今日を皮切りに、GoogleのCloud Platform上のユーザデータはすべて自動的に暗号化される。同社のCompute EngineのPersistent DisksとScratch Disksはすでにデータがすべて暗号化されていたが、同社の今日の発表ではGoogle Cloud Storageのデータもすべて、128ビットのAdvanced Encryption Standardで暗号化される。
今日の発表でGoogleは、次のように説明している: “各オブジェクトのキーも、そのオブジェクトのオーナーに結びつくユニークなキーで暗号化される。さらにこれらのキーは、定期的にローテーションされるマスターキーの集合のどれかを使ってさらに暗号化される”。デフォルトでは、データのキーをGoogleがユーザに代わって管理するが、ユーザはデータをCloud Storageに書き出す前に独自に暗号化してもよい。暗号のセキュリティについて神経質な人は、Googleにキーの保存と管理を任せるのは不安だろう。しかしGoogleは曰く、“Googleが自社の暗号化データに対して用いているものと同じ、強化されたキー管理システムを使って、厳しいキーアクセスコントロールと監査を行う”。
この暗号化は新たに書き込まれるデータに対しては今日から有効だが、前からあるオブジェクトに関しては“今後数か月内に”暗号化を行う、という。
なおAWSのクラウドストレージS3は、2011年ごろから256ビットのAdvanced Encryptionによるサーバサイドの暗号化を提供している。またセキュリティ基準がより厳しい企業や政府機関など向けにAmazonは最近、専用ハードウェア(高価!)によるHardware Security Moduleを導入して、Amazonのクラウドにおける機密データや暗号キーの管理を行っている。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))