net:クラウドとセキュリティ

クラウドコンピューティングサービスによっていた公共機関のシステムが、サイバー攻撃にあってダウンしたというニュースを見かけた。
NHKオンライン：自治体サイバー攻撃 国内からか

この電子申請システムは、それぞれの自治体が自前のシステムを持たずに、富士通が管理するコンピューターを使い、インターネットを通じて住民の申請などを受けつける、いわゆる「クラウド方式」で運用されています。

クラウドコンピューティングの定義は諸説定まらないところがあるが、この記事の限りでは、要するにインターネットを通じてコンピュータ資源をアウトソーシングするということであり、パブリッククラウドということになると複数（多数）のクライアントが共通のサーバーを仮想コンピュータという形で利用する形態ということになる。
もちろんそれにクラウドサービス側がサーバーシステムやアプリケーションシステムを提供することもありうるし、さらにはデータセンターをどこにおくか、多極分散型（グリッド）で構築するかというオプションもある。

ともあれ、上記の記事の限りでは、自治体が自分の所で自前のサーバーをおいて管理およびシステム開発のコストを負担するのではなく、アウトソーシングして利用をインターネット経由で行うというところが肝心な点だ。これによって自分のところではコスト的に確保できないセキュリティの高いシステムを、低コストで利用できるというメリットがある。

その場合に、よく指摘されるクラウドサービスの弱点が、多数の顧客が同一システムに同居することになるため、一つの顧客が攻撃を受けたり、あるいは公権力によって捜索差押を受けたりすると同居している他の顧客にとばっちりが来るというものだ。
また、データセンターの場所はどこに置かれる可能性もあるので、セキュリティリスクの高い地域に置かれた場合は、当然ながら攻撃等のリスクが大きくなる。
さてこれを法的にどう考えたらよいか、ということを、この夏に下記の学会報告で行った。

FITプログラムのページ
「クラウド時代における知的社会基盤の サステナビリティを考える」講演資料録のページ

クラウドコンピューティングサービスというのは一時期、流行り言葉としてもてはやされていたが、その時期に法的リスクの話をするのは大体が受けない。
明るい未来を語っている横で暗いリスクの話をするのは、水を差すことにほかならず、商売の邪魔だし、開発技術者の意欲を削ぐ、というわけだ。

そういうわけで、法的リスクの話は法律系の学会（情報ネットワーク法学会など）でこそされているが、あまり一般的ではない。

今回のサイバー攻撃は、詳しい事情が明らかでないものの、法的リスク以前の問題で、システム自体が極めて脆弱なものだったということを顕にしたように思う。情報セキュリティの三要素として機密性・完全性・可用性ということが言われるが、サイバー攻撃を受けてシステムが使えなくなってしまうのでは、可用性の要求が満たされていたとは言いがたい。
そしてクラウドコンピューティングサービスの契約当事者である富士通と自治体の二者だけが被害をうけるのであればまだしも、自治体の公衆サービスにクラウドコンピューティングサービスを用いている以上は、契約内容をコントロール出来ない一般住民が被害を被るのである。

確かにコストを低減させるのは大事な事だ。誰も見ていないと思えばただのホームページに1億4000万もの予算を計上する原子力安全庁みたいなお役人もいるので、低コストを追求する姿勢は大事だ。
しかし低コストを目指すあまり、脆弱な安物システムを売りつけられて、住民に被害が及ぶというのでは、「安物買いの銭失い」そのものであろう。

クラウドコンピューティングサービスも、コスト面のメリットだけを売り物にするのではなく、そのセキュリティの高さこそを売り物にするようになってほしいものだ。