Googleはハードウェアからソフトウェア、人材まで全て自前
セキュリティ対策ではやらなくてはならないことが次々と増え、時にツールの入れ替わりもある。そのため応急処置の”つぎはぎ”のようになりがちだ。その様子はしばしばパッチワークに例えられる。「Googleはパッチワークセキュリティではなく、全レイヤーでセキュリティを確保しています」と小林氏は言う。
Google Cloudカスタマーエンジニア 小林直史氏
手にしているのはFIDO準拠 セキュリティキー
Googleは何においても自前が多い。小林氏が「全てを自社開発」と言うように、全体を把握しているため隙がない。なぜ自社にこだわるかというと、何か問題が起きたら自社で解決できるようにしておくためだ。
サーバーではハードウェアからソフトウェアまで開発しており、各地のネットワークをつなぐ海底ケーブルも持っている。Googleはサーバーを一般向けに販売していないものの、自社サービスのために大量のサーバーを必要とするため、生産能力で見たら世界屈指のサーバーベンダーに匹敵する。小林氏によると「数秒に1台生産できるほど」の生産能力があるそうだ。
サーバーに使うチップセットも自社で設計と製造している。例えばセキュリティ専用のチップセット「Titan」。マシンブート時にOS命令セットに改ざんがあればブートを停止するなどハードウェアレベルで認証と起動を行う。ほかにもセキュリティを強化した専用のネットワークコントローラーもある。
データセンターの運用も自社でまかなう。警備員や監視カメラといった定番の保護だけではなく、入館時の生体認証や不審者のレーザー検出といった技術も使う。想像すると映画のような世界だ。なおGoogle社員であろうとも簡単にデータセンターには入れない。データセンターに入れるのは全社員の1%未満。
採用する人間のチェックも怠らない。所属する部署にもよるが、Googleでは採用時に学歴や職歴だけではなく、時には外部調査機関を使い身元照会も行う。入社後には全社員対象にしたセキュリティトレーニングや社内イベントを通じて、セキュリティに関する意識を高めるようにしている。
現在Google内ではセキュリティ専門家は750人。ソフトウェアエンジニアリングとオペレーション担当部門に在籍し、会社の防御システムを維持している。近年ではAIを用いた不正検知なども行う。オープンソースソフトウェア同様に、Googleはセキュリティに関する論文も多く発表している。これまで発表された論文は280本以上。例えばSSL 3.0の脆弱性「POODLE」やOpenSSLのバグ「Heartbleed」の発見にはGoogleセキュリティチームが関与している。
