セキュリティトラブルによる被害規模も責任も不明、対策も保証も「雲の中」
「クラウドコンピューティング」に対する熱狂的とも思われる期待は、メディアだけのものなのか、ベンダーやユーザーはどのように考えているのだろうか。
そもそも「クラウド」とは仮想化技術を用いたサーバー集積によって業務の共通管理を図ろうというものである。こうした共有化によるメリットとして特にコスト削減効果には期待が集まり、現在ベンダーやメディアを中心にその可能性についての議論がかまびすしい。また、「霞が関・自治体クラウド」に約200億円の補正予算がつくなど、国を挙げてのプロジェクトが立ち上がったことから、世の中の関心が集まるのも自然な流れといえる。
ネット黎明期から、情報セキュリティに関するコンサルティング、対策実装などを手がけてきた三輪氏は「思った以上にユーザーの関心が高い」と現状を評価しつつ、「業務に合わせてシステムを組む文化を持つ日本で、スムーズに共通化が進むかは疑問」と「霞が関・自治体クラウド」を含めたクラウドによる”共通化”に疑問を投げかける。
さらに三輪氏が懸念を抱くのは「セキュリティ」の問題だ。たとえば顧客情報が漏れたと想定した場合、自社サーバーならばログ情報から漏洩規模や漏洩した事実を掴むことができる。しかし、クラウドの場合、ログ情報がないなかで「漏れた」という確証を得るのは至難の業だ。クラウド業者は「漏れていない」といえば、漏洩規模も責任も不明のまま、対策も補償もまさに「雲の中」で曖昧にされてしまう。
たとえば、クラウドビジネスが大きくなった場合、リスク分散のためにデータセンター自体を各地に分散し、どこにあるのかすらわからなくなってしまう可能性がある。さらに、データを暗号化によってバラバラにし、分散させてしまうというセキュリティ技術を使う場合は、漏れても安全という前提のもと引き換えにアクセス記録も取りようがないという事態になりかねない。
ログが「漏洩の証拠」となってしまうような状況では、業者がログをとりたがらないのも当然だ。さらに価格競争ともなれば、冷却効果が期待できる寒冷地、それも人件費の安い辺鄙な場所にデータセンターが移設される可能性が高い。果たしてそれで、いざという時に適切な対応ができるのか。そうした状況下で、トラブルが起きた場合には、相手側の漏洩ミスを指摘するだけでなく、自分たちの側においてもデータが漏洩していないという証明をしなければならない。また、海外ならば、法対応の問題もある。
さらに、ログをとったとしても、だいたい漏洩が起きてから発覚するまでには約1年ほどかかる。それから対応したとしても、大変な手間とロスが生じる。しかも「予防」ではなく、事後対応になってしまうこと、いざという時が見えないこと、法体制も今のところは不明確なことなどを鑑みると、コスト削減を目的とした「クラウド」だけに、コストのかかるセキュリティ対策が後手後手に回りがちなことも理解できるだろう。
