EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第14回 企業を襲う相次ぐサイバー攻撃、本当に海外のクラウドで大丈夫なのか?―再浮上するカントリーリスクへの懸念

  2011/06/17 07:00

クラウドは捜査介入のとばっちりを受けやすい?

 コンピューターネットワークの普及以降、あるいはインターネットの普及以降、侵入やクラッキングという事件は何度なく起きている。映画や小説、スパイものやクライムサスペンスなどでもしばしば出てくるテーマであり、事件としては昨日今日出てきたものではない。

 しかし、2、3週間前から世界各国で連続的に行われているソニーに対するサイバー攻撃、飛び火しての任天堂への不正アクセスと漏えい規模を見ていると、世の中の片隅でちらっとマニアックな犯罪が起きているという認識をとうに超えてしまっているのを嫌でも突きつけられる。

 4月末にソニーで起きた7700万人という個人情報の流出規模は、人数の単純比較ではちょっとした国家より大きい。問題の広がりからしても、一企業や被害を受けた企業が安全対策を努力し再発に努めますというよりは(当然、再発予防の措置は取られるに決まっているが)、民事というよりは犯罪捜査という形で公権力、軍隊はないにしても警察の介入との展開になっても違和感はない。ただし、ソニーの件については、ソニー側の過失を指摘する声も同時にあり、「責任とって自分でなんとかしなさい」との判断になる可能性も多分にある。

 クラウドというのは、集中と規模のメリットを生かす商売であるため大規模データセンターという流れに傾きやすい。グローバル分散して連動稼働する大規模センターといった形でリソースが極端に集中している場合、同センターを利用している特定事業者が攻撃対象になった場合、センターへの捜査介入への余波をとばっちりとして周辺利用者が受けてしまうことになる。

 特定センターの特定ラックが侵入されたといった話と異なり、内部の仮想化環境内で論理的にしか区切られていない場合、どこからどこまでが物理感覚で捜査範囲かはっきりしないという事態が起きる。捜査都合で現物の保全が必要な場合、自動車部品のリコールのごとく広めの範囲を持って差し押さえなどとの行動に出られようものならば、とばっちりの範囲は広がる一方である。

 あまり考えたくないのだが、世界中、ネットワークのあちこちに散らばったハッカー(正確にはクラッカー)が分散的に各所のサービスをカジュアルに突きに来るといった展開になった場合、クラウドというサービスはやっかいなものに変化するかもしれない。物理レベルではなく論理レベルで上手く問題箇所を最小範囲内で切り分けた上で、といったことが日本でいう刑事訴訟法が対応してくれるだろうか、と問われたら直観としてはたいていの国でそこまでの融通は利かなさそうである。

 クラウドシステムの代表格であるGoogleのファイルシステムは、自分達でもどのデータがどのハード、あるいは国際分散させたどのセンターにあるのか把握できない作りになっていると言われ、ハードのリスクから切り離れたデータ保存の仕組みは、低い消失リスクと優れた高可用性を側面支援している。裏返すと、特定エリアの切り離しといったリスクの局地化ができないために、怪しいとの疑念がどこか一か所に出れば、もはやGoogle全体が怪しいとの連想に繋がってしまう。

 もう少し、私人間トラブルへの公権力の介入といったステージから、国家間の準戦争的なステージに目を向けると、中国(とされている)からGoogleのGmailへのアカウント奪取の攻撃を受けたとアナウンスがされ、同社が注意を呼び掛けるという事案が発生している。

 本件を直接指したという訳ではないだろうが、米国防省はネットワークへのサイバー攻撃が戦争行為の条件を満たし得る、との検討結果を発表している。何がサイバー攻撃に該当するのかなど詳細要件については明らかにされていないが、上記のGoogleへのアタックもそのまま政府高官などの情報が流れ、重要情報が奪われた場合は相応の対応に出る方針に傾きつつあることが窺える。

これらの話をもって、単純にクラウドは危険である、グローバルなデータ分散はやめるべきであるといった風に話を展開させるつもりはない。それ以前に、そもそもビジネス自体がグローバルに分散している。コンピューターシステムだけドメスティックに引っ込んでいるというわけには行かない。しかし、提示されたパズルのピースを組んでみると、嫌な感じの絵が浮かんでくる。

「World day against cyber-censorship」
出典:国境なき医師団ホームページ
「World day against cyber-censorship」出典:国境なき医師団ホームページ

 もうひとつ議論の補助線となるのが、クラウドなどのデータの貯蓄保存の手前にあるネットワークの安全性である。国境なき医師団が定期的に発表しているネット検閲を行っている国家を挙げた「インターネットの敵」のリストとマップがあるので、参考までに紹介しておく。これが即ち、回線の安全性と稼働保全が十分にされないということと同値ではないが、データの機密性は大丈夫だろうか、との問いを投げかける際の入り口くらいにはなるだろう。
 

 「安全、低リスク、高格付け、高利回り」を高らかに謳っていたはずの運用商品が、単にリスクをタライ回しにして見ないふりをした結果、サブプライムというオチになったように、クラウドというものもあれこれの諸問題が積み重なった結果、面倒臭いものになってしまわないだろうか、というのが一連の出来事を追いつつ感じた懸念事項である。

 セキュリティというよりは、もはや諜報防諜の世界に詳しい方に企業や公的機関の情報管理課題について話を伺っていると、水面下では相当レベルで侵入傍受といった事案は発生している様子である。

 中国が国ごとネットワーク的には閉じてしまっているのも、米国が準戦争モードで事に当たっているというのも気持ちとしては分からなくはない。コンピューティングリソースの国際化、グローバル化が進むというのは、水と空気はいつでも安全な平和国家の気分から、少しモードを切り替えなければならないことを意味しているのかもしれない。



著者プロフィール

  • 渡辺聡(ワタナベ サトシ)

    神戸大学法学部(行政学・法社会学専攻)卒。NECソフトを経てインターネットビジネスの世界へ。独立後、個人事務所を設立を経て、08年にクロサカタツヤ氏と共同で株式会社企(くわだて)を設立。現同社代表取締役。大手事業会社からインターネット企業までの事業戦略、経営の立て直し、テクノロジー課題の解決、マーケティング全般の見直しなど幅広くコンサルティングサービスを提供している。主な著書・監修に『マーケティング2.0』『アルファブロガー』(ともに翔泳社)など多数。 Twitter:http://twitter.com/swmemo 企社Facebook:http://www.facebook.com/kuwadate

バックナンバー

連載:渡辺聡 クラウド時代のIT羅針盤

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5