侵害の7割超を防ぐには？ Google Cloudが60のセキュリティチェックリスト公開：「脆弱な認証情報」「設定ミス」を防ぐガイダンスを3段階で提供

Google Cloudは、クラウド環境の基本的なセキュリティ対策を体系的に整理した「推奨セキュリティチェックリスト」を公開した。同社のCISOオフィスと各分野の専門家が精査した60のセキュリティ項目を、6つの領域にわたって体系化したものだ。

[＠IT]

　Google Cloudは2026年3月5日（米国時間）、推奨セキュリティチェックリスト「Google Cloud Minimum Viable Secure Platform Checklist」を公開した。

　同セキュリティチェックリストは、Google Cloudが業界パートナーと共同で策定した「MVSP」（Minimum Viable Secure Product：最小限の実行可能なセキュアプロダクト）の原則に基づき、クラウド環境の基本的なセキュリティ対策を体系的に整理したものだ。

脆弱な認証情報と設定ミスが主な侵害原因　組織が最低限実装すべき対策

　Google Cloudの2025年版「Cloud Threat Horizons Report」によると、クラウド環境への侵害の主な原因は、脆弱（ぜいじゃく）な認証情報（47％）と設定ミス（29％）で、約76％を占めている。

　こうした侵害の傾向を踏まえ、Google Cloudは、同社のCISO（最高情報セキュリティ責任者）オフィスと各分野の専門家が精査した60のセキュリティ項目を、6つの領域にわたって体系化した。

　同セキュリティチェックリストは、組織が最低限実装すべきクラウドセキュリティ対策を整理したベースラインとして位置付けられている。

　6つの領域は以下の通り。これらはクラウド環境におけるID管理、インフラストラクチャ、データ保護、ネットワーク防御、監視といったセキュリティレイヤーに対応している。

• 認証・認可
• 組織
• インフラストラクチャ
• データの保護
• ネットワークセキュリティ
• モニタリング、ロギング（ログ記録）、アラート

シンプルかつ自動化可能な4つの特徴

　チェックリストは4つの特徴を持つ。

シンプル

　特定のアーキテクチャに依存しない、普遍的に有益なアクションに集中している。

スケーラブル（拡張可能）

　ガイダンスを「基本」「中級」「上級」の3段階に分類し、組織の成長に合わせてセキュリティコントロールを維持できる。基本レベルは全ての組織に推奨される最低限のセキュリティ対策を示し、中級・上級では追加のセキュリティ管理を段階的に適用できる構成だ。

　組織は自社のユースケースやリスクに応じて優先順位を付けて導入でき、導入後はコンプライアンス管理ツールやSIEM（Security Information and Event Management）などのツールを用いて継続的な監査とモニタリングを実施できる。

自動化可能

　単なるチェックリストではなく、設定変更を自動化するツールも提供している。IaC（Infrastructure as Code）ツール「Terraform」のコードがGitHubリポジトリで公開されており、一貫したデプロイが可能だ。

AI対応

　AIエージェントなどの新しい技術を導入するために必要なセキュリティ基盤とシステム構成要素を提供している。

　「このチェックリストは『Secure AI Framework」（SAIF）や『Supply-chain Levels for Software Artifacts』（SLSA）といったセキュリティ標準と整合するものだ」と、Google Cloudは述べている。