今日から(米国時間7/28)は、GoogleのIaaS Compute Engineを使っているデベロッパが、このサービスで自分独自のセキュリティキーを使える。この、暗号の鍵を顧客が供給する方式は、目下、公開ベータ中だが、データのセキュリティに関するコントロールをユーザ側に与えるものだ。
デフォルトではGoogleは、そのサービス上のすべてのデータをAES-256ビットの暗号化キーで暗号化し、(a)キー自身も暗号化され、(b)定期的にローテーションされる。今度の新しい(無料の)機能を使うと、ユーザが自分のキーを持ち込み、データの暗号化状態の管理を、そのぶん、より自由に行えるようになる。たとえば、データをいつ静止状態とみなすか、アクティブとみなすか、といった選択もデベロッパの自由になる。Googleはそのキーを保持しないから、同社の中の何人(なんぴと)たりとも、静止状態のデータにアクセスできない。
GoogleのプロダクトマネージャLeonard Lawが、こう言ってる: “セキュリティはデータ保護のイシューであると同時に、コントロールのイシューでもある。暗号鍵を顧客が供給すること(Customer-Supplied Encryption Keys)によって、Google Compute Engineでデータを暗号化するやり方に関するコントロールを、ユーザに与えることになる”。
Lawはさらに、Googleのサービスはすべての形式のデータをカバーする、と強調している。データのボリュームでも、ブートディスクでも、あるいはSSDでも。
しかし現実には、セキュリティキーを自分で扱うのは面倒、という人も多いだろう。鍵を紛失したら、データを回復できない。Googleによれば、この機能を使うのは主に、金融とか保健医療など規制の厳しい業界の、大きな企業・組織・団体だろう、という。