クラウドコンピューティングにおけるセキュリティ(その1)
こんにちは。野村です。
今回は、クラウドコンピューティングの話をするときに、必ずといっていいほど話題となるセキュリティについてです。
■ セキュリティ検討のありがちな展開
クラウドコンピューティングの特徴の1つに、サービス価格が安いということが挙げられると思います。
例えば、SaaSでありがちな料金体系は、ユーザー単位で課金となり、HWの初期投資はほぼ不要(契約時に初期費用のようなものはありえますが、HW投資に比べれば微々たるものです)。
ディスク領域の貸出のようなプラットフォーム系のサービスであっても、信じられないほど安い価格、場合によっては無料で提供されています。
じゃあ、ぜひ、自社システムもクラウドコンピューティングで! この不況の時代にITコスト削減です! という検討に着手、となるわけです。
ただ、ちょっと検討を始めると、必ずといっていいくらい、セキュリティのところでいったん検討がストップします。
検討がストップする理由は、たいてい、以下のような理由です。
「自社の大切なデータを外部業者に完全に預けるというのは困る。データ漏洩事故がおきたら、どうするんだ?」
「顧客の個人情報まで外部業者がアクセス可能になるわけだよね。個人情報保護の観点からは、どうなのか?」
「自社の得意先情報といった営業機密が他社に漏れる可能性があるのだよな、それじゃあ、安くてもだめだよ」
個人情報が万が一にも漏洩したら、多額の損害賠償を払うことになり、社会的制裁も受けるリスクがあります。自社の営業機密が他社に漏れようものなら、自社の存亡にかかわる事項となりえます。
こんなリスクを抱えてまで、ITコストダウンのためにクラウドコンピューティングに足を踏み入れるわけにはいかないよ、まさに「安かろう悪かろう」の典型だ、ということになり、検討がストップします。
■ セキュリティにおける信仰?
このような考え方は、確かに、理解できます。無用なリスクを取ってまで、新しいITの考え方であるクラウドコンピューティングを導入することはできませんよね。
また、このような考え方を持つ人に、いくら他社事例を紹介しても、たいていは無駄に終わります。「他社は他社。自社のとしてセキュリティリスクはとれない」と、ごもっともなことを言われることが通例です。
とはいえ、ですよ、わたしの経験に基づいて冷静に考えてみると、ちょっと違うな、と思わざるを得ないのです。
こういう局面で、わたしが最初に質問することは、以下です。
「じゃあ、あなたの会社における、現行システムの運用はどうなっているのですか?」
この質問への回答は、おおよそ、以下に集約できます。
「自社の社員が運用しているので、安心です」
わたしの解釈ですが、これが、たいていの人が信じている「プロパー(正社員)信仰」とでもいいますか、システムを任せるのであれば、正社員であれば大丈夫という考え方です。
■ プロパー信仰の終焉
プロパー信仰」の信者? とでもいいますか、正社員にシステムを任せておけば大丈夫という考えの人は、正社員であれば、会社に対する忠誠心がある、不正に手を染めて懲戒解雇になるリスクを取るよりも正社員の地位を選ぶだろう、という考えをお持ちのようです。
確かにそのとおりですし、実際問題として、正社員が引き起こした大きなセキュリティ事故が少ないのは現実です。
ただ、IT業界で、いわゆる「プロパー信仰」が大きく裏切られた事件があったことを、あなたはご存知ですか?
それは、ある大手証券会社で発生した、顧客データ持ち出し事件です。
この事件は、今年(2009年)11月に東京地裁で判決がでて、個人情報漏洩事件として、極めて珍しい実刑判決がでたことでも注目された事件です。
大手証券会社の顧客個人情報を盗んで転売した元部長代理の犯罪の動機が、キャバクラ通いのために消費者金融から借り入れを繰り返した結果の借金返済という、なんともみっともないというか、だらしない動機であったことでも、注目を集めましたね。
このように、世間の注目を集めた事件ではありましたが、わたしの周辺では、この事件の解釈は「プロパー信仰の終焉」です。
具体的にいうと、顧客個人情報を盗んだ元部長代理は、肩書きから推察できるように、大手証券会社の正社員だったわけです。
いままで、多くの情報漏洩事件が発生してきましたが、正社員による犯行は、わたしの記憶するかぎり、なかったと思います。場合によっては、正社員が引き起こした事件が闇に葬られたこともあるのかもしれませんが、過去における大規模で社会的な影響の大きい情報漏洩事件は、正社員による犯行ではなかったわけです。
つまり、上記の大手証券会社の個人情報漏洩事件は、正社員であっても情報漏洩事件を引き起こす可能性があるということの証明となってしまったわけです。
ですから、「ウチの現行システムは正社員に任せているから、安心。やはり、クラウドコンピューティング時代だからといって、業者に丸投げはできないぞ。」という理論は、成り立たない世の中になりつつあるのでは、とわたしは思うのですが、あなたは、どうお考えでしょうか。
さて、ちょっとコラムが長くなってきたので、このあたりで、今回は終了にさせてください。
次回も、クラウドコンピューティングにおけるセキュリティについて、続けます。