【研究ノート】 国境を超えるクラウドコンピューティングと データセキュリティの課題 Transnational Cloud Computing and Data Security 根 本 忠 明 Tadaaki Nemoto 佐 藤 謙 二 Kenji Sato 要約 ここ数年間,クラウドコンピューティングが世界的な関心を集めている。それは、「IT資産 の所有から運用」への革新にある。これは企業や個人のアプリやデータの運用・管理に,大きな 革命をもたらす。これを可能にする秘密のひとつが,国境を超えて運用・管理されることにある。 本研究は,クラウドコンピューティングの普及により,国内企業や国民の個人情報が海外に流 出する課題とそれに対するデータセキュリティのリスクについて,実際に生起した事件(特に 2009 年から 2010 年)を中心に検討する。 1.クラウドへの関心の高まりとその背景 クラウドコンピューティング(Cloud Computing,以後クラウドと略する)が,異常ともい える程の流行を見せている。IT業界だけの話題に終わらず,世間一般向けのマスコミ報道も, 繰り返しなされている。最初に,どれだけ注目されている話題であるかについて,紹介すること にしたい。 クラウドという用語は,2009 年にIT分野での流行語になっている。この関心は,今後も続 く見通しである。米調査会社ガートナー社(Gartner)は,企業・組織体にとって 2011 年に注 目すべき戦略的に重要なテクノロジーのトップ 10 を発表(ITmedia,2010 年 10 月 26 日付け)し, 1位にクラウドをとりあげている1)。 クラウドへの関心は,IT業界だけに限定されるものではない。テレビ・雑誌・新聞を含めた マスコミ全体が,この話題を取り上げている。クラウドを紹介する啓蒙書も数多く発売されてい る[01] [02] [03] [04]。それだけ, 我々の生活にも,影響の大きい技術革新だということである。 NHKでテレビ報道をみてみよう。NHKはニュース番組「おはよう日本」(2008 年5月 20 日放送)で紹介し, 「クローズアップ現代」で『新情報革命“クラウド”の衝撃』(2008 年 10 月 15 日放送)として紹介している。さらに, 「週刊こどもニュース」でも, 『クラウドコンピューティ ―67― 『情報科学研究』第 20 号 ング』(2010 年 10 月3日放送)と題して,放送している。 雑誌・新聞も例外ではない。たとえば,週刊ダイヤモンドが特集「破壊か進化か クラウドコ ンピューティング大革命」(2009 年5月 16 日号)を組み,朝日新聞が紙面「時々刻々」で「I T市場 クラウド旋風 データ処理 専門業者におまかせ」(2010 年8月 16 日付け)という記 事[05]を紹介しているといった具合である。 クラウドが大きな関心を集めているのは,日本国内だけではない。世界各国で,大きな関心を 集めている。たとえば,英国では,ザ・エコノミスト(2008 年 10 月 23 日号)がクラウドの特集[06] を組んでおり,クラウドという言葉が一般に認知され始めるようになった。アメリカでは,ニュー ヨークタイムズ(2009 年 10 月 28 日号)が,「クラウド化知的生産革命」という特集[07]を組 んでいる。 クラウドが関心を集めている最大の理由は, 「IT資産の所有から活用」へという革新性にある。 次章以降で説明するように,IT活用には,これまで企業は自社によるIT資産の所有が必要不 可欠であったのに,それが必ずしも必要で無くなる点にある。いわゆるIT資源のアウトソーシ ング・サービスが,当たり前になるかもしれないのである。これによって,企業はIT活用に必 要な開発時間と維持・運用の費用が大幅に削減される可能性が出てきた。 個人も例外ではない。これまで自分のパソコンに内臓し保存してきたアプリやデータの多くを, グーグルのようなクラウド・サービス事業者のサービスを利用できる。実際,世界中の多くの人々 が,グーグルのGメール(Gmail)を無料で利用している。個人がパソコンを利用するのに必要 な経済的負担も,大きく軽減されることになる。 我が国のマスコミが関心を寄せているのは,これだけではない。大きな成長が予想されるクラ ウド市場において日本の企業の取り組みが遅れており,政府の次世代IT産業の育成戦略にとっ て,早急に取り組むべき重要な課題になってきているのである。 実際,官公庁や自治体のシステムの受注競争でも,国内企業は外資系企業に不利な戦いを強い られている事態が報告されている[08]。我が国でのクラウド・サービス市場において,セール スフォースドットコム,グーグル,アマゾン・ウェブ・サービス(アマゾンドットコムの子会社) などの外資系企業の存在感が,大きいのである。 たとえば,官公庁や自治体のシステムでの外資系企業によるクラウド・サービスの利用である。 山梨県甲府市の「定額給付金支給管理システム」や政府の「グリーン家電エコポイント・システ ム」は,米セールスフォース・ドットコム社のクラウド・サービスを利用している。 いずれも事業者の選定は公募でなされていたのである。しかし,開発期間がわずか1カ月といっ た厳しい開発条件のために,日本のクラウド事業者は応募することが出来ず,米セールスフォー ス・ドットコム社の受注を許してしまっている2)。 2.クラウドとは 2.1 クラウドの定義 クラウドとは何か。この概念を公の場で最初に提唱したのは,グーグル社のエリック・シュミッ トCEOであるとされている。2006 年8月9日,米カリフォルニア州サンノゼ市で開催された 「検索エンジン戦略会議」(Search Engine Strategies Conference)で,エリック・シュミットが 提唱して,注目を集めた3)。 『情報科学研究』第 20 号 ―68― しかし,クラウドとは何かについては,現在のところいろいろな解釈や考え方があり,きちっ とコンセンサスが得られた概念ではない。その中で代表的なものとしてよく紹介されているのは, アメリカ国立標準技術研究所(NIST(National Institute of Standards and Technology)) による以下の定義[10]である。 「(複数のユーザーにより)共有され,(最適環境を)設定・調整可能なコンピューティング資 源に,簡易且つオンデマンド・ベースでネットワークからのアクセスが可能な形態(モデル)の こと。当該コンピューティング資源は,最小限の管理努力やプロバイダーの関与だけで,迅速に 提供され,解除される。」(これは,市川類による訳[11]) また,米調査会社ガートナー社は,「インターネット技術を利用する複数の顧客に向けて,き わめて拡張性の高いIT資源をサービスとして提供するコンピューティングのスタイル」と定義 している[12]。 「データーサービ IT戦略本部(本部長は首相)の「i-Japan 戦略 2015」(2009 年7月)では, スやインターネット技術などが,ネットワーク上にあるサーバ群(クラウド(雲) )にあり,ユー ザーは今までのように自分のコンピュータでデータを加工・保存することなく,『どこからでも, 必要な時に,必要な機能だけ』を利用することができる新しいコンピュータネットワークの利用 形態」[13]と説明している。 これらのクラウドの定義から明らかなように,クラウドの革新性は, 「IT資産の所有から活用」 にある。すなわち,自社の所有するIT資源を,クラウド事業者にアウトソーシングすることを 前提としている。これは,IT活用の利便性とか経費節減というメリットを享受できる見返りに, 自社のIT資源へのコントロール力を部分的に失うリスクを負うことも,意味している。 また,これらの定義で,IT技術者の間では暗黙の了解事項になっている部分に留意する必要 がある。この定義に使われている顧客(ユーザー),ネットワーク,サーバー,クラウドという 用語は,すべて国内だけでなく海外を含めた世界のIT資産の利用と運用を,暗黙の前提として いることである。 ここには,2つの大きな問題が内在している。一つは,政府の管理の及ばない,国境の存在を 想定しないインターネットの利用を前提していることである。二つは,ビジネス競争の論理から, クラウド・サービスの運用・維持は,世界中で一番有利な事業展開が許される国や地域で行われ るという点にある。本研究の関心は,これらの部分にある。 2.2 クラウドのモデル 上述のようにクラウドといっても実際のサービスには様々な形態があり,それを類型化するモ デルも複数ある。先のNISTによるクラウド・モデルでは,3つのサービス・モデルと4つの 展開モデルが紹介されている。前者はサービス対象の内容に関する枠組みであり,後者はIT資 源の管理運用主体に関係する枠組みである。本研究の関心は,後者の部分にある。 この3つのサービス・モデルとは,SaaS(Software as a Service,ソフトウェアの提供), aaS(Infrastructure as a Service, PaaS(Platform as a Service,プラットフォームの提供),I コンピューター・インフラの提供)であり,この3つは,この順で階層をなしている。 SaaSは,ユーザーが,ネットワーク経由でアプリケーション・ソフトを利用できるようにす るサービスであり,ユーザーはソフトウェアを購入することや,インストールを行う必要はなく なるのである。 ―69― 『情報科学研究』第 20 号 PaaSは,上述のSaaSの開発・実行環境などのプラットフォームを,ユーザーが利用できるよ うにするサービスである。これには,アプリケーションの開発環境や既存ソフトウェアのSaaS 化を支援する開発環境の提供したり,SaaSによるアプリケーションを代行販売するマーケット プレイスなど,各種のサービスがある。 I aaSは,CPU,ストレージ,OS,ミドルウェアなどのシステム・インフラをインターネッ ト経由で提供するサービスである。ユーザーは,クラウド上で,使いたいときに使いたいOSや ミドルウェアやストレージ容量を選択して利用することができる。 次に,4つの展開モデルとは,プライベートクラウド,コミュニティクラウド,パブリックク ラウド,ハイブリッドクラウドの4つのモデルである。 まず,プライベートクラウドとは,単一の組織体によって運用されるクラウド・インフラであ る。ユーザー組織またはその他の組織によって管理され,自社運用型と他社運用型とがある。 次のコミュニティクラウドとは,複数の組織体により共用されるクラウド・インフラである。 共通した利害関係(ミッション,セキュリティ要件,ポリシー,コンプライアンス検討)を持つ 特定コミュニティを支援するクラウド・インフラを用意する。ユーザー群あるまたはその他組織 により管理され,これにも,自社運用型と他社運用型とがある。 パブリッククラウドとは,一般公衆や大きな産業体が利用可能であり,クラウドサービスを販 売する組織により所有されるクラウド・インフラである。 最後のハイブリッドクラウドとは,2つ以上のクラウド(プライベート,コミュニティ,パブ リック)から構成されるクラウド・インフラである。それぞれは1つのクラウド実体ではあるが, 標準化された技術や独自技術とか結びつけられており,データとアプリケーションの可搬性を実 現するものである。 本研究で関心を持っているのは,プライベートおよびコミュニティクラウドにおける他社運用 型と,パブリッククラウドに伴うクラウド・サービスにある。ユーザー企業のIT資源の運用管 理に関する利権が損なわれるリスクが,大きくなる危険性があるからである。 2.3 クラウドのセキュリティ クラウド・サービスの革新性は,これまでも指摘したように,「IT資産の所有から活用」へ というパラダイム・シフトにある。当然,インターネットが普及しはじめた 1990 年代後半当時 のセキュリティ・モデルとは異なる,新しいセキュリティ・モデルが必要になる。 山口英(内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官,奈良先端大教授)は, 内閣実務担当者の立場から,クラウド・サービスを利用する場合には,これまでの「境界型防衛 モデル」は適用できず,「信頼のサプライチェーン・モデル」に切り替えるべきと,提案してい る[14]。自社管理型モデルから他社依存型モデルへの切り替えが必要というわけである。 パブリッククラウドのクラウド・サービスを利用することになれば,ユーザー自身が管理して きたデータを,クラウド事業者に預けることになるので,クラウド事業者のセキュリティへの信 頼性が,問われることになる。 米ガートナー社は,クラウドはセキュリティ上のリスクに関するレポート(2008 年6月)を 発表している。クラウド事業者を選択するにあたり,ユーザーがクラウド事業者に確認するべき セキュリティ関連事項として,以下の7項目を指摘している。①特権ユーザーによるアクセス, ②コンプライアンス関連,③データの保管場所,④データの隔離,⑤データの復旧,⑥調査に対 『情報科学研究』第 20 号 ―70― する協力姿勢,⑦長期にわたる事業継続性。 クラウド・サービスを利用する上での情報セキュリティ上のリスクを考える場合,パブリック クラウドとプライベートクラウドとを,データの種類などを考慮して使い分けるべき時期にきて いると,二宮聡広[15]は指摘している。これは,IT資源の運用管理にかかるコストと,デー タの運用管理の安全性とのバランスにおいて,両クラウドをうまく使い分けるべきであるという 指摘であり,後述する最近のクラウド・サービスに伴う事件が多発してきた状況変化に配慮した 主張である。 米 Gartner 社のアナリスト[16]も,企業ITは,近い将来に,「プライベートクラウド」に 向かうと予測している。Google や Amazon が提供している「パブリッククラウド」を原型とし, 個々の企業内におけるプライベート空間に,データベースを構築して管理する柔軟性に富んだコ ンピューティング・ネットワークの構築に向かうであろうと,指摘している。 クラウドサービスを利用する上でのセキュリティ対策に関する本格的な議論は,これからと いってよい状況にある。特に,2009 年から 2010 年に発生した国家が絡む事件(後述の4-2節 と4-3節)により,国家レベルでのセキュリティ対策について,真剣に取り組まなければなら なくなったからである。 3.クラウドへの産学官の取り組みとその背景 クラウドについて大きな関心を持っているのは,サービスを提供するIT企業や利用するユー ザー企業だけではない。我が国政府も大きな関心を持って,取り組み始めているのである。 日本政府の立場から,次の2つが大きな関心事となっている。一つは,これから成長が期待さ れる産業分野としては,IT産業は特に重要な産業であり,その育成支援が大きな課題になって いる。このIT産業の中で特に注目されているのが,クラウドである。 もう一つは,クラウド・ビジネスでは,国際競争力が問われており,その成否が国家安全保障 の問題に関わってくるという問題である。中央や地方の官公庁の重要なデータを含むIT資源の 運用・管理が,海外企業のクラウド・サービスに大きく依存することになれば,まさに国家の安 全保障の根幹がおびやかされる危険性があるからである。 これまでの我が国政府の取り組みについて,その経緯について見ておこう。政府は,産学官の 協力体制を構築して,クラウド普及の支援に乗り出そうとしてきた。総務省は,2009 年5月に, 「クラウドコンピューティング時代のデータセンター活性化策に関する検討会」 (第 1 回)を開き, 1年後の 2010 年5月に報告書[17]をまとめている。 経済産業省も,総務省に対抗するかのように,2009 年7月に,「クラウドコンピューティング と日本の競争力に関する研究会」 (第1回)を開催し,2010 年8月に報告書[18]を提出している。 そして,2010 年 12 月 22 日には,総務省と経済産業省,大阪大学や慶應義塾大学等の大学, そして日本経団連とNTTや日立製作所など 200 社が加わった産学官協議会「ジャパン・クラウ ド・コンソーシアム」が設立されている。 この協議会の設置には,クラウドで先行する欧米諸国に対抗し,我が国の経済成長をクラウド 投資で下支えようという目的があり,産学官の総力を挙げた取り組みの中心にしたいという思惑 がある。 以上みてきたように,クラウド・サービスの普及に関して産学官の総力を挙げた取り組みをし ―71― 『情報科学研究』第 20 号 図1 クラウドサービス市場の現状と予想 (出典)総務省,「スマート・クラウド研究会報告書」(2010 年) ようとする背景について,もう少し詳しくみてみることにしよう。以下の3つの大きな要因が作 用している。 1つは,このクラウド・サービスの潜在市場の大きさと将来性への期待である。アメリカの市 場調査会社IDCの日本法人IDC Japan 社は,この市場は急速に拡大しており,2010 年は前 年比 41.9%増,443 億円規模の見込みと発表している(2010 年9月 28 日発表)。 中央官庁の総務省と経済産業省でも,近い将来の市場規模について,推計値を発表している。 総務省の「スマート・クラウド研究会報告書」(2010 年)[19]は,クラウド・サービス市場は 2015 年時点で約 2 兆 3,700 億円の規模と推計している(上図を参照)。 また,経済産業省は,前述の報告書(2010 年8月)で,2020 年までにクラウドの活用により 累計 40 兆円超の新市場が創出され,潜在GDP成長率も 0.3% 押し上げられると推計している のである。 2つ目は,政府が主導してきた電子政府の戦略転換である。電子政府の推進は,2001 年1月 よりスタートした e-Japan 戦略に始まる。この e-Japan 戦略は,当初,「我が国は5年以内に世 界最先端のIT国家になること」をキャッチフレーズにして,IT基盤整備のために多大なIT 予算を組んできた。次世代のインフラ整備と景気浮揚効果を狙ったものであった。e-Japan 戦略 は,その後に e-Japan 戦略 II(2003 年7月に発表)へと引き継がれてきた。 『情報科学研究』第 20 号 ―72― 政府のIT戦略本部は,2009 年7月に「i-Japan 戦略 2015」を発表し,e-Japan 戦略からの方 向転換を明らかにした。この i-Japan 戦略は,前 e-Japan 戦略(2010 年度末まで)を前倒しして, 急遽スタートさせたものである。それは,深刻な財政危機とクラウドというIT分野の技術革新 に対応するためであった4)。 この背景には,これまでの e-Japan 戦略に基づく電子政府の推進は,行政の効率化には役立た ず,国の財政赤字を拡大させてきたという批判が大きくなったことがある。その代表が,各省庁 や全国の自治体で推進されてきた「電子申請システム」の無駄である5)。 これまでも各省庁や自治体の電子申請システムの無駄については,問題視されていた。IT 戦略本部もこれを放置できず,2007 年8月に電子政府評価委員会を設置し,電子政府のプロジェ クト全体を見直すことにしたのである。 民主党政権下での第一回目(2009 年 11 月)の事業仕分けで,財務省の電子申請システムが仕 分け対象として取り上げられ,費用対効果が悪いとして廃止と判定された。総務省も,2010 年 7月 30 日に,自治体クラウド推進本部(本部長は原口一博総務相)を設置し,経費削減を目指 すことにしたのである。たとえば,地方自治体にクラウドを普及させ,ネットワーク上のソフト ウエアやデータを共同利用させることによって,行政の経費削減を図ろうとしている6)。 この事情は,欧米先進国どこでも同じである。ギリシャの財政破綻に端を発し各国は財政赤字 の削減が緊急課題になっており,国のIT政策やIT投資に対しても,効率化や合理化が大きく 求められているのである。アメリカ政府が,クラウドへの取り組みに積極的になっているのも, このためである[21]。 3つ目は,各国のクラウド事業者間でのクラウド・サービス競争の行方が,国家間の経済競争 や国家の安全保障にも,大きく関係してくる点である。それは,このクラウド・サービス競争が, 国境を越えて運用・管理されることに大きく関係している。 すなわち,日本企業が外資企業とのクラウド・サービス競争に敗れれば,我が国の企業や個人 のデータ管理の支配権が,クラウド・サービスを提供する外資企業や他のIT覇権国家に握られ てしまう危険性が大きくなるのである。 第1章で紹介したように,我が国のクラウド市場は,海外のクラウド事業者の進出を大きく許 している。政府関係のIT関連の事業でも,外資に依存する事例が出てきているのである。 日本国内でクラウド・サービスを育成するためには,クラウド・サービスを提供するデータセ ンターを,日本国内に設置させる,または誘致することが,必要不可欠となる。しかし,日本国 内へのデータセンター誘致の諸条件は,欧米先進国のみならず新興国と比べても,魅力に欠ける のである。 経済的条件についてみれば,我が国の電力コストや土地コストが割高なために,データセン ターの維持管理費は割高で,競争力が失われてしまうのである。法律的条件についてみれば,我 が国の個人情報保護と個人データの国際流通に関する法的規制と監視・監督する統合的な仕組み は,欧米先進国との国際的整合性において不十分なのである7)。 このため,政府によるクラウド活性化を促す各種政策の支援が不可欠となる。この問題は,政 府や企業の情報活用だけでなく,社会全体での情報流通から個人情報の保護まで含めた総合的な 監視体制といった,国家全体の総合力が問われている。従来のような産業育成の観点からだけで は,世界のクラウド・サービス競争に生き残ることは,できないのである。 ―73― 『情報科学研究』第 20 号 4.クラウド・サービスを利用する上でのリスク 3章では,我が国のクラウドへの産学官の取り組みと背景について紹介してきた。ユーザーに よるクラウド事業者のサービス利用は,プラス面だけではない。ユーザーだけでなく,クラウド 事業者にとっても,大きなリスクが伴うのである。 これまでは,クラウド・サービスに伴うリスクについての指摘は少数派であり,その詳しい実 態も,問題の性格上あまり表面化していないのである。この状況が大きく変わったのが,2009 年と 2010 年に相次いで発生した事件である。 それらは,大規模クラウド企業によるシステム障害であり,国家の安全保障を脅かすサイバー 犯罪やサイバーテロよる事件である。これらの事件がクラウド・サービスに関するセキュリティ に関する問題を,現実問題として政府や企業に,つきつけたのである。この章では,3つの側面 から,クラウド・サービスに関するセキュリティの課題を紹介する。 4.1 クラウド事業者のシステム障害 これまでのクラウドへのブームに対して,最近,反省や見直しも始まっている。IT資源管理 の効率化やコスト削減だけを重視したクラウド・サービスを利用するには,セキュリティを中心 にした安全性に関する問題点は,これまでいろいろ指摘されてきた[22][23]。しかし,これら は実際の事例に基づく問題点の指摘や体系的な分析に基づく提案というよりは,コンサルタント や有識者の個人的見解といったレベルに留まっていたといってよい。 しかし,世界中のユーザーにとって,IT資源の運用管理を一部の大手クラウド事業者に依存 することによるセキュリティ・リスクが,現実の問題として表面化しはじめたのである。クラウ ド・サービスを先導してきた大手クラウド事業者の間で,顧客サービスを中断するシステム障害 が,相次ぐ事態が発生している。 大手クラウド事業者のシステム障害について調べてみると,マスメディアがクラウドを大きく 取り上げ始めた 2008 年頃から,報道され始めている。大手クラウド事業者によるシステム障害 を,マスメディアやウェブメディアで取り上げられたものの中で,グーグルとアマゾンドットコ ムの2社について,取り上げてみよう。 まず,大手クラウド事業者の最右翼であるグーグルである。グーグルによるクラウド・サービ スの代表ともいえるの Gmail で,システム障害が繰り返されてきている8)。まず,2008 年8月に, アメリカ国内で Gmail にログイン出来ない障害が繰り返され,利用者から不満が続出している。 翌 2009 年2月 24 日にも,世界的規模で Gmail にアクセスできない障害を発生させている。 グリニッジ標準時で2月 24 日午前9時 30 分から約2時間半にわたり,Gmail に障害が発生し ていた。 2009 年5月 14 日には,グーグルで大規模障害が発生し,Gmail をはじめとする各種サービス が2時間ほど利用できなくなり,グーグル利用者の 14%,世界のウェブ全体の 5%が影響を受け ていたのである。 グーグルのシステム障害を時系列で見てくると,システム障害の規模が拡大してきており,被 害を被ったユーザーの数も拡大してきていることがわかる。グーグルのセキュリティ対策は,今 のところ,必ずしも成功していないことが伺える。 次に,アマゾンドットコムのシステム障害をみてみよう9)。アマゾンでは,2008 年2月 15 日に, 『情報科学研究』第 20 号 ―74― ウェブ・ストレージサービスが,大規模な障害を起こし,復旧に3時間以上がかかるというトラ ブルが発生している。この 2008 年には,7月 20 日にも,技術上の不具合により,数時間にわたっ てオフラインとなってしまっている。 2010 年には,5月4日,5月8日,5月 11 日と,同じ月に3回も繰り返して,クラウド・サー ビスにトラブル(UPSの故障,分電盤のショート,ネットワーク接続エラー)を発生していた のである。 これらの事例は,世界を相手に大規模に展開してきたサービスのシステム障害ゆえに,マスコ ミ報道の対象になったのであり,氷山の一角にすぎないと考えるべきである。小規模な障害や企 業ユーザーに対するトラブルの多くは,表面化していないと考えるべきであろう。 このように,クラウド事業者によるシステム障害が,今後とも続き拡大する事になるとすれば, ユーザーは,2-3節で紹介したように,パブリッククラウドとプライベートクラウドとを使い 分ける工夫が,不可欠になるといってよい。 最後に,近い将来,クラウド・サービスが広く普及した時に発生するであろう事故について, 一つ紹介しておくことにする。この将来に生起するであろう事故は,個々のクラウド事業者によ るセキュリティ対策では,その解決が困難なリスクである。 未来の危機を予感させる事件が,米国の株式市場で,2010 年5月6日の午後2時 15 分(米国 東部夏時間)に発生した「フラッシュ・クラッシュ」という事件である[30]。ごく短時間の間 に株価が大幅に下落し,リーマンショックの規模を上回る過去最大の下落を記録したのである。 しかも,株価は,その直後に急騰したのである。米国のメディアは,この株価の乱降下した現象 を「フラッシュ・クラッシュ」と名づけたのである。 James Urquhart[31]は,今後クラウド・サービスが規模が拡大し相互接続が増えれば,複 雑適応系のシステムになりかねず,複雑適応系に特有の予測不能な行動や予測外の想定外の挙動 を起こす危険性が高まり,「クラウド化によるフラッシュ・クラッシュ」が危惧されると警告し ている。 このように,クラウド・サービスが普及した時点では,現在では予想されなかった新しいトラ ブルが,上記以外にも発生する可能性がある。その時には,これまでとは全く異なる新しいリス ク対策が求められることになるであろう。 4.2 国境を超えるデータのカントリー・リスク クラウド・サービスで最も大きな課題は,クラウド事業者が顧客から預かっているデータを, 国境を越えて運用管理する問題である。クラウド事業者は,高度なクラウド技術を駆使し安い運 用コストを求めて,世界各地でデータセンターを運用しようとしているからである。ユーザーに とっては,そこにカントリー・リスクが発生する。 すなわち,企業や個人データが国際流通する場合には,国によって各種の法律や制度が異なっ ていることが,カントリー・リスクの大きな原因となる。この点に関して,日本は現在,法的規 制の国際的整合性の無さや税制支援の遅れで,データセンターの招致や運営に関して不利な状況 にある。 たとえば,日本では,データセンターの建築費や電力費用,サーバーや通信機器の法定耐用年 数などにおいて,欧米先進国だけでなくアジア諸国と比べても,不利な状況にある。また,日本 は欧州諸国に比べて,データセキュリティや個人情報保護の法的整備面で,データの国際流通に ―75― 『情報科学研究』第 20 号 関して,不利な状況に置かれている。 前述のように,国際的なクラウド・サービス競争では,現在,日本のクラウド事業者は立ち遅 れている。この原因の一つに,法的規制の厳しさや税制支援の遅れがある。この状態が今後も続 けば,日本の企業や個人のユーザーの多くは,海外IT企業のクラウド・サービスに依存せざる をえなくなり,データのセキュリティや個人情報保護に関して不利益を被る危険性が高まる。 米国には,2001 年9月の同時多発テロ事件を受けて成立した通称「米国愛国者法」(USA Patriot Act)と呼ばれる法律がある[32]。この法律によって,国際テロなどが関与する事件が 発生した場合,米捜査当局は,米国内にあるサーバーに保管されているデータを,捜査対象とし て閲覧することができる。 この法律は,2009 年4月に,実際に適用されている。米テキサス州の米コアIPネットワー クス社のサーバーが,FBIにより押収され,同社のデータセンターを利用していたユーザー企 業は,電子メールや自社データにアクセスできなくなる問題が発生している。 EUや英国には,データ保護指令(Data Protection Directive)[33]があり,これらの国の 住民の個人情報保護に関して十分なデータ保護レベルに達していない第三国へのデータ移動は, 禁じられている。日本はEUのデータ保護指令の基準を満たしておらず,第三国へのデータ移動 が認められていない。 このため,日本国内のデーセンターでは,EUの個人データを扱うことは法的に困難な状況に ある。たとえば,日本に本社を置くグローバル企業は,欧州の現地法人で採用している社員など のデータに関して,日本の本社で取り扱うことが出来ない。 これらの問題の解決は緊急を要するが,個人情報の国際流通の法的整備に遅れてきた日本で, 早期解決は簡単ではない。それは,2005 年にやっと施行された個人情報保護法に多くの課題を 抱えていることからも伺える[34]。 世界で急速に普及するクラウド・サービスにおいて,日本のIT企業ならびにユーザー企業と 個人を含む日本全体が,そのサービスを享受できるようになるためには,技術的な環境整備に関 する規制緩和や税制支援だけでなく,個人情報の国際流通に関する国際的整合性のある法的整備 が急務になっているのである。 4.3 クラウド・サービスへの国家の介入とサイバー攻撃 2010 年を迎えて,世界でクラウド・サービスに対する危機感が,一気に高まった。クラウド・ サービスを提供しているグローバル展開を図っている事業者が,サイバー攻撃などによる被害を 被ったり,国家の要請により顧客サービスを制限させられたり止めさせたりする事件が,相次ぎ 生起したからである。 現時点では2つの異なるタイプの危機が表面化している。一つは,独裁国家などの厳しい情報 規制を行っている国家やその関係機関による不当な介入である。もう一つは,国家や政府に敵対 する告発支援サイトによる機密情報の公開である。 前者の事件としては,グーグルが中国内からのサイバー攻撃を受け,中国からの徹底を余儀な くされたものがある。2009 年 12 月中旬に,グーグルならびに 20 以上の大企業が,大規模なサ イバー攻撃にあったと,グーグルは 2010 年1月に報告している[35]。 このサイバー攻撃は,中国人権活動家に対する複数の Gmail ユーザー(米国,欧州,中国) のアカウントへのアクセスを狙ったものであるという。グーグルは,攻撃対象とされた企業に通 『情報科学研究』第 20 号 ―76― 知するとともに,米国捜査当局にも協力を求めたと報じられている。 また,米連邦議会の諮問機関「米中経済・安全保障調査委員会」は,2010 年 12 月 17 日に年 次報告書[36]を発表し,2010 年4月に,中国がインターネットの流れを乗っ取った事件を明 かし,中国からのサイバー攻撃の可能性に懸念を表明している。 この報告書によると,中国国営の通信会社が 2010 年4月8日,約 18 分間にわたり,世界中に おけるインターネットの流れの約 15%を,中国のサーバーを経由するよう仕向けられる事件が 発生していたのである。 米上院や米軍,国防総省,航空宇宙局(NASA),マイクロソフト社などのサイトを出入り する情報が,中国のサーバーを経由させられたのである。このため中国側により特定の利用者の 情報を盗み見られたり,情報の流れを妨害させられたり,サイトにアクセスできなくさせられる 事態が起こり得たというのである。 中国からのサイバー攻撃は,日本にも及んでいる。たとえば,尖閣諸島での中国漁船衝突事件 後の9月に,中国からの首相官邸や防衛省など 10 機関にサイバー攻撃があったと報じられてい る 10)。 以上のような国家によるインターネットへの不当介入とは異なる新しいリスクとしては,国家 や政府の不正を告発支援する目的によるウェブサイト上への情報公開である。民間告発支援サイ トのウィキリークス(WikiLeaks)が,米政府の機密文書を暴露した事件であり,2010 年に発生 している。しかも,これが繰り返されたのである[37]。 この事件をきっかけとして,ウィキリークスにサーバーを貸し出すホスティング・サービスを 提供していたアマゾンが,2010 年 12 月2日に,サービスを停止させられたのである[38]。ク ラウド・サービス業者に対して,政府が政治介入してきたのである。 このアマゾンのサービス停止に抗議して,ウィキリークスを支持するハッカー集団が,2010 年 12 月9日,アマゾンにハッカー攻撃を仕掛けた。このハッカー集団は,さらに,ウィキリー クスとの取引を停止したクレジットカード会社大手ビザとマスターカードにもサイバー攻撃して いたのである[39]。 近い将来,世界を相手にクラウド・サービスを提供する企業群が,グローバル競争に勝ち抜い た一部の企業に収れんし,世界中の顧客からのデータがそこに集約されることになれば,国際テ ロや覇権を目指す国家によるサイバー攻撃による被害は,現在からは想像できない程に,大きく なるのかもしれない。 5.おわりに 以上みてきたように,2009 年から 2010 年という年は,クラウド・サービスに関して,大きな 転機となった年といってよい。これまでは,クラウド・サービスに対する期待感や楽観論が支配 的であった。それが,この 2 年間を境に,大きく転換せざるをえなくなったのである。 本研究は,クラウド・サービスの普及には,様々な障害が立ちはだかっている厳しい現実が, 表面化してきている実態の一部を明らかにしようと努めてきた。このような新しい事件に関する 詳細な解明や分析は,これからなされるであろう。 現在,データが自由に国境を超える問題については,欧米諸国の間でも,様々な対立が表面化 している厳しい現実がある。たとえば,カナダ政府は,米国法によりデータが閲覧されえること ―77― 『情報科学研究』第 20 号 を理由に,カナダの政府機関がアメリカのクラウド・サービスを利用することを禁止している [40]。また,欧州委員会は,英国が欧州のデータ保護法を十分に遵守していないとして,英国に 対して法的措置をとることを明らかにしたと報じられている[41]。 国境を超えるデータ流通という観点からすれば,クラウド・サービスは,いまだ黎明期に過ぎ ないといってよい。次の発展段階に進む前に,国内および国家間で解決すべき課題は,山積して いるのである。 新しいクラウドの時代を迎えるに当たって,なによりも政府の強い指導力が求められる。4章 の分析で明らかにしたように,日本のクラウド事業者の支援や,効率的な政府・自治体の電子化 推進だけでは,不十分なのである。 まず,日本国内における企業からの情報流出防止の徹底と国民の個人情報保護を強化する必要 があり,このための法的整備と遵守する社会的ルールの確立が求められる。そうしなければ,企 業・個人のデータ国際流通に支障がきたすからである。 国内の安全なデータ流通の仕組みの構築が,これから本格化するデータ国際流通における外国 政府とのIT交渉において,優位な立場を保証する。日本政府には,国益が損なわれないように, 今後,諸外国とのIT交渉でリーダーシップを発揮することが,求められるのである。 本研究は,日本大学商学部からの研究補助を受けて,共同研究として研究をしてきたものであ る。しかし,研究期間の最後のまとめ時点において,クラウド・サービスを取り巻く世間の状況 が一変してしまった。このため,研究報告の内容を大幅に変えざるをえず,この転換点における これまでの経緯を整理し記録に残す内容に,変更せざるをえなかったものである。 注 1) 出所は, 「米 Gartner,2011 年に注目すべきテクノロジートップ 10 を発表」,(Itmedia,2010 年 10 月 26 日), http://mag.executive.itmedia.co.jp/executive/articles/1010/26/news024.html 2) これについては,ウェブサイト「セールスフォース社長がつぶやいたエコポイント申請サイトの裏話。失敗し たら日本撤退も」(2010 年9月 13 日)に,宇陀栄次社長自身による開発経過についての詳しい記載がある。 3) 朝日新聞(解説 クラウド・コンピューティング,2009 年4月 20 日付け)に,この部分が翻訳されている。 4) 5) 6) 7) 8) 9) 以下に紹介するように,クラウド・サービスの核心を伝えている。「新しいモデルが姿を見せ始めている。デー タもプログラムも,サーバー群の上に置いておこう,という考え方だ。私たちは『クラウド・コンピューティ ング』と呼んでいる。そういったものは,どこか“雲(クラウド)”の中にあればいい。必要なのはブラウザー とインターネットへのアクセス。パソコン,マック,携帯電話,ブラックベリー,とにかく手元にあるどんな 端末からでも,クラウドは使える。多くの企業がすでに恩恵を被っているし,グーグル,ヤフー,イーベイ, アマゾンは,それを十分承知している。データもデータ処理も,その他あれやこれやもみんなサーバーに,だ」 また,エリック・シュミットは,英エコノミスト誌「The World In 2007」(2006 年 11 月発売)に,クラウド について説明しており,ウェブ上で読める[09]。 ここでいう深刻な経済危機とは,米のサブプライムローン破綻に端を発する世界的金融危機(2007 年)に端を 発し,ギリシャ財政破綻の発覚(2009 年 10 月)へと続いた危機である。この危機がきっかけとなって,第4 回G 20 サミット(2010 年6月)で,各国が財政赤字削減の目標設定へとつながったのである。 たとえば,「国の電子申請,金食い虫 2300 億円超す経費 ITの御旗,甘い査定」(朝日新聞,2009 年 11 月 8日付け),「国の電子申請,非効率 全体の2割,利用率1%未満 事業仕分けの対象に」(朝日新聞,2009 年 11 月8日付け),「(時時刻刻)電子申請,地方も苦戦 打ち切り,苦情ゼロ 19 府県が休止・縮小」(朝日 新聞,2009 年 11 月 30 日付け)を参照。 これについては,「平成 22 年版 情報通信白書」[20]の第2部,第5章,(2)自治体クラウドを参照。 経済産業省商務情報政策局の「クラウド・コンピューティングと日本の競争力に関する研究会(第2回)-議 事要旨」を参照。 グーグルのシステム障害については,[24][25][26]を参照。 アマゾンのシステム障害については,[27][28][29]を参照。 『情報科学研究』第 20 号 ―78― 10) これらの事件については,毎日新聞(2010 年 11 月 19 日付け)と産経新聞(2010 年 12 月9日付け)を参照。 参考文献およびURL [01] 角川歴彦, 『クラウド時代と<クール革命> 』,角川書店(角川 one テーマ 21),2010 年3月 [02] 西田宗千佳, 『クラウド・コンピューティング』,朝日新書,2009 年 [03] 城田真琴, 「クラウドの衝撃」,東洋経済新報社,2009 年 [04] ニコラス・G・カー著,村上彩訳, 『クラウド化する世界――ビジネスモデル構築の大転換』,翔泳社, 2008 年 10 月 [05] 特集「破壊か進化か クラウドコンピューティング大革命」 ,週刊ダイヤモンド,2009 年5月 16 日号 [06] SPECIAL REPORT:, “Corporate IT”,The Economist,Oct, 23rd, 2008 [07] 特集, 「クラウド化知的生産革命」,ニューヨークタイムズ(日本語版),2009 年 10 月 28 日号 [08] 森洋一「米国クラウドビジネス最前線」 ,オーム社,2010 年 Eric Schmidt「 ,Don't bet against the Internet.」, The Economist(The World In 2007), 2006 年 11 月号。 これについては, 下 記サイトに邦 訳が掲 載されている。http://d.hatena.ne.jp/MareAzzurro/20080311/ 1205221305 [10] Peter Mell and Tim Grance, “The NIST Definition of Cloud Computing”,Version 15, 10-7-09, [09] http://csrc.nist.gov/groups/SNS/cloud-computing/index.html [11] 市川類, 「クラウドコンピューティングの産業構造とオープン化を巡る最近の動向」,ニューヨークだ より(情報処理推進機構),2009 年9月号,PP.. 1 ~ 33 [12] 亦 賀 忠 明, 「 IT を 革 新 す る ク ラ ウド コ ン ピ ュ ー テ ィン グ 」,http://www.keyman.or.jp/3w/ prd/77/30002877/ [13] IT戦略本部, 「i-Japan 戦略 2015 ~国民主役の「デジタル安心・活力社会」の実現を目指して~」, http://www.kantei.go.jp/jp/singi/it2/kettei/090706honbun.pdf [14] 國谷武史, 「クラウド普及で考えるべきセキュリティモデル」,Itmedia(ウェブサイト),2010 年3月 12 日,http://www.itmedia.co.jp/enterprise/articles/1003/12/news014.html [15] 二宮聡広, 「使い分けが求められるパブリッククラウドとプライベートクラウド」,情報技術研究IT [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] TIME(大和総研),2009 年7月 17 日,http://www.dir.co.jp/souken/itrd/it_time/090717.html Jon Brodkin, 「企業ITは数年で「プライベート・クラウド」へ向かう―ガートナーが予測 」,Network World 米国版,(2008 年 11 月 17 日),http://www.computerworld.jp/topics/cloud/127290.html 総務省,「クラウドコンピューティング時代のデータセンター活性化策に関する検討会」報告書,平 成 22 年5月 28 日,http://www.soumu.go.jp/main_content/000067988.pdf 経済産業省,「クラウドコンピューティングと日本の競争力に関する研究会」報書,2010 年8月 16 日 http://www.meti.go.jp/press/20100816001/20100816001-3.pdf 総 務 省,「 ス マ ー ト・ ク ラ ウ ド 研 究 会 報 告 書 」, 平 成 22 年 5 月 17 日,http://www.soumu.go.jp/ main_content/000066036.pdf 総務省,「平成 22 年版 情報通信白書」,ぎょうせい,2010 年7月 シリコンバレーからの先端技術分析レポート(ウェブサイト),「アメリカ連邦政府のクラウド戦略」, http://ventureclef.com/blog2/?p=942 情報処理推進機構編,『情報セキュリティ白書 2010』,情報処理推進機構,2010 年9月, NRIセキュアテクノロジーズ編,『クラウド時代の情報セキュリティ』,日経BP社,2010 年8月 「Gmail 障害の対処に奔走するグーグル―なお残る不透明感」,Computerworld(2008 年9月1日) http://www.computerworld.jp/topics/google/120249.html 中田敦,「米グーグルが Gmail 障害の詳細を発表,新基盤ソフトと Gmail のバグがデータセンター 障害で露呈 」,日経コンピュータ(2009 年2月 26 日),http://itpro.nikkeibp.co.jp/article/NEWS/ 20090226/325585/ 「Google が障害発生を謝罪,「原因はアジアの渋滞」,ITpro,(2009 年5月 15 日), http://itpro.nikkeibp.co.jp/article/NEWS/20090515/329891/ Junichi Niino, 「Amazon クラウド,5月に入って3回もトラブル発生」,Publickey,2010 年5月 14 日, http://www.publickey1.jp/blog/10/amazon53ups.html Judy Mottl,「Amazon.com のクラウド型ストレージ サービスで一時的に障害発生」,japan.internet. com,2008 年7月 22 日,http://japan.internet.com/webtech/20080722/10.html ―79― 『情報科学研究』第 20 号 [29] 岡田陽子, 「見えない“雲の向こう側”―Amazon S3システム障害の教訓」,Infostand,2008 年3 月3日,http://cloud.watch.impress.co.jp/epw/cda/infostand/2008/03/03/12380.html [30] 大崎貞和, 「複雑化した米国の株式市場構造と『フラッシュ・クラッシュ』」,金融ITフォーカス(野 [31] 村総合研究所),2010 年7月号,PP. 6 ~ 7 James Urquhart 著,川村インターナショナル訳 ,「クラウドコンピューティングの未来と金融システ ム-5月6日の株価急落から学ぶべきこと」,ZDNetJapan,2010 年6月 30 日, http://japan.zdnet.com/sp/feature/wisdom-of-clouds/story/0,3800106856,20415048,00.htm [32] ウィキペディア, 「米国愛国者法」,最終更新 2010 年 12 月 29 日, [33] 鈴木良介, 「外国企業にデータを預けても安心か?~各国法制度がクラウドに及ぼす影響を整理する」, 企業ITとマネジメント,2009 年 11 月2日,http://enterprisezine.jp/article/detail/1934 [34] 平田正之, 「個人情報保護と個人データの国際流通は車の両輪―「クラウド」の国際競争力強化―」, ICR View,2010 年9月8日,http://www.icr.co.jp/newsletter/view/2010/view2010014.html Leaders 2010 年2月3日, http://it.impressbm.co.jp/e/2010/02/03/1827 [35] 諸角昌宏, 「グーグルと中国,サイバー攻撃の行方」,IT [36] 「米調査委「中国報告書」公表 中国のサイバー攻撃は組織的と警鐘 」 ,産経ニュース,2010 年 11 月 18 日,http://sankei.jp.msn.com/world/china/101118/chn1011180023000-n1.htm [37] ウィキペディア, 「アメリカ外交公電ウィキリークス流出事件」,最終更新 2011 年1月 10 日, [38] 小久保重信, 「アマゾン,米政府の圧力に屈したか?ウィキリークスをサーバーから排除」,Japan Business Press,2010. 12. 06,http://jbpress.ismedia.jp/articles/-/4997 [39] 「ビザとマスターカードにサイバー攻撃 ウィキリークス支持者か」 ,CNN.co.jp,2010 年 12 月9日, http://www.cnn.co.jp/special/wikileaks/30001154.html [40] 山田陽平, 「カナダの政府機関はアメリカのクラウドホスティングサービスを利用しない」,オルタナ [41] ティブ・ブログ,2010 年1月 25 日,http://blogs.itmedia.co.jp/yohei/2010/01/post-8634.html David Meyer,「欧州委員会,データ保護をめぐり英国に対する法的措置を開始へ」,CNET News. com,2009 年4月 16 日,http://japan.cnet.com/news/biz/20391780/ [42] 小池良次, 「日本は次世代ITサービスで生き残れるのか―クラウド保護主義と国際データ・セン ター誘致競争」,現代ビジネス(講談社ウェブサイト),2010 年 10 月9日,http://gendai.ismedia.jp/ articles/-/1331 Summary The world's interest in cloud computing has increased over the last few years because of the potential to revolutionize the operation and management of applications and data for corporate and personal use. Such potential lies in the fact that cloud computing is operated and managed beyond borders. This study presents some actual incidents attributable to the spread of cloud computing and reviews its challenges against data security risks such as the leaking of private information from the domestic companies and the public to overseas. 『情報科学研究』第 20 号 ―80―
© Copyright 2024 Paperzz