大地震を想定した対策を施している日本データセンター
総務省の情報通信白書によると、企業でクラウドサービスを利用しない理由の上位には「情報漏えいなどセキュリティに不安」とある。確かに一般論としてセキュリティはクラウドの最大の懸念要素だろう。しかし実際はどうだろうか。
クラウドサービスの脆弱性についてはそれぞれのクラウドサービスがどう運用されているか中身を知り、判断する必要がある。
マイクロソフトのクラウドサービスに目を向けてみよう。マイクロソフトは2014年2月に東日本と西日本の2カ所同時にデータセンターを開設し、Microsoft Azureが国内データセンターで利用できるようになった。続けて2014年12月からはOffice 365、2015年3月からはDynamics CRM Onlineが国内データセンターで利用でき、クラウドのデータは国外に出ることなく国内で管理できるようになった。安心要素が増えたことになる。ただしやはり導入にあたり確認しておきたいのはセキュリティが万全かどうかだ。
▲日本マイクロソフト 業務執行役員
プラットフォーム戦略本部 本部長 越川 慎司氏
いくら「仮想化」や「クラウド」といっても、どこかにサーバーが稼働するデータセンターがある。そのデータセンターの物理的なセキュリティは極めて重要だ。日本マイクロソフト業務執行役員 プラットフォーム戦略本部 本部長 越川慎司氏は「マイクロソフトのデータセンターは国内最高レベルの耐震性を誇る設備です」と胸を張る。
マイクロソフト日本データセンターは日本に自然災害が多いことを考慮して特に強固に守られている。例えば地震対策。一般的に建物の地震対策には免震、制震、耐震があるが、マイクロソフトの日本データセンターは免震構造だ。積層ゴム支承など最新の免震装置を備え、地面の揺れを建物や機器等への影響を最小化したもの。データセンターではサービスを安定稼働させる為に精密機器を「ゆらさない」装置を組み込んだ。
越川氏はきっぱりとこう話す。「日本では南海トラフに首都直下地震など、大地震の脅威にさらされています。そのため我々は『(建物が倒れるほどの)大地震は来る』という想定でいます。その上でデータを守ります。なお免震装置には問題となっているゴムメーカーのものは使用しておりません」
データセンターの稼働に欠かせないのが電気とネットワーク回線。これらが止まればサービスは停止してしまう。どう確保されているか。
まずは電気。日本データセンターの一部ではロータリーUPSを用いて、万が一停電しても無停止で発電機に切り替える。その発電機で使用する液体燃料は十分に備蓄し、複数の供給源から確実に補充できるよう優先供給契約を保有しているそうだ。
次にネットワーク。データセンターと接続するネットワークケーブルは「洞道」(とうどう)と呼ばれる地下トンネルを通る。強固でセキュアな地下トンネルなので簡単に切断するなどはできない。またデータセンター間は100Gbps以上の複数キャリアによる専用線がメッシュ状に構成されているためどこかで分断されても自動リルーティングできるようになっているそうだ。
さらにデータセンター内のハードウェアおよびネットワークの保守は「機械学習で壊れる前に予兆を検知して自動的に切り替えるようにしています」と越川氏。データセンターほど大量の機器を稼働させれば、故障率が低くてもどこかで異常が生じる。人為的なミスやハードウェアの異常が起きる事を前提に、障害が発生する予兆により正常なノードへ安全に切り替える事で、お客様に影響を与えずに“信頼できるクラウドサービス”を提供する事ができる。
データセンター内には温度や湿度はじめ、多種多様なセンサーで収集したマシンデータを分析してハードウェアの状態も監視しており、まさにIoTを先駆けて世界で運用管理しているという。
■■■ 5月26日(火)~5月27日(水)開催の「de:code (デコード) 」にて特別プログラム「クラウド データセンター ツアー」を実施!! ■■■
5月26日(火)~5月27日(水)開催する「de:code (デコード) 」の会場(ザ・プリンス パークタワー東京)では、特別プログラム「クラウド データセンター ツアー」を実施。本ツアーでは、マイクロソフト サイバークライムセンター 日本サテライト、およびマイクロソフトのデータセンターの疑似体験ができます。
全世界のマイクロソフト データセンターの中で、エンタープライズ クラウド サービス (Microsoft Azure/Dynamics CRM Online/Office 365) のすべてを提供する唯一のデータセンターです。実際のデータセンターの縮尺模型をご覧いただきながら、具体的なサイバー脅威の最新情報や、データ プライバシー、法務コンプライアンス対応などを解説します。
★詳細&お申込はこちらから!
サイバー犯罪には専門組織を立ち上げ「プロアクティブに」
サイバー空間におけるマイクロソフトの受難は半端ではない。ペンタゴン(米国国防総省)の次にハッカーからの攻撃を受けているとも言われている。そのマイクロソフトが防御に徹するだけではなく、予防的な事前対策の行動をとる「プロアクティブ」の姿勢を見せるようになった。
▲日本マイクロソフト マイクロソフトテクノロジーセンター
センター長 澤 円氏
「マイクロソフトではインターネットを安全にすることをトップミッションとして掲げています」と、マイクロソフトテクノロジーセンターセンター長を務める澤 円氏は言う。同社ではグローバルなサイバー犯罪対策の研究センター「サイバークライムセンター」を設置し、サイバー脅威の監視や情報収集を行っている。2月18日からはその日本サテライトを同社テクノロジーセンター内に開設した。
澤氏は「マイクロソフトがサイバーセキュリティ対策に本気で取り組むのは、われわれがプラットフォームを提供する企業だからです。例えるなら運動会の場を提供する立場です。みんなが安全に競技できるように地面をならし、小石を拾うのは当然のことなのです」と話す。
サイバークライムセンターを拠点に活動をするデジタルクライムユニットと呼ばれる専門チームは、ネットバンキング上の不正送金や広告ワンクリック詐欺などのネット犯罪を引き起こすマルウェアの活動を停止させるための活動で着々と成果を上げてきている。法執行機関や金融関連機関などと連携し、マルウェアで構成されるボットネットの活動をいくつも崩壊(テイクダウン)に追い込んでいる。インターネットの安全性を高める活動を精力的に展開している。
サイバー犯罪との戦いはいたちごっこと言われているが、澤氏は「テイクダウンを積み重ねていくことで、攻撃側のコスト底上げを狙っています。つまり簡単に儲からないようにして、最終的には『割に合わないからやめた』と断念させるのです」と話す。
マイクロソフトではマルウェア感染状況を常時モニターできる体制を整えている。マルウェアの指令を遮断した後に、感染したPCからのコールをシンクホールと呼ばれるサーバーに切り替え、対策を進めている。イメージ的には犯罪組織の親玉を捕まえた上で、そうとは知らない手下からの指示要求のパターンをトラッキングできるということ。シンクホールでは毎日5億ほどのコールが確認されているという。こうしたデータをAzureに蓄積して同社の技術で分析したり、地図上に展開して視覚化したりするなどして得た知見は関係機関と情報共有して捜査に役立てている。
サイバークライムセンターの日本サテライトが開設されたのは2月ではあるものの、公的機関との連携は前から行われている。犯罪を取り締まる警察や立法に携わる国会関係者との情報交換や勉強会などは頻繁に行われているという。
■■■ 5月26日(火)~5月27日(水)開催の「de:code (デコード) 」にて特別プログラム「クラウド データセンター ツアー」を実施!! ■■■
5月26日(火)~5月27日(水)開催する「de:code (デコード) 」の会場(ザ・プリンス パークタワー東京)では、特別プログラム「クラウド データセンター ツアー」を実施。本ツアーでは、マイクロソフト サイバークライムセンター 日本サテライト、およびマイクロソフトのデータセンターの疑似体験ができます。
全世界のマイクロソフト データセンターの中で、エンタープライズ クラウド サービス (Microsoft Azure/Dynamics CRM Online/Office 365) のすべてを提供する唯一のデータセンターです。実際のデータセンターの縮尺模型をご覧いただきながら、具体的なサイバー脅威の最新情報や、データ プライバシー、法務コンプライアンス対応などを解説します。
★詳細&お申込はこちらから!
信頼できるクラウドに向けて「すべての法規を遵守。準拠するのは日本法」
サイバークライムセンターには技術調査員やデータ分析の専門家だけではなく、法律の専門家もいる。海外ではボットネットで使われるドメインを民事訴訟で差し押さえることで解決に結びついた例もある。日本ではマルウェアの活動拠点で稼働していたWindowsサーバーが違法コピーだったことが判明し、そこから捜索につながった例もあるそうだ。サイバー犯罪といえども、近年では技術だけではなく法律のプロが関与して解決に結びつくケースも増えてきている。
▲日本マイクロソフト 業務執行役員
法務・政策企画統括副本部長 舟山 聡氏
日本マイクロソフトにも弁護士資格を保有している法律のプロが5名いる。そのうち1人が業務執行役員 法務・政策企画統括副本部長の舟山聡氏。同氏は早いうちから企業内システムにおける法律実務に詳しく「インターネット新時代の法律実務 Q&A」の共同執筆者に名を連ねている。
マイクロソフトは早い段階からクラウドサービスに関しては技術的なことだけではなく、法律関係の情報も含めて包み隠すことなく開示してきている。例えばオンラインサービス条件にはマイクロソフトが顧客のデータやコンテンツに関するいかなる権利も取得しないこと、顧客がそれらのデータの権利を留保することを明記しているほか、ウェブサイト上では、企業の顧客から多く質問される、クラウドサービス提供に際しての下請業者の業務と企業名一覧、当該地域の顧客データが保管されるデータセンター所在地情報などを開示している。
舟山氏は「マイクロソフトは、マイクロソフトによるクラウドサービスの提供に適用されるすべての法規制を遵守しています」と明言する。その旨が契約の一部に明記されているクラウドサービス業者はそう多くない。また法規というとよく懸念されるのが準拠法や管轄裁判所。つまり「マイクロソフトも外資系だから提供するサービスに関して準拠する法律は海外になるのでは?もし争いになったら海外の裁判所が管轄になるのでは?」ということ。
しかし心配には及ばない。契約で、日本でマイクロソフトのクラウドサービスを利用するなら準拠法は日本の法律となり、管轄裁判所は日本の裁判所となっている。
米国の愛国者法を懸念する声もある。テロ対策を目的とした情報収集として、クラウドに預けたデータが米国政府にすべて「もっていかれてしまうのでは」という心配がある。これに関してもマイクロソフトは明確に否定し、事実関係について情報開示を行っている。
マイクロソフトは政府機関からのデータ開示要請を半年ごとに報告している。直近(2014年後半)では全ての開示要請のうち開示したケース(Disclosed Content)は3.36%あるものの、日本においては開示に至ったものはゼロ件、つまりナシであった。件数でいうと開示要請は世界では3万件ほどあるが、日本では368件。もともと開示要請が多くはなく、過去さかのぼっても開示に至るケースは限られており、個別のアカウントごとの対応となる。すべてもっていかれるということは誤解であり、さほど神経質になる必要はなさそうだ。
***
さらに詳しくマイクロソフトのクラウドサービスを知るなら「クラウドデータセンターツアー」が絶好の機会となる。これは5月26日から開催されるマイクロソフト技術イベント「de:code」の特別プログラムで、マイクロソフト サイバークライムセンター 日本サテライト、およびマイクロソフトのデータセンターの疑似体験ができる。
マイクロソフトがクラウドサービスのセキュリティ対策にどれほど徹底しているか、インターネットを安全にする取り組みの本気度が実感できるだろう。
■■■ 5月26日(火)~5月27日(水)開催の「de:code (デコード) 」にて特別プログラム「クラウド データセンター ツアー」を実施!! ■■■
5月26日(火)~5月27日(水)開催する「de:code (デコード) 」の会場(ザ・プリンス パークタワー東京)では、特別プログラム「クラウド データセンター ツアー」を実施。本ツアーでは、マイクロソフト サイバークライムセンター 日本サテライト、およびマイクロソフトのデータセンターの疑似体験ができます。
全世界のマイクロソフト データセンターの中で、エンタープライズ クラウド サービス (Microsoft Azure/Dynamics CRM Online/Office 365) のすべてを提供する唯一のデータセンターです。実際のデータセンターの縮尺模型をご覧いただきながら、具体的なサイバー脅威の最新情報や、データ プライバシー、法務コンプライアンス対応などを解説します。
★詳細&お申込はこちらから!
