クラウドコンピューティングにおける人間資源データベース(human resources database)の構築・運用の問題点
Human resources databaseは,人事情報データベースと訳されることもあるが,単なる社内人事情報のデータベースという趣旨ではなく,人事情報を含む人間に関する情報を経営資源として積極的に活用し,また,そのような情報を記録したデータベースそれ自体を経済財として売買・取引の対象にして流通させようとするところに主眼を置いて構築された概念だ(←そのような姿勢それ自体が正当なものかどうかはは一応措くとする。)。したがって,Human resources databaseを「人事情報データベース」と訳するのは誤りで,カタカナ表記で「ヒューマン・リソーセズ・データベース」と記載するか「人間資源データベース」と訳するのが正しい。
ところで,SaaSなどを用いたクラウド・コンピューティングの世界でもHuman resources databaseと関連する製品やサービスの提供が活発化しているようだ。
どこで使える、そのSaaS?:第5回:Human Resource Management SaaS「Lacrasio」
Think IT: 2007/10/19
http://www.thinkit.co.jp/free/article/0710/12/5/
しかし,ここでもまたクラウド・コンピューティングに共通する問題点があることを忘れてはならない。既に指摘され始めている。
Wolfe's Den Interview: Pacific Labs CIO Talks Cloud Computing Security
Information Week: October 5, 2009
http://www.informationweek.com/news/software/hosted/showArticle.jhtml?articleID=220300990
要するに,クラウド・コンピューティングによりHuman resources databaseが構築・運用され,そのシステムが多数の企業によって共用される場合,もしシステムがクラックされると,全ての企業(利用者)がそのシステムを利用できなくなってしまうだけではなく,そのシステム内に記録されたすべてのデータが外部に流出してしまう危険性があるのだ。このことは,個々の企業がそれぞれ自前で自社のデータを守っている場合と比較すると,量的にも質的にもとんでもなく恐ろしい結果を招いてしまうことは言うまでもない。
もちろん,上記の記事では触れられていないが,トラフィックという深刻な問題は全く解決されないままになっている。原理的に集中管理を前提とするクラウド・コンピューティングではトラフィックは悪化することはあっても改善されることがあり得ない。おそらく,そのような本質的要素を悪用した新たな攻撃手段も開発されることになるだろう。
結論として,秘密性の高い情報を扱う限り,グローバルなレベルでクラウド・コンピューティングを応用することは非常に危険だといわざるを得ない。
[追記:2009年10月12日]
関連記事を追加する。
情報漏えいリスクはDB権限の在り方にも責任、日本オラクルが対策を説明
IT Media: 2009年09月15日
http://www.itmedia.co.jp/enterprise/articles/0909/15/news083.html
| 固定リンク
コメント
キメイラさん こんにちは。
情報提供ありがとうございます。とても助かります。
それにしても,残念ながら起きてしまいましたね。
現時点では事実関係によく判らない部分が多すぎて,何ともコメントできません。ごめんなさい。
投稿: 夏井高人 | 2009年10月13日 (火曜日) 23時34分
ついにorz
>MicrosoftのT-Mobile向けクラウドでユーザーデータ消失
>T-Mobileが販売するスマートフォンのデータバックアップサービスで、Microsoftのサーバ障害によりユーザーデータが消失した。
>未曾有のクラウド事故 - T-Mobile「Sidekick」のユーザーデータ消失
http://news.google.co.jp/news/story?pz=1&cf=all&ned=jp&ncl=damZDrWdg-U63ZMNy8ZspVNPwKEUM&topic=t
投稿: キメイラ | 2009年10月13日 (火曜日) 18時13分
キメイラさん こんにちは。
すべてご指摘のとおりだと思います。
クラウドは,その名前からしてアーキテクチャの真の姿を煙にまいてぼかしてしまっているようなところがありますが,実際には非常に単調な世界だと理解しています。それゆえに,その脆弱性は信じられないほどひどいものになると推定しています。
私が非合法団体の人間だとしたら,外部から攻撃をしかけるのではなく,クラウド側の主要なエンジニアを買収または脅迫してroot権限を奪ってしまいますね。そうすれば何でもできてしまいます。生きた人間を完全に安全に守る方法は存在しませんしこれからも存在しないので,そのようなタイプの単純な人間系の攻撃を防止することは不可能です。ここらへんが分散処理とは異なるクラウドの最大の弱点になるでしょう。
クラウドコンピューティングの開発,導入,運用はローカルなレベルにとどめるべきでしょう。グローバルなサービスが存在していても,安易にそれに乗っかってしまうことは命取りになりかねません。
投稿: 夏井高人 | 2009年10月11日 (日曜日) 23時20分
夏井先生,応答ありがとうございます。
古のメインコンピュータ&ダム端末時代ですと,ID&パスワード辞書をハックするか,ユーザのショルダーハックやブルーとフォースアタックとSUコマンドで簡単に認証を突破されてルートをとられたという苦い経験則がありました。
それが分散型C/Sとなって認証が多段階になって容易にルートはとれないし,ルートがとれても目指すデータが別サーバにあったりして,ハッキングに不便だけどw分散型それ自体がセキュリティに貢献してました。
クラウドコンピューティングは,セキュリティの観点から比ゆ的に言えば,メインコンピュータ&ダム端末時代に逆戻りするのと等価ですから,しかも共有で集中するデータの量は半端じゃないので,暗雲の危機感を感じています。
あの往年の名機システム360だってメインメモリが640kでVMやORを幾つも走らせてたしHDが100M越えてたら尊敬の目で見られていましたし,顧客1万人のデータコピーだけで数時間はCPUリソースを喰っていたわけで,ログさえ見れば分析不要で不正操作が一発で判る古き
良き時代でした。
しかし,現在のスペックでもグリッドコンピューティング構成となるとVMの下層を叩かれたら(アセアセ……(以下略)。
投稿: キメイラ | 2009年10月11日 (日曜日) 15時28分
キメイラさん こんにちは。
ご意見には全く同感です。使いにくさが安全を確保しているのだと思います。
ところで,私は,人事情報を財産化するという考えには基本的に反対なんですよ。もちろん,本人が人材データベースに登録して自ら情報公開するのは自由だと思います。しかし,そうでない従業員のデータが勝手に資産化されることはそれ自体で面白くないことだし,もし資産化されたデータが利益をあげた場合にはそのデータの本人にも利益の分配があるべきなのにそのような考え方はほとんどなく,もっぱら使用者側で利益を得ることに主眼を置いてビジネスモデルが提唱されています。これは情報の強姦のようなものだと思っています。
他方,グローバルなクラウドで人事情報を管理する場合,個々の利用者のIDやパスワードは存在しているのでしょうが,クラウド側のroot権限がクラックされた場合,利用者側で各種セキュリティ措置を講じていても,事実上何でもできてしまうという恐ろしい状況が発生してしまう可能性があります。にもかかわらず,クラウド側のrootが絶対的な権限を有していなければクラウド全体の情報セキュリティを確保することができないので,クラウド側のrootの権限を抑制することができないという自己矛盾が発生してしまうんですね。つまり,グローバルなクラウドコンピューティングは,それアーキテクチャそれ自体として極めて大きな情報セキュリティ上の問題を抱えており,そのアーキテクチャの本質からしてその問題を解決することができないと判断するしかありません。
もちろん,クラウド側のrootが絶対に違法行為をしないというのであれば別ですが,そんなことがあり得ないことは常識に属すると思います。適法行為の範囲内でも,裁判所の捜査令状に基づいて開示を求められば開示せざるを得ません。この場合,被疑者ではない利用者のデータ等が開示されてしまうことが十分にあり得るでしょう(被疑者であっても,その被疑者が後に起訴されなければ(その者に通知がいくわけでも何でもないので)本人が知らない間に捜査機関に機密データが渡ってしまうことは,現実世界においてもネット上においても,ごく普通に日常的に存在しているありきらりな事実です。)。
というわけで,そろそろ結論が見えてきましたね。グローバルなクラウドは法的観点からも情報セキュリティ上も非常に問題が多いので,何らかの特別な方法によりその問題を避ける努力がなされているのでない限り,それ自体として違法な存在として禁止すべきものだろうと思います。これに対し,ローカルなクラウドであれば,どうにかこうにか適法に構築・運用が可能です。IT企業はローカルなクラウドに重点を置いて製品やサービスの開発を進めるべきでしょう。
投稿: 夏井高人 | 2009年10月11日 (日曜日) 09時33分
理想論かも知れませんが,旧来の人事情報データベースや Human resources database は,社内幹部専用クローズドネットだけに置き,アクセスごとに常時指紋認証などでガチガチにプロテクトした上,インターネットから遮断するのがベストです。
某社の人事情報データが丸ごとコピーされて恐喝のネタに使われた事件から,記憶ではもう十年以上が経過したと思いますが,この事件の教訓を忘れてはいけないと思います。
投稿: キメイラ | 2009年10月11日 (日曜日) 08時19分