古くて新しい問題、「セキュリティ」。近頃、GMailやDropboxといったクラウドを前提とするアプリケーションの隆盛に伴って、クラウドの抱えるセキュリティ問題が取り沙汰されるようになりました。曰く、クラウドコンピューティングを社内のインフラで使った時点でISMS認証は諦めざるを得ないとか云々。
セキュリティは2つの側面から考えることができます:「実際に情報漏洩や情報消失、障害による運用不可の危険性があるか」、「外部の第三者から見て、そのシステムに危険性がないことを安心/信頼/信用できるか」。
前者、つまり本来のセキュリティに関して言えば、システム全体の脆弱度は「システム内部で最も弱い部分の脆弱度」に左右されます。
少なくとも「まともなクラウド」であれば、前者は情報漏洩の問題を除けば「下手に社内サーバを立ち上げるより」安全性が高いと考えることもできます。AmazonにせよGoogleにせよこの手の巨大規模クラウドは数万台~といった凄まじい台数のサーバを各地で運用しており、巨大災害リスクに対しても強靱なリスク対策が実現できています。必然的にサーバ障害による情報消失/運用不可の可能性は高いものにはなりません。
#このへんはAmazonよりgoogleのほうが強いのでは、と考えてます。アメリカに隕石が落ちて北米壊滅みたいな事態になっても、googleは南米やヨーロッパ、極東アジアにきっちりデータセンター持ってますし。といっても、そのレベルなら地球人類の存続自体に対して致命的なリスクなのであんまり関係ない?
情報漏洩の可能性について、Amazon/Googleのクラウドを用いることで発生する特段のリスクは何でしょうか。クラウドを用いることで発生する「特段のリスク」は、まともにサーバが管理されていれば当然存在しません。議論としては、社内サーバの管理を「GoogleやAmazonと同レベルで」行えていると胸を張って言い切れる企業がこの世にどれだけあるのか?という疑問を発するのとほぼ同様の構造を持つでしょう。
以上から、クラウドを使うことで発生する「特段のリスク」は技術的には存在しない、と考えることができます。
もちろん人間系のリスクは「クラウドを使っても使わなくても」同様に存在しますし、クラウドを使う場合「データが全部クラウドに保存される」と考えると、セキュリティが破られた場合の損害はクラウドを使わなかった場合に比べて大きくなる傾向がありそうです。
#twitterの企業内部情報が漏洩した事件は、まさに人間系によりクラウドのセキュリティが破られて多大な被害を出した事件と考えることができます。
一方、クラウドを使うことで「第三者に向けて安全性を説得できるか」という問いは、微妙な問題をはらみます。大前提として、データを保有しているはずのクラウドのユーザーですら、「本当にデータが安全に運用されている」ことの証拠を得ることはできません。Amazon/Googleサイドの脆弱度が「十分に低い」ことは推測にすぎません。
#この場合、GoogleやAmazonがISMSを取得していようがPマークを取得していようが「無意味」です。ISMSやPマークの取得は「セキュリティ&ポリシーが管理され、適切に運用されていること」を認証するものにすぎず、「真にセキュアであること」は誰も保証していません。実際には取得していなさそうですし……。
ISMSのプロセスでは「あらゆる情報資産の運用に対してリスクを特定し、評価すること」が求められています。一方、クラウドのリスク特定は困難です。少なくとも「Amazon S3からのデータ漏洩のリスクを明確に第三者に説明できるように客観的かつサイエンティフィックにロジカルに説明する」ことは、Amazonのシステム詳細が公開されていない限り無理でしょう。
セキュリティ問題をクリアした上でクラウドを普及させるには、クラウド基盤が「本当にセキュアであること」を監査する仕組みが必要なのかもしれません。ISMSやPマークの類のように「管理されていること」を監査するレベルではなく、どのくらいの技術リスクがどこにあるのかを明確に洗い出せる仕組み。それが出現することで、はじめてクラウドの利用をISMSにおけるリスク特定の枠組に当てはめていけるようになるのでしょう。
クラウドは「ある種の企業においては」とてつもなく大きな可能性を秘めた道具となります。特に、「本質的にテレワークな組織」ではクラウドの類がなければ仕事になりません。
#あまり例が多いわけではありませんが、私自身もそういう企業の存在を知っています:「実質的なオフィス」がどこにも存在しない企業。
しかし、「クラウドを使わなければ仕事にならない」わけでなければ、クラウドを「使わない」という選択肢も考えざるを得ないのが現状でしょう。特に、ISMSやPマークのように「本質的に第三者をを信じない」社会的な仕組みに組み込んでいくのであればなおのこと。
個人的には、ISMSやPマークの取得が「前提となりつつある社会で」、クラウドという「便利な道具」を利用できない社会的な仕組み、というのはよろしくないように思えます。クラウドを絡めたセキュリティ監査をどう実現していくか、どうやって「クラウドを信頼するか」の枠組ができていくことを望みます。
—-
自分自身の個人的なプロジェクトでは、クラウドを駆使しています。ぶっちゃけ「プロジェクトのための単独の共有サーバ」を確保する余裕なんかどこにもありませんし、クラウド系のWebサービスはとにかく安いので。
クラウドを使うことによるセキュリティの低下は「存在したとしても、人間系によるトラブルと比較して無視できるほど小さい」と考えています。……結果的に、某織姫では人間系によって個人情報マネジメントシステムを破壊されてしまいました。ちゃんちゃん。