一般的に、自社のデータセンターはオンプレミスの方が安全でセキュリティが高いと言われてきた。しかし、ここ2年の間に起きた情報漏洩の事件を思い出してほしい。例えば、Anthem、 Sony、 JPMorganやTargetの事件だ。これらは全てオンプレミスのデータセンターからの情報漏洩でクラウドからではなかった。
クラウドサービスの管理が行き届いているなら、自社のデータセンターよりクラウド上の情報の方が安全だと言えるだろう。なぜなら、Amazon、Google、SalesforceやBoxはセキュリティ対策に尽力している。セキュリティの穴はビジネス全体に大打撃を与えることを理解しているからだ。
クラウドサービスを提供する会社から、情報漏洩に関する大事件を聞かないのはそれが理由だろう。クラウドからの情報漏洩で思い当たるのはジェニファー・ローレンスの写真の漏洩やその他セレブに関するものだが、オンプレミスでのハッキング行為ほど注目を集め、大規模な問題に発展した情報漏洩をクラウドでは聞いたことがない。
管理する側の感覚の問題もあるだろう。オンプレミスのデーターセンターの方が安全なように感じるのだ。だが、本当にそうなのだろうか?
どちらの方が安全か
第一にクラウドサービスを提供する企業に比べ、いくつかの例外を除き、ほとんどの企業はセキリティ対策にリソースを費やしていない。
彼らの本業はセキュリティ対策とは関連が薄いのだ。少なくとも直接的には関係していない。CEOにとっても大抵の場合、セキュリティ対策が最優先事項ではない。注目を浴びるほど大規模にハッキングされることは恥ずかしく、経済的な損失も大きいが、彼らの本業はお客様にサービスや商品を提供することなのだ。
David Cowanは、Bessemer Venture Partnersで90年代からセキュリティ関連企業に投資を行っている。彼曰く、多くの企業はセキュリティについて考えておらず、Sonyも例外ではなかったと言う。
「Sonyも最新技術を活用したビジネスを行っていますが、SonyはGoogleやAmazonではないのです。彼らは、映画を作り、映画を作ることに卓越した人たちを採用しています。彼らの事業の根幹はそこにあるのです。データや認証やセキュリティについては考えていないのです。」
Cowanは、だからと言ってクラウドの方が安全だとは言い切れないが、GoogleやAmazonのようにクラウドサービスを提供してきた経験のある会社のサービスの方が既存のデータセンターより安全である可能性は高いと言う。多様なクラウドサービスがある今、それぞれのセキュリティへの対応レベルが異なっているのが問題であるとも話した。
「GoogleやAmazonに全ての情報を置いてはいません。複数のサイトに分散して置いています」と彼は言った。そして問題は、それぞれのサービスのセキュリティレベルが同じではないということを指摘した。
データの権限は誰にあるのか?
クラウドコンピューティングの問題の一つは、誰がデータの権限を持っているかということだ。もし行政がやってきて情報開示を求めたら、クラウドサービスを提供する企業は、ユーザーが開示してほしくない場合でも情報を提供しなければならないのだろうか。ここのルールはまだ明確ではない。いくつかのクラウドサービスのベンダーはこの問題に取り組んでいる。
数ヶ月前、BoxはEnterprise Key Managementというプロダクトをリリースした。これを利用する法人は情報の権限を全て掌握できるこようになる。Boxに置いた情報は、暗号化キーを保有しているオーナーにしか利用することができない。つまりBoxは、行政に情報開示を求められても、全て暗号化されているため、情報を提供することはできない。行政は直接ユーザーに情報開示を要請する必要がある。
Cowanがクラウドサービスのセキュリティについて指摘したように、全てのクラウドサービスがBoxのような機能を備えているわけではない。このような機能がない場合、事態は混迷する。Googleのようなクラウドサービスは、常にユーザーの情報開示を求められていて、Googleは会社としてどのように対応していくかを検討しなければならない。
Electronic Frontier Foundationは、オンラインベンダーが行政の要請を受けた場合のユーザーへのサポート体制についての年間報告書を公表した。全てではないが、ほとんどのサービスが情報を開示するには令状が必要だ。しかし残念ながら、過去の報告書を見ると全てに適応しているとは言えない。2013年の報告書でもこのことが確認できる。
EFFは、主なクラウドサービスの暗号化の状況を知ることのできる年間報告書も作成している。ユーザーのデータの保存時と送受信時にどれだけ守られているかを知ることができる。
データを分散させる
Sonyでの情報漏洩事件について考えてみよう。Sonyのシステムは一つに集約されていたため、ハッカーがSonyのセキュリティを突破して、Eメール、公開前の映画、さらにはパートナーシップ契約の内容まで何でも手にすることができた。ひどい話だ。もしデータが複数のクラウドサービス上に分散していたのなら、1つのサービスに侵入されたとしても、失うのはそのサービスに保管されている情報だけになる。
私は、昨年のTechCrunch Disrupt San FranciscoのStartup AlleyでCloudAlloyという会社と話をした。彼らはリスクを分散させるというアイディアを形にしている。CloudAlloyは、ファイルをパーツに分け、それぞれを複数の異なるサーバーに保存することを考えた。ファイルを開きたいときは、サーバーに分散されたファイルを呼び出す。この方法でもファイルを開くのに遅滞はなく、ハッカーが一つのサーバーに侵入したとしてもそこにあるのはファイルの一部分で、その情報には意味がないということになる。
データの保管場所を分散させておくことで、1つの保管場所がハックされたとしても、全てのデータが奪われる危険性が低くなる。このアプローチはとても理にかなっている。
しかし、どのアプローチにおいても人が介在している限り、抜け穴がないとは限らない。問題は必ず起きるのだ。ハッカーは、フィッシング詐欺組織を作ったり、強力な攻撃を行ったりすることで、個人のアカウントをハックできることがジェニファー・ローレンスの事件で証明された。
自社保有のデータセンターにも弱点があり、オンサイトでデータを保持していることが安全であるとは限らない。むしろ危険だと言える。クラウドは、今ある選択肢の中で最も希望のあるものだ。クラウドコンピューティングが誕生したその日から、クラウドに向けられた批判はセキュリティ面に関してだったことを考えると、皮肉な状況と言える。しかし今の所、クラウドが一番安全であり、ここに賭けるべきだということには変わりない。
[原文へ]
