Google Apps for BusinessがISO 27001を取得、企業導入を後押しへ

　米Googleは28日、企業向けクラウドサービス「Google Apps for Business」がセキュリティマネジメントシステム（ISMS）の国際標準である「ISO 27001」を取得したことを明らかにした。Google Apps for Businessを構成するシステム、かかわる社員、プロセス、データセンターが登録範囲となる。

Googleが取得したISO 27001の登録範囲

　Google Apps for Businessで提供されるサービスとしては、GmailやGoogle Talk、Google Calender、Google Docsなどがある。最近では企業のデータを保管し、必要に応じてGmailやGoogle Talk、Google Docsなどのデータを検索できる「Google Apps Vault」も提供している。

　Google Apps for BusinessではISO 27001の取得に加え、すでに「SSAE 16」や「ISAE 3402」といったセキュリティ分野の認定を取得済み。また、「Google Apps for Government」については米連邦情報セキュリティ管理法「FISMA」の認定を受けている。

●クラウド移行時のセキュリティ、「懸念事項」から「安心材料」に

　米Googleのセキュリティ担当ディレクターを務めるエラン・ファイゲンバウム氏は、かつてGoogle Appsへの移行を検討する企業は、セキュリティが懸念事項のひとつだったと指摘する。しかし、最近ではセキュリティをより強化するためにGoogle Appsへの移行を検討する企業が増えており、ISO 27001の取得はそれを後押しするものだと話した。

米Googleのセキュリティ担当ディレクターを務めるエラン・ファイゲンバウム氏

　「よくクラウドで誤解されるのは信頼性だが、数字を見ればそれが間違いであることに気付く。例えば、2011年のGmailの可用性は99.99％。かつ、スケジュールメンテナンスはゼロ。通常の環境であれば月に1回サーバーを落としてパッチを適用したりするが、我々は冗長性を担保しているため、メンテナンス中でもサービスを提供できる。」

Google Appsの信頼性について

　ファイゲンバウム氏はさらに、Gmailのデータ構造を引き合いに出して、同社のセキュリティを紹介。それによれば、Gmailのデータは細かく分割され、異なるサーバーで保存されている。ファイル名もランダムで、コンテンツのタイプや所有者にマッチすることはなく、データは難読化が施されているという。

　「1人のユーザーを狙ってあるサーバーを攻撃しても、別のサーバーにもデータが分散されている。万が一、情報を集められたとしても、そのデータを演算して解読しなければならない。たった1人のユーザーを攻撃するのでさえこれだけの労力がかかるのだから、多くのユーザーを攻撃するのはどれだけ大変かわかるだろう。」

Gmailのデータ構造について

　Google Apps for Businessについてファイゲンバウム氏は、「セキュリティに費やすお金や時間がない中小企業にとってベストなセキュリティになる」と強調。大企業にとっても、Google Appsを使えば、これまでセキュリティに投資していた資源を本業に傾けられると話し、ISO 27001取得を通じて企業の信頼を勝ち取れると自信を示した。