキュリティ ゲート、外周フェンス、金属探知機、生体認証システムなどの安全保護対策が含まれます。さらに、レーザービームによる侵入検知や高解像度の屋内外向けカメラによる 24 時間 365 日のモニタリングなどのセキュリティ対策を採用しているため、インシデントが発生した際は、アクセスログ、アクティビティ記録、カメラ映像を確認して、侵入者を検出して追跡することができます。厳格な経歴調査を通過し、訓練を受けた経験豊富な警備員が、Google のデータセンターを定期的に巡回します。データセンターのフロアに近くなるほど、セキュリティ対策も厳重になります。データセンターのフロアに入るには、セキュリティ通路を通らなければなりません。この通路では、セキュリティ バッジや生体認証システムによる多元的出入管理が行われます。特定の役割を持つ承認された社員しか立ち入りは許可されません。Google のデータセンターに足を踏み入れたことのある Google 社員は、1% にも満たないでしょう。

Google はデータセンターを世界中で稼働しています。Google のインフラストラクチャは、サービスのスピードと信頼性を最大限に高めるため、一般的にトラフィックの送信元に最も近いデータセンターからトラフィックを配信するように設定されています。そのため、Google Maps Platform データの正確な場所は、トラフィックの発生元によって異なり、EEA や英国内にあるサーバーで処理されることも、別の国に転送されることもあります。Google のお客様が Google Maps Platform プロダクトを実装して提供するサービスは、通常は世界中で利用可能であり、多くの場合、世界中のユーザーに利用されています。こうしたサービスを支える技術インフラストラクチャもまた世界中に配備されており、レイテンシの短縮とシステムの冗長性確保に役立っています。Google Maps Platform が使用する Google グローバル データセンター ネットワークの一部を参考情報としてご紹介します。

データセンターの場所を青い点で示す世界地図

南北アメリカ

ヨーロッパ

アジア

Google データセンターの電力供給

24 時間 365 日稼働し、サービスの中断が発生しないよう、Google データセンターには、冗長電源システムと環境制御が備えられています。すべての重要箇所に主電源と代替電源があり、どちらも同じ電力を供給します。バックアップ発電機により、各データセンターは緊急時でも最大限の性能を発揮できる電力を得られます。サーバーなどのハードウェアの動作温度は冷却システムにより一定に保たれ、環境への影響を最小限に抑えながらサービス停止のリスクを軽減します。火災検知および抑制装置が設置され、ハードウェアの損傷を防止します。熱検知器、火災検知器、煙検知器により、セキュリティ操作コンソールとリモート モニタリング デスクの音声アラームおよび視覚的アラームが作動します。

Google は、Google データセンター全体での環境・職場の安全性と、エネルギー管理の高い基準に対する外部認証を取得した初めての大手のインターネット サービス企業です。たとえば、エネルギー管理に対する Google の取り組みを示すために、ヨーロッパのデータセンターで ISO 50001 認証を自主的に取得しました。

独自のサーバー ハードウェアとソフトウェア

Google のデータセンターには特注のサーバーとネットワーク機器があり、その一部は Google の設計によるものです。Google のサーバーは、パフォーマンス、冷却、電力効率を最大化するようにカスタマイズされているだけでなく、物理的な侵入攻撃から保護するようにも設計されています。市販のほとんどのハードウェアとは異なり Google のサーバーにはビデオカード、チップセット、周辺機器コネクタなど、脆弱性の原因となる可能性がある不要なコンポーネントを備え付けていません。Google は、コンポーネント ベンダーを入念に調査し慎重にコンポーネントを選択したうえで、コンポーネントによって提供されるセキュリティ プロパティをベンダーと協力して監査・検証します。Google が設計した Titan などのカスタムチップにより、正規の Google デバイスをハードウェア レベルで安全に識別し認証します。これには、デバイスの起動に使用するコードも含まれます。

サーバー リソースは動的に割り振られるため、柔軟な拡張が可能となります。その結果、お客様の需要に迅速かつ効率的に対応するために、リソースの追加や再割り当てを行うことができます。この均質な環境を維持するため、システムのバイナリレベル変更を継続的にモニタリングする独自のソフトウェアが使用されています。Google の自動自己回復メカニズムにより、不安定なイベントのモニタリングと修正、インシデントに関する通知の受信、ネットワーク上の潜在的な侵害の緩和が行われます。

サービスの安全なデプロイ

Google サービスとは、Google デベロッパーが Google のインフラストラクチャで作成して実行するアプリケーション バイナリのことです。必要な規模のワークロードを処理するために、何千ものマシンが同じサービスのバイナリを実行している場合があります。インフラストラクチャ上で直接実行されるサービスは、Borg というクラスタ オーケストレーション サービスにより制御されています。

このインフラストラクチャでは、インフラストラクチャで実行されるあらゆるサービスを信頼しないことが前提とされています。この信頼モデルは、ゼロトラスト セキュリティ モデルと呼ばれます。ゼロトラスト セキュリティ モデルのデフォルトでは、ネットワーク内外にかかわらず、デバイスやユーザーは信頼されません。

インフラストラクチャはマルチテナントとして設計されているため、Google のお客様からのデータ(消費者、企業、Google 独自のデータ)は共有インフラストラクチャ全体に分散されます。このインフラストラクチャは、数万台の同種のマシンで構成されており、顧客データが単一のマシンまたはマシンのセットに分離されることはありません。

ハードウェアの追跡および廃棄

Google は、バーコードとアセットタグを使用して、データセンター内のすべての機器の場所とステータスをきめ細かく管理しています。また、金属探知機と動画監視システムを導入し、機器がデータセンターのフロアから許可なく外に出ることがないようにしています。ライフサイクル中に性能試験に合格しなかったコンポーネントは、在庫から除外され、廃棄されます。

ハードドライブ、ソリッド ステート ドライブ(SSD)、不揮発性デュアル インライン メモリ モジュール(DIMM)などの Google ストレージ デバイスでは、フルディスク暗号化(FDE)やドライブのロックなどの技術を使用して、保存データが保護されます。ストレージ デバイスを廃棄する際は、承認された担当者が、ドライブにゼロを書き込むことでディスクが消去されていることを確認します。また、ドライブにデータがないことを確認する複数ステップから成る検証プロセスを実施します。なんらかの理由でドライブのデータを消去することができない場合、シュレッダーでドライブを小さな断片に裁断して物理的に破壊し、安全な施設でリサイクルします。各データセンターでは、処分に関する厳格な方針が遵守されており、なんらかの違反があった場合にはすぐに対処されます。

Google のグローバル ネットワークのセキュリティ上の利点

他の地理空間クラウド ソリューションやオンプレミス ソリューションでは、データはホップと呼ばれるパスを経由して公共のインターネット上のデバイス間を移動します。ホップの数は、お客様の ISP とデータセンターの間の最適化されたルートによって異なります。ホップの数が増えると、データが攻撃または遮断される可能性が高くなります。Google のグローバル ネットワークは世界中のほとんどの ISP にリンクされているため、公共のインターネットでのホップ数が減り、不正な行為者によるデータへのアクセスを制限できます。

Google のネットワークでは、外部の攻撃から保護するために、複数の防御層(多層防御)が使用されます。走査が許可されるのは、Google のセキュリティ要件を満たす承認済みのサービスとプロトコルのみです。それ以外のものは自動的に拒否されます。また、ファイアウォールとアクセス制御リストを使用して、強制的にネットワークが分離されます。悪意のあるリクエストや分散型サービス拒否(DDoS)攻撃を検出して阻止するために、すべてのトラフィックは Google Front End(GFE)サーバー経由でルーティングされます。ログは定期的に確認され、プログラミング エラーの悪用があれば特定されます。ネットワーク デバイスにアクセスできるのは、アクセスが承認されている社員のみです。

Google のグローバル インフラストラクチャでは、無料の Project Shield を実行できます。Project Shield は、情報を検閲し、DDoS 攻撃に対して脆弱なウェブサイトを無制限に保護するもので、ニュース ウェブサイト、人権ウェブサイト、選挙監視サイトなどで利用できます。

低レイテンシで可用性の高いソリューション

Google の IP データ ネットワークは、独自のファイバー、一般公開されているファイバー、および海底ケーブルで構成されているため、世界中で可用性が高くレイテンシが低いサービスを提供できます。

Google では、プラットフォームのコンポーネントは高い冗長性を備えるよう設計されています。この冗長性は、Google のサーバー設計、Google によるデータの保存方法、ネットワークとインターネットの接続性、そしてソフトウェア サービス自体に適用されます。この「すべてに適用される冗長性」には、例外処理が含まれるため、単一のサーバー、データセンター、ネットワーク接続に依存しないソリューションが可能になります。

Google のデータセンターは地理的に分散されているため、ある地域で自然災害や局地的な停電などが生じた場合でも、世界各地のプロダクトに対するその影響は最小限に抑えられます。ハードウェア、ソフトウェア、ネットワークで障害が発生しても、プラットフォーム サービスとコントロール プレーンが自動的かつ迅速に別の施設に切り替わるため、プラットフォーム サービスは中断なく継続されます。

また、Google の冗長性の高いインフラストラクチャにより、データ損失からビジネスが保護されます。Google のシステムは、プラットフォームの点検またはアップグレード時に、ダウンタイムやメンテナンスの時間枠を最小限に抑えられるように設計されています。

運用上のセキュリティ

セキュリティは、Google の運用上で不可欠なもので、付け加えではありません。このセクションでは、Google の脆弱性管理プログラム、マルウェア防止プログラム、セキュリティ モニタリング、インシデント管理プログラムについて説明します。

脆弱性の管理

Google の脆弱性内部管理プロセスにより、すべての技術スタックにおいてセキュリティ上の脅威が常に監視されます。このプロセスでは、市販のツール、オープンソース ツール、専用内部ツールが組み合わせて使用されます。これには次のものが含まれます。

  • 品質保証プロセス
  • ソフトウェアのセキュリティ レビュー
  • レッドチームの演習を含む、自動および手動による徹底したペネトレーション対策
  • Google Maps Platform サービスに対する外部ペネトレーション テストの定期的な実施
  • 定期的な外部監査

セキュリティを改善するには、問題を完全に解決する必要があります。そのため、脆弱性管理組織とそのパートナーにより脆弱性の追跡とフォローアップが行われます。また、自動化パイプラインにより、脆弱性の状態の継続的な再評価と、パッチ検証が行われ、不適切または部分的にしか解決されていない場合にフラグが立てられます。

セキュリティ モニタリング

Google のセキュリティ モニタリング プログラムでは、内部のネットワーク トラフィック、従業員のシステム操作、脆弱性に関する外部知識から収集された情報が分析されます。すべてのセキュリティ テレメトリー データを集約して 1 か所に保存し、そこで統一されたセキュリティ分析を行うことが、Google の基本原則です。

Google のグローバル ネットワークにおけるさまざまなポイントで、内部トラフィックが検査され、不審な動作(ボットネット接続を示す可能性のあるトラフィックなど)の有無が確認されます。オープンソース ツールと市販のツールを組み合わせてトラフィックをキャプチャして解析することで、この分析が行われます。Google のテクノロジー上に構築された独自の相関システムによっても、この分析がサポートされます。システムログを調査して、顧客データへのアクセスの試行などの異常な動作を特定することによって、ネットワーク分析が補完されます。

Google の脅威分析グループにより、脅威アクターおよびその戦術と技術の進化のモニタリングが行われ、Google のセキュリティ エンジニアにより、受信したセキュリティ レポートの確認と、公開メーリング リスト、ブログ投稿、Wiki のモニタリングが行われます。また、自動ネットワーク分析とシステムログの自動分析により、未知の脅威が存在する可能性が判断されます。自動プロセスによって問題が検出されると、Google のセキュリティ スタッフにエスカレーションされます。

侵入検知

Google では、高度なデータ処理パイプラインを使用して、個々のデバイス上のホストベースのシグナル、インフラストラクチャ内のさまざまなモニタリング ポイントからのネットワークベース シグナル、インフラストラクチャ サービスからのシグナルが統合されます。これらのパイプライン上に構築されたルールとマシン インテリジェンスにより、運用セキュリティ エンジニアに潜在的なインシデントが警告されます。Google の調査およびインシデント対応チームは、24 時間 365 日、これらの潜在的なインシデントを選別、調査し、対応を行います。また、外部からのペネトレーション テストに加えて、レッドチーム演習を実施して、Google の検出メカニズムと対応メカニズムの有効性を測定し改善します。

インシデント管理

Google は、システムまたはデータの機密性、完全性、または可用性に影響する可能性のあるセキュリティ イベントに対して、厳格なインシデント管理プロセスを設けています。Google のセキュリティ インシデント管理プログラムは、インシデントの処理に関する NIST ガイダンス(NIST SP 800-61)に基づいています。インシデントに備えるためのフォレンジックと証拠取り扱いに関するトレーニングを主要スタッフ メンバー向けに提供しており、これにはサードパーティ ツールや独自ツールの使用も含まれます。

主要な領域でインシデント対応計画のテストも実施しており、これらのテストでは、内部関係者による脅威やソフトウェアの脆弱性など、さまざまなシナリオが考慮されます。Google セキュリティ チームは、セキュリティ インシデントを迅速に解決できるように、すべての Google 社員からの問い合わせに 24 時間 365 日対応しています。

ソフトウェア開発プラクティス

Google は、ソース管理の保護と二者レビューを使用して、脆弱性の侵入を事前に制限します。また、デベロッパーが特定クラスのセキュリティ バグを発生させるのを防ぐライブラリも提供しています。たとえば、Google には SDK の XSS 脆弱性を排除するように設計されたライブラリとフレームワークがあります。また、ファザー、静的分析ツール、ウェブ セキュリティ スキャナなど、セキュリティのバグを検出するための自動ツールも提供しています。

ソースコードの保護

Google のソースコードはソースの整合性とガバナンスが組み込まれたリポジトリに保存されているため、サービスの現行バージョンと過去のバージョンの両方を監査できます。このインフラストラクチャでは、サービスのバイナリは、レビュー、チェックイン、テスト後のソースコードから構築することが要求されています。Binary Authorization for Borg(BAB)により、サービスがデプロイされたときに内部適用チェックが行われます。BAB では次の処理が行われます。

  • Google にデプロイされた本番環境ソフトウェアと構成がレビュー・承認済みであることを確認する(特にそのコードがユーザーデータにアクセスできる場合)
  • コードと構成のデプロイが一定の最小基準を満たしていることを確認する
  • インサイダーや攻撃者がソースコードに悪意のある変更を加えないよう制限したり、サービスからそのソースまでのフォレンジック証跡を提供したりする

インサイダー リスクの低減

Google は、インフラストラクチャに対する管理者権限が付与された従業員のアクティビティを制限し、常にモニタリングしています。その一方で、特定のタスクに対する特権アクセスの必要性を排除するために、同じタスクを安全かつ制御された方法で完了できる自動化に回す取り組みも続けています。たとえば、一部のアクションで二者承認を要求したり、機密情報を公開せずにデバッグできる制限付きの API を使用したりしています。

エンドユーザー情報への Google 社員のアクセスは、下位インフラストラクチャ フックを介して記録され、Google のセキュリティ チームにより、アクセス パターンがモニタリングされ、異常なイベントが調査されます。

災害復旧テスト - DiRT

Google Maps Platform では、災害発生時でも Google Maps Platform のサービスと社内の事業運営を継続できるように、災害復旧テスト(DiRT)を年 1 回、全社規模で数日間にわたって実施しています。DiRT は、意図的に障害を発生させて重要なシステムの脆弱性を検出し、制御不能な方法で障害が発生する前に脆弱性を修正する目的で開発されました。DiRT では、ライブシステムを破壊して Google の技術的な堅牢性がテストされます。また、重要人員、地域の専門家、リーダーの参加を明示的にブロックすることで、Google の運用上の復元力がテストされます。一般提供されているすべてのサービスでは、継続的で自発的な DiRT テストと、復元力と可用性の検証を行うことが要求されています。

DiRT 演習の準備として、Google は優先順位付け、通信プロトコル、影響の予測、テスト設計要件(事前レビューと承認が済んだロールバック計画を含む)に関する一貫した一連のルールを設けています。

DiRT の演習とシナリオには、サービス自体の技術的な障害だけでなく、プロセス、主要担当者の対応、サポート システム、通信、物理的なアクセスに対する計画的障害も含まれ、導入済みプロセスが実際に機能していることが検証されます。また、チームが経験を積むことができるよう、実際のサービス停止・中断時や、人為的災害または自然災害の発生時に活用できる事前トレーニングが実施されます。

主なセキュリティ制御

このセクションでは、プラットフォームを保護するために Google Maps Platform に実装されている主なセキュリティ制御について説明します。

暗号化

暗号化により、データを保護するための防御層が追加されます。攻撃者がデータにアクセスできても、暗号化鍵にアクセスできないとデータを読み取ることはできません。また、データセンター間の有線接続にアクセスしたり、ストレージ デバイスを盗んだりしてデータにアクセスできた場合でさえ、データを理解または復号することはできません。

暗号化は、Google がデータのプライバシーを保護するうえで重要なメカニズムです。これにより、システムによるデータ操作(バックアップなど)や、エンジニアのよる Google のインフラストラクチャのサポートが、コンテンツへのアクセスなしで可能になります。

保存データの暗号化

このセクションの「保存データの暗号化」とは、ディスク(ソリッド ステート ドライブ(SSD)など)またはバックアップ メディアに保存されているデータを保護するための暗号化を指します。データは、通常は AES256(高度暗号化標準)を使用して、ストレージ レベルで暗号化されます。多くの場合、データセンター内の Google の本番環境ストレージ スタックでは、ハードウェア レベルを含む複数のレベルでデータが暗号化されます。これには、Google のお客様による操作は必要ありません。

暗号化を多層化すると、データ保護が冗長になるため、Google はアプリケーションの要件に基づいて最適なアプローチを選択できるようになります。プロダクト間で一貫した暗号化を実装するよう、Google の FIPS 140-2 認証モジュールを組み込んだ共通暗号ライブラリが使用されます。このように共通ライブラリを一貫して使用することで、厳密に管理され審査されたコードの実装と維持は、少人数の暗号担当者チームで行うことができます。

転送中のデータの保護

データはインターネット上を移動するときに、不正アクセスに対して脆弱になる可能性があります。Google Maps Platform では、お客様のデバイスやネットワークと Google Front End(GFE)サーバー間での転送において、強力な暗号化がサポートされています。Google のお客様 / デベロッパーは、アプリケーションを作成する際に、Google がサポートする最も強力な暗号スイート(TLS 1.3)を使用することが推奨されています。お客様のユースケースによっては、互換性の理由から古い暗号スイートが必要になる場合があります。Google Maps Platform ではこのような安全性の低い規格がサポートされてはいますが、可能な限り使用しないことをおすめします。Google Cloud では、追加の転送暗号化オプション(Google Maps Platform プロダクト向けに IPsec を使用してバーチャル プライベート ネットワークを確立するための Cloud VPN など)も提供されています。

Google データセンター間で転送されるデータの保護

Application Layer Transport Security(ALTS)は、Google トラフィックの完全性を保護し、必要に応じて暗号化するためのシステムです。ALTS では、クライアントとサーバー間の handshake プロトコルが完了し、クライアントとサーバーがネットワーク トラフィックの暗号化と認証に必要な共有暗号シークレットをネゴシエートすると、ネゴシエートされた共有シークレットを使用して完全性を強制することで RPC(リモート プロシージャ コール)トラフィックが保護されます。Google では、128 ビット鍵を使用した AES-GMAC(高度暗号化標準)など、完全性を保証するための複数のプロトコルがサポートされています。データセンター間を WAN(広域ネットワーク)経由で転送されるなど、トラフィックが Google の管理または Google の代理管理が行われている物理的境界を離れるたびに、すべてのプロトコルが自動的にアップグレードされ、暗号化と完全性が保証されます。

Google Maps Platform サービスの提供状況

一部の Google Maps Platform サービスは、地域によってはご利用いただけない場合があります。一時的なサービス障害(ネットワーク停止などの予期しないイベントによる)以外のサービスの制限は、行政機関によって課せられた制限であるため永続的なものです。Google の包括的な透明性レポートステータス ダッシュボードには、Google Maps Platform サービスへのトラフィックの最近発生した中断と進行中の中断が表示されます。このデータを使って、Google の稼働時間情報を分析・理解できます。

クライアント側でのセキュリティ

セキュリティを確保することは、クラウド サービス プロバイダと、Google Maps Platform プロダクトを実装するお客様 / パートナーの共有責任です。このセクションでは、Google Maps Platform ソリューションを設計する際に考慮すべきお客様 / パートナーの責任について詳しく説明します。

JavaScript API

安全なサイト

Maps JavaScript API では、クロスサイト スクリプティング、クリックジャッキング、データ インジェクション攻撃などの脆弱性を回避するために、サイトのコンテンツ セキュリティ ポリシー(CSP)を微調整できる一連の推奨事項が公開されています。JavaScript API では、ノンスを使用する厳格な CSP と許可リスト CSP の 2 つの形式の CSP がサポートされています。

安全な JavaScript

JavaScript は、既知のセキュリティ アンチパターンがないか定期的にスキャンされ、問題は迅速に修正されます。JavaScript API は、週 1 回、または問題が発生した場合にオンデマンドでリリースされます。

Mobile Application Security(MAS)

Mobile Application Security(MAS)は、オープンでアジャイルな、クラウドソーシングによる取り組みで、世界中の何十人もの著者やレビュアーの協力により支えられています。OWASP Mobile Application Security(MAS)の主力プロジェクトでは、モバイルアプリのセキュリティ標準(OWASP MASVS)と、包括的なテストガイド(OWASP MASTG)が提供されています。このテストガイドには、モバイルアプリのセキュリティ テストで使用されるプロセス、手法、ツールのほか、テスターが一貫性のある完全な結果を提供できる網羅的なテストケースが含まれます。

  • OWASP Mobile Application Security Verification Standard(MASVS)では、iOS と Android の両方に完全で一貫性のあるセキュリティ テストのベースラインが提供されます。
  • OWASP Mobile Application Security Testing Guide(MASTG)は、モバイルアプリのセキュリティ分析で使用されるプロセス、技術、ツールに加え、MASVS に記載されている要件を検証するためのテストケースを網羅する包括的なマニュアルです。
  • OWASP Mobile Application Security Checklist には、各 MASVS コントロールの MASTG テストケースへのリンクが含まれます。
    • セキュリティ評価 / ペネトレーション テスト: 少なくとも標準的な攻撃対象領域を網羅していることを確認してから、調査を開始してください。
    • 標準コンプライアンス: MASVS、MASTG のバージョン、commit ID が含まれます。
    • モバイル セキュリティのスキルを学び、練習できます。
    • バグ発見報奨金: モバイルの攻撃対象領域を少しづつ網羅していきましょう。

OWASP MAS を利用して、iOS アプリと Android アプリのセキュリティ、テスト、認証の各機能を強化することをご検討ください。

Android

Android アプリを開発する際は、Android コミュニティ アプリのベスト プラクティスも参考にしてください。セキュリティ ガイドラインには、安全な通信の実装、適切な権限の定義、安全なデータ ストレージ、サービスの依存関係などに関するベスト プラクティス ガイダンスが記載されています。

iOS

iOS アプリを開発する際は、Apple の Introduction to Secure Coding Guide を参考にしてください。このガイドには、iOS プラットフォームに関するベスト プラクティスが記載されています。

データの収集、使用、保持

Google Maps Platform は、データの収集、使用、保持に関する透明性の確保に取り組んでいます。Google Maps Platform のデータの収集、使用、保持には、Google プライバシー ポリシーを含む Google Maps Platform 利用規約が適用されます。

データ収集

データは、Google Maps Platform プロダクトの使用を通じて収集されます。API または SDK を介して Google Maps Platform に送信する情報の種類は、お客様が管理できます。Google Maps Platform のすべてのリクエスト(サービスからのレスポンス ステータス コードを含む)はログに記録されます。

Google Maps Platform のログデータ

Google Maps Platform では、プロダクト スイート全体でデータがログに記録されます。ログには、一般的に次のようなエントリが含まれます。

  • アカウント識別子。API キー、クライアント ID、Cloud プロジェクト番号です。この識別子は、運用、サポート、請求に必要です。
  • リクエスト元のサーバー、サービス、またはデバイスの IP アドレス。API の場合、Google Maps Platform に送信される IP アドレスは、アプリケーション / ソリューションでの API 呼び出しの実装方法によって異なります。SDK の場合、呼び出し元デバイスの IP アドレスがログに記録されます。
  • リクエスト URL。API、および API に渡されるパラメータが含まれます。たとえば、Geocoding API には 2 つのパラメータ(アドレスと API キー)が必要です。ジオコーディングには省略可能なパラメータも数多くあります。リクエスト URL には、サービスに渡されるすべてのパラメータが含まれます。
  • リクエストの日時
  • ウェブ アプリケーションの場合リクエスト ヘッダー。これには通常、ウェブブラウザの種類やオペレーティング システムの種類などのデータが含まれます。
  • SDK を使用したモバイルアプリの場合、Google Play のバージョン、ライブラリ、アプリ名。

Google Maps Platform ログへのアクセス

ログへのアクセスは厳しく制限されており、正当なビジネス上の理由がある特定のチームメンバーのみに許可されます。ログファイルへの各アクセス リクエストは監査目的で文書化されます。これは、Google の ISO 27001 および SOC 2 の第三者監査によって検証されます。

データの用途

Google Maps Platform で収集されたデータは、次の目的で使用されます。

  • Google のプロダクトとサービスの向上
  • お客様への技術サポートの提供
  • 運用上のモニタリングとアラート
  • プラットフォームのセキュリティの維持
  • プラットフォームの容量計画

Google のプライバシー ポリシーに記載されているとおり、Google Maps Platform によってユーザーの操作データが第三者に販売されることは決してありません。

データの保持と匿名化

Google Maps Platform のログで収集されたデータは、Google のデータの匿名化と秘匿化のポリシーに従って、ビジネスニーズに応じて異なる期間保持される場合があります。IP アドレスは可能な限りすぐに自動的に匿名化(IP アドレスの一部が削除)されます。ログから取得した合計使用量に関する統計情報は、匿名化されて無期限に保持される場合があります。

セキュリティ、業界、高可用性、環境に関する認証と監査

ISO 27001

国際標準化機構(ISO)は独立した非政府国際組織であり、163 の国際的な国家標準化団体で構成されています。ISO/IEC 27000 規格群は、組織が情報資産の安全性を保つうえで役立ちます。

ISO/IEC 27001 は情報セキュリティ管理システム(ISMS)の要件を規定し、一連のベスト プラクティスをまとめ、情報リスクの管理に関するセキュリティ統制を詳しく示しています。

Google Maps Platform と Google の共通のインフラストラクチャは、ISO/IEC 27001 への準拠が認定されています。27001 規格は特定の情報セキュリティ統制を義務付けるものではありませんが、Google はこの規格で明確に示されている統制のフレームワークとチェックリストを、セキュリティ制御モデルの包括性の確保と継続的な改善に活用しています。

Google Maps Platform ISO 27001 認証は、Google Compliance Reports Manager からダウンロードして確認できます。

SOC 2 Type II

SOC 2 は、米国公認会計士協会(AICPA)の監査基準審議会による既存の Trust サービス原則(TSC)に基づく報告書です。この報告書は、セキュリティ、可用性、処理の整合性、機密性保持、プライバシーに関して組織の情報システムを評価することを目的としています。SOC 2 Type II レポートは半年に 1 回、6 月頃と 12 月頃に発行されます。

Google Maps Platform SOC 2 Type II 監査レポートは、Google Compliance Reports Manager からダウンロードして確認できます。

Cloud Security Alliance(CSA)

Cloud Security Alliance(12)は、「クラウド コンピューティング内のセキュリティ保証を提供するためのベスト プラクティスの利用を促進し、クラウド コンピューティングの使用に関する教育を提供することで、他のすべての形式のコンピューティングを保護する」ことを使命とする非営利団体です。

CSA の Security, Trust, and Assurance Registry(CSA STAR)プログラムの目的は、自己評価、第三者監査、継続的なモニタリングの 3 ステップのプログラムを通じて、お客様がクラウド サービス プロバイダを評価・選択するのをサポートすることです。

Google Maps Platform は、第三者評価に基づく認証(CSA STAR レベル 1: 認証)を取得しました。

Google は CSA のスポンサーかつ CSA の International Standardization Council(ISC)のメンバーでもあり、CSA GDPR センター オブ エクセレンスの創設メンバーです。

ISO 22301:2019

国際標準化機構(ISO)は独立した非政府国際組織であり、163 の国際的な国家標準化団体で構成されています。

ISO 22301:2019 は事業継続マネジメントの国際規格であり、組織が管理システムを実装、維持、改善することで、事業中断の防止と準備、事業中断が発生した場合の対応と復旧を行えるよう助けることを目的としています。

Google Maps Platform プロダクトをサポートするデータセンターは、独立した第三者監査人による監査を経て、ISO 22301:2019 および BS EN ISO 22301:2019 に準拠していることが認定されています。Google のデータセンターがこれらの標準に準拠していることは、Google のプロダクトとサービスをホストするロケーションが ISO 22301:2019 と BS EN ISO 22301:2019 で定義されている要件を満たしていることを意味します。

ISO 50001

国際標準化機構(ISO)は独立した非政府国際組織であり、163 の国際的な国家標準化団体で構成されています。

ISO 50001:2018 は、エネルギー管理の国際規格です。組織が管理システムを実装、維持、改善することで、品質管理と環境改善に向けた全体的な取り組みにエネルギー管理を統合できるよう助けることを目的としています。

Google Maps Platform で使用される Google EMEA のデータセンターは、独立した第三者監査機関による監査を経て、ISO 50001:2018 に準拠していることが認定されています。Google のデータセンターが ISO 50001:2018 コンプライアンスに準拠していることは、Google のプロダクトとサービスをホストする対象範囲内のロケーションが ISO 50001:2018 で定義されている要件を満たしていることを意味します。

国や地域ごとの契約上の義務は次のとおりです。

欧州の契約上の義務

このセクションでは、欧州の契約上の義務について説明します。

EU の一般データ保護規則(GDPR)

一般データ保護規則GDPR)は、1995 年 10 月 24 日制定の 95/46/EC データ保護指令に代わって 2018 年 5 月 25 日に適用されたプライバシー法です。GDPR では、ヨーロッパで設立された企業と組織、またはヨーロッパのユーザーにサービスを提供する企業と組織に対する具体的な要件が規定されています。Google Maps Platform では、Google Maps Platform のお客様が GDPR 要件を踏まえて Google のサービスを安心してご利用いただけることを目指して、お客様の個人データのセキュリティとプライバシーを優先し改善する取り組みが推進されています。Google Maps Platform と連携すると、GDPR 遵守に対する次のような取り組みからメリットを受けることができます。

  1. すべての Google Maps Platform サービスにおける個人データに対する Google の処理に関して、GDPR を遵守することを Google の契約で誓約すること
  2. Google のサービスのプライバシー評価に役立つドキュメントとリソースを提供すること
  3. 規制環境の変化に合わせて Google の機能を継続的に改善すること

EU、EEA、スイス、英国の十分性認定

Google プライバシー ポリシーに記載されているとおり、欧州委員会は、欧州経済領域(EEA)以外でも特定の国においては個人情報が適切に保護されているという判断を下しました。つまり、欧州連合(EU)加盟国、ノルウェー、リヒテンシュタイン、アイスランドから当該国にデータを転送できます。英国およびスイスも、同様の十分性メカニズムを採用しています。

EU 標準契約条項

欧州委員会は、SCC とともに欧州のデータを保護するための新しい EU SCC を公開しました。Google は、データを保護し、欧州のプライバシー関連法の要件を満たすために、Google Maps Platform の契約に SCC を組み込んでいます。以前の SCC と同様、これらの条項はデータの合法的な移転を円滑に行うために使用できます。

英国のデータ保護法

2018 年データ保護法は、一般データ保護規則(GDPR)を英国で施行するために制定されました。「英国の GDPR」とは、英国の 2018 年欧州連合離脱法、および同法に基づいて制定された該当する二次法に基づき、EU の GDPR を修正し、英国の法律に組み込まれたものを指します。

スイス連邦データ保護法(FDPA)

スイスのデータ保護法は、正式には「データ保護に関する連邦法規則(FADP)」と呼ばれており、データを処理する際に個人のプライバシーと基本的権利を保護することを目的としたデータ保護規制です。

欧州以外の契約上の義務

このセクションでは、欧州以外の契約上の義務について説明します。

Lei Geral de Proteção de Dados(LGPD)

ブラジルの Lei Geral de Proteção de Dados(LGPD)は、とりわけブラジルで設立された企業や組織、またはブラジルのユーザーにサービスを提供する企業や組織による個人データの処理について規定するデータ プライバシーに関連した法律です。LGPD はすでに施行されており、次のような保護対策を提供しています。

  • 企業や組織による個人データの収集、使用、処理方法を規制する
  • 連邦部門ごとに制定された既存プライバシー法の補完や置き換えを実施し、さらに重いアカウンタビリティを要求する
  • 要件を遵守しない企業や組織に罰金を科す
  • データ保護機関の設置を可能にする
  • ブラジルで収集された個人データの転送に関する規則を課す

Google は、LGPD コンプライアンス戦略の一部として使用できる次のプロダクトとソリューションを提供しています。

  • LGPD の遵守、および個人データの保護と管理の向上に役立つセキュリティとプライバシーの機能
  • データ処理においてセキュリティを確保し、適切なプライバシー慣行を実施できるよう構築されたサービスとインフラストラクチャ
  • 規制環境の変化に合わせた Google のプロダクトと機能の継続的な改善

Google Maps Platform をご利用のお客様は、個人データの処理方法を評価し、LGPD の要件が自社に該当するかどうかを判断する必要があります。この記事は法的助言を提供するものではありません。所属する組織に適用される具体的な LGPD 要件についてアドバイスが必要な場合は、法律の専門家に相談することをおすすめします。

米国州の契約上の義務

データのプライバシーとオンライン モニタリングに関するコネチカット州の法律

データのプライバシーとオンライン モニタリングに関するコネチカット州の法律(Pub. Act No. 22015)が 2023 年 1 月 1 日に施行されました。詳しくは、Google データ管理者間のデータ保護に関する条項をご覧ください。

カリフォルニア州消費者プライバシー法(CCPA)

カリフォルニア州消費者プライバシー法(CCPA)(12)は、個人情報の「販売」に対してアクセス、削除、オプトアウトする権利など、数多くのプライバシー保護をカリフォルニア州の消費者に提供するデータ プライバシー法です。2020 年 1 月 1 日より、カリフォルニア州の居住者の個人情報を収集し、一定の基準(収益、データ処理量など)を満たしている企業は、この法律で定められた義務を履行する必要があります。カリフォルニア州プライバシー権法(CPRA)は、CCPA を修正および拡張したデータ プライバシー法です。この法律は 2023 年 1 月 1 日に施行されました。Google は、お客様がこれらのデータ規制に基づく義務を果たせるよう、便利なツールを提供し、プライバシーとセキュリティに対する堅牢な保護を Google のサービスと契約に組み込んでいます。CCPA における企業の責務について詳しくは、カリフォルニア州検察局のウェブサイトをご覧ください。詳しくは、Google データ管理者間のデータ保護に関する条項をご覧ください。

コロラド州のプライバシー法(CPA)

コロラド州のプライバシー法(Colo. Rev. Stat. § 6-1-1301 et seq)は 2023 年 1 月 1 日に施行されました。この法律は個人データのプライバシー権を規定するものであり、コロラド州の居住者を意図的に対象として事業を行うか商品やサービスを提供する法人が次のいずれかに該当する場合に適用されます。

  • 暦年あたり 10 万人以上の消費者の個人データを管理または処理する
  • 個人データの販売から収益を得ており、25,000 人以上の消費者の個人データを制御または処理する

詳しくは、Google データ管理者間のデータ保護に関する条項をご覧ください。

ユタ州の消費者プライバシー法(UCPA)

ユタ州の消費者プライバシー法(Utah Code Ann. § 13-61-101 et seq.)が 2023 年 1 月 1 日に施行されました。UCPA は、個人データの販売とターゲティング広告に適用され、販売(データ管理者が第三者に個人データを金銭的対価と引き換えに販売すること)を含むものと含まないものを定義しています。

詳しくは、Google データ管理者間のデータ保護に関する条項をご覧ください。

バージニア州の消費者データ保護法(VCDPA)

バージニア州の消費者データ保護法(「VCDPA」)は 2023 年 1 月 1 日に施行されました。この法律は、法律で規定されている条件下でビジネスが収集した個人データに対する一定の権利をバージニア州の居住者に付与します。

詳しくは、Google データ管理者間のデータ保護に関する条項をご覧ください。

まとめ

セキュリティは、Google のインフラストラクチャ、プロダクト、オペレーションの設計を導く基本的な指針です。Google の全社規模のセキュリティ オペレーションと、Google とセキュリティ研究コミュニティとの連携により、脆弱性に迅速に対応することができ、未然に防げる場合も多くあります。さらに、検索、YouTube、Gmail など Google 独自のサービスで使用している同じインフラストラクチャをお客様に提供しているため、Google のセキュリティ制御とセキュリティ対策も直接ご利用いただけます。

Google は、他のパブリック クラウド プロバイダや企業の IT チームでは真似できないレベルの保護を実現できると考えています。データの保護は Google のビジネスの中核をなす要素です。そのため、セキュリティ、リソース、専門知識に対して、他社ではできない規模での投資を行っています。お客様はセキュリティへの投資負担が軽くなり、その分を自社のビジネスとイノベーションに振り分けることができます。安全で透明性の高い方法で Google サービスをご利用いただけるように、Google は自社のプラットフォームに今後も投資していく所存です。