5億とも言われるユーザーにサービスを提供するGoogle。多数のサービスとマシンを抱え,社会インフラとさえなっている。Googleはどのような脅威にどのように備えているのか。米Google セキュリティ・コンプライアンス担当ディレクタ Scott Petry氏に聞いた。(聞き手は高橋信頼=ITpro編集)
Googleはセキュリティをどれだけ重視しているのか。Googleは今や一企業に留まらず社会インフラとなっている。
 米Google セキュリティ・コンプライアンス担当ディレクタ Scott Petry氏 [画像のクリックで拡大表示] |
Google対するセキュリティ上の脅威はどのようなものがあるのか。
セキュリティは非常に広範な概念だ。ドアをロックすること,指紋認証---Googleはそれらの広範な脅威に備えている。ウイルス,スパム,アプリケーションであればバッファ・オーバーフロー攻撃,クロスサイト・スクリプティング攻撃。物理的な攻撃。さまざまな脅威がある。
Googleはそれらの脅威に対してどのような対策を講じているのか。
訓練とツールだ。
訓練の面では,安全なアプリケーションを作成するためのメソドロジーがあり,開発者はその訓練を受けるようになっている。
我々はすべての従業員にそのセキュリティ・プロセスに参加するよう求めている。
Googleはオープンなカルチャーであり,全ての従業員が全ての情報を共有する。全ての従業員がコンフィデンシャルな情報を扱う。
そしてセキュリティが文化になるようにしている。例えばセキュリティ・トレーニングを受けないと,従業員には「早く受けろ」というアラートが表示される。
もうひとつは,ツール。これは,Googleが企業をマネージするプラクティスをツール化したものだ。他の企業とは異なる。例えばSalesforce.comはGoogle Appsのカスタマだが,彼らはGoogleとは異なる情報セキュリティ・ポリシーで運用している。
RSA Conference Japan 2008の講演で,Googleは従業員に対し,自由を制限するよりも自助努力を促し,従業員が危険を知るためのツールを提供する,と語った(関連記事)。Googleは従業員を信用する,ということか。
そうだ。そして従業員がセキュリティ・カルチャーを学ぶことを手助けする。さっき言ったようにトレーニングを受けないとアラートがスパムのように来る(笑)。
また例えば社外と情報を共有しようとすると「社外と情報を共有しようとしているが間違いないか」と警告するツールがある。だが情報の共有自体を禁止はしない。
なぜそのようなポリシーが有効に働いているのか。なぜ従業員を信用できるのか。
Googleは強いカルチャーを持っている。選択の自由,ユーザー・コントロールを重んじる文化だ。創業者が作った民主的なカルチャーだ。
かつて日本の企業は,従業員を信用していた。大企業では終身雇用が一般的だったからだ。しかし,現在では雇用の流動化が進んで,日本の企業は従業員を信用できなくなっている。
その通り。それは非常に興味深いポイントだ。
Googleはすでにスタートアップ(設立直後の企業)ではない。世界有数の大企業だ。それにもかかわらずスタートアップのようなポリシーとカルチャーを持ち続けている。
ひとつの理由は,これまでGoogleを離れた人々は,辞めるよう求められたのではなく,友好的に,新しい機会を求めて新しい職場に移っており,セキュリティ規範の持ち主であること。法的にも何をしてはいけないかという規範を持っていること。
もうひとつの理由は,Googleでは多くのことが同時進行していて,変化の速度が非常に速く,情報も非常に速く変化するからだ。これほどまでに変化が速いと,情報がセンシティブである時間も短い。
Googleは,企業が成熟し,多くの従業員が加わる中で企業をどうマネージするかという観点で非常に興味深いケーススタディだ。創立の理念に立ち戻れば,Googleのミッションは世界中の情報を集め整理して届けることだった。それゆえに情報の共有が需要であるという文化が根付いている。
情報の共有が重要と言うが,全ての情報を共有できるわけではない。
確かにそうだ。会計,業績に関する情報は全員が共有するわけではない。
Googleにとってセキュリティを確保するための課題は何か。
知識を常に新しくし続けていくことだ。どのようにリスクをマネージしていくか。どのようにユーザーはアプリケーションを使っているのか。どのようなウイルスが最も蔓延しているのか。世界は常に変化し,変化のサイクルは短くなっている。それに追随していくことが最大のチャレンジだ。
