パブリッククラウドの環境では,情報セキュリティを確保する責任が個々の企業(利用者)からプロバイダに移動するが・・・
普通のインターネット環境では,個々の企業は自分が使っているシステムについて自分で情報セキュリティを確保すべき責任を負う。これに対し,パブリッククラウド環境では,個々の企業はクラウドで提供されるリソースの消費者に成り下がってしまうため,自分で情報セキュリティを確保すべき責任を負わなくなる。それだけではなく,クラウドのシステムについてroot権限を有しない以上,自分が使っているシステムの情報セキュリティを確保したくても,自分のイニシアティブでそれを確保することができなくなる。個々の企業はクラウドコンピューティングサービスプロバイダに従属した関係が形成されてしまうのだ。その結果,個々の企業では,情報セキュリティの文化が消滅または希薄化し,情報セキュリティを確保するための能力も人材も消滅してしまう可能性が高い。逆に,クラウドコンピューティングプロバイダの側の責任はとてつもなく大きなものに肥大化し,おそらく世界中の誰も支えきれないほどの重荷となっていくことだろう。普通のインターネット環境では,個々の企業が分散して責任を分担しているから全体を支えられるのだ。以上のことは自明に属すると思われるが,大部分の人はこの問題について真剣に考えようとしないという何とも嘆かわしい状況にある。しかし,それでも問題点の所在を認識している人が全くいないわけではない。例えば,下記の記事が出ている。
Cyber attacks shift to cloud, threaten telecom network security
SearchTelecom.com: 28 Jan 2010
http://searchtelecom.techtarget.com/news/article/0,289142,sid103_gci1379912,00.html
[参考サイト]
OECD: Culture of Security for information systems and network
http://www.oecd.org/site/0,3407,en_21571361_36139259_1_1_1_1_1,00.html
| 固定リンク
コメント
キメイラさん こんにちは。
ちゃんとした仕事をすればするほど「何も起こらない」という結果が得られるので,どうしても評価されにくい仕事でもありますよね・・・(苦笑)
リスクが顕在化しないように頑張っている仕事としては,例えば,鉄道の保線作業という仕事も似ているかもしれません。ちゃんと仕事をすればするほど事故が発生しなくなるので,評価されにくいんですよ。警察の業務なんかも同じような面があるかもしれません。弁護士の仕事の中でも,訴訟が発生してから法廷弁護士として活動するのではなく,未然に事故の発生を防止するための企業弁護士では,正しく仕事をすればするほど何も起きないということになるので,やはり正当に評価されないことがあるかもしれません。本当は,何も起きないで平穏な状態を維持することって凄く難しいことなんですけどね。
でも,正当に評価される時代が来てほしいです。
投稿: 夏井高人 | 2010年2月 3日 (水曜日) 23時32分
横レス失礼します。m(_ _)m
>情報セキュリティの関係の仕事では,本当にきちんと仕事をしようとすると,コストが超過して利益があがらなくなってしまうので,ビジネスとして成立可能なのかどうか疑問に思うことが多々あります。
耳が痛いですが,コストを徹底的に切り詰めて顧客の信頼と安定稼働の安定需要を得てから,サービスとコストの最適化を設計し直して薄利多売で細々と_| ̄|〇
>だから,情報セキュリティ産業の経営者の中で金満家になる人が出てこないのだろうと思います。
確かに好きでないとできないです。仕事は不規則で体力的にキツイすし,新技術のキャッチアップが欠かせず,それであまり~ほとど儲からない。3Kから5Kの典型でしょう。
>本当に真面目にやればやるほど薄利な仕事というべきなんじゃないでしょうか?
むしろ,真面目にやってもやらなくても薄利なことに変わりがないのが問題点なのかもしれません(瀧汗
投稿: キメイラ | 2010年2月 3日 (水曜日) 13時24分
eisさん こんにちは。
情報セキュリティの関係の仕事では,本当にきちんと仕事をしようとすると,コストが超過して利益があがらなくなってしまうので,ビジネスとして成立可能なのかどうか疑問に思うことが多々あります。だから,情報セキュリティ産業の経営者の中で金満家になる人が出てこないのだろうと思います。この仕事は,輪転機を回せば回すだけどんどんお金になるというタイプの仕事ではなく,本当に真面目にやればやるほど薄利な仕事というべきなんじゃないでしょうか?
でも,だからこそプライドをもてるんだと思います。
都心の超高級マンションに住み,超高級車の助手席にこれみよがしにモデルのような女の子を乗せて走り回っている某経営者(複数)を知っていますが,お金は腐るほどあるんでしょうけど,自分の仕事それ自体が本当に他人に誇れる仕事だと思っているのかどうか判りません。もしかすると,たんまりお金があると,そんなことは一切考えなくなってしまうのかもしれませんけどね(←未経験者ですので,よく判りません・・・(笑))。
さて,問題の本質は「統制」というものをどう考えるかに尽きると思います。統制の概念をしっかりしないと,「監督」も「内部統制」も定義できない道理です。
ところが,この「統制」の概念がちょっとおかしいと常に思ってきました。こういうことを書くと,その分野の専門家から叱られてしまいそうなんですが,よく考えてみると,専門家であっても,米国の誰かが定義して国際標準みたいなものになっている「統制」の概念を丸暗記してそれにしたがっているのが普通で,自己流で「統制」を考え出しているわけではないので,あまり怖くないです(笑)。
私見としては,「統制」の概念の全面的な見直しが必要だと思っています。それは,線形的な概念であっては駄目で,やはり非線形的な発想に基づく必要があるでしょう。このことを理解するためには,何年かかけて何種類かの野生ランを栽培してみるとよいです。野生ランの苗を購入して栽培しながら様々な苦労をし,喜びを味わい,そして,環境や生態系全体について深く考え続けていると,要するに現在の通説的な考え方がいかに表層的でうすっぺらなものであるかを見事に理解することができます。そして,複雑系というシステムを前提にすべてを見直すことができるようになるんです。
ランの花は仕事のストレスで参ってしまいそうになったときに疲れた心を慰めてくれるという効果もあります。
どうぞお試しあれ。
投稿: 夏井高人 | 2010年2月 3日 (水曜日) 09時10分
夏井様
受託する立場がほとんどのため、『「専門家がサポートするので全部お任せください」・・・違法である疑いがあります』、とても耳が痛いです。
受託者の言い分としては、委託者側では忙しすぎて手を付けれないや、対応できる人がそもそもいないという状況があり、表面上は管理できているように繕うことで、委託者の役に立って、そのうえお金をもらえていると、Win・Winだと喜んでいます。委託者側の問題を踏み込んで解決できない受託者に問題があるのだと今、気づきました。
ユーザーにroot権限のアカウントが付与されないのは、監督がまったく出来ないという話、以下の2案で対応できるかと思いました。
1.監督のために監査する際、必要な情報はすべてアクセスできる状況を作ること(監査時のみでいいからroot権限付与)を、委託契約に含める。
2.契約内容を網羅する内部統制を構築し、監査基準18号報告書提出することを、委託契約に含める。
1番目、しかし、ユーザー自身が行うことが難しいと思います(忙しすぎるや、できる人がいないなど)。
2番目、内部統制のこと、実はよく分かっていないのですが、書籍を読む限りこの対応でよさそうと思いました。
法律とビジネスの実態がミスマッチ。政治主導になったら、もっとミスマッチが起きそうですね(コワイ
投稿: eis | 2010年2月 3日 (水曜日) 08時45分
eisさん こんにちは。
ご指摘のとおり,例えば,個人情報保護との関係では,委託元が委託先を監督する義務を負っていることが個人情報保護法上明らかです。監督する義務とは,自らが委託元として個人情報保護のために適切な措置を講ずる義務があることを大前提とした上で,委託先が異なる法人格主体であることから「監督」という行為を通じて自らの保護義務を履行するという仕組みになっているわけです。
おそらく,委託元の中には,主観的には「監督」しているつもりでも,客観的には自分が適切に対応する能力を欠いており,委託先に業務を「丸投げ」することしかできないために,委託先に対する「押し付け」と評価されても仕方のないことが発生してしまうということになってしまている場合があると想像します。この場合,法のたてまえとしては,自らが適切に対処できる能力を欠いている以上,そもそも個人情報取扱事業者としての義務違反がある状態になっているわけですから,そのような者が第三者に業務委託することも本来なら許されないということになるだろうと思います。
反面,受託する側でも,「専門家がサポートするので全部お任せください」といったタイプの宣伝広告をすることは違法である疑いがあります。あくまでも委託元が自ら義務を果たすべきであり,その義務を果たすための一つの場面として委託先に対する「監督」をするのですから,「全部お任せ」では最初から義務の履行を放棄するようにそそのかしていることになります。
さて,パブリッククラウドの場合にはどうかというと,委託元がクラウドシステムのroot権限をとりたくても,それをとることができず,システム監査をすることもできないため,原理的に,委託先(パブリッククラウド)に対する監督が全くできない(原始的不能)という問題があります。私がパブリッククラウドの適法性に疑問をもつ理由の一つです。
同じような問題は,本当は,データ処理のアウトソースの場合一般に生ずることだろうと思います。これまで,この問題は(意図的に)曖昧にごまかされてきました。
個人情報保護法における事業者の義務規定が原始的不能として無効な条項と解するか,それとも,委託先のシステムのroot権限を有する場合(例えば,委託先が委託元の完全子会社である場合)にのみ,監督義務を尽くしていると解釈するかのどちらかくらいしか選択肢はないかもしれません。そして,後者の解釈に立脚する場合,複数の異なる企業が共同利用するかたちでの業務委託(アウトソース)は,それ自体として一般に違法である疑いがあります。この共同利用にはデータセンターの共同利用もン含まれることになるかもしれません。
要するに,法律とビジネスの実態とがミスマッチを起こしていると理解します。とはいえ,ビジネスの現場についての経験を有するわけではなく,法律の専門家でもなく,行政事務を担当しているわけでもない国会議員が法律を制定するという国家制度を採用する限り,こういうことは避けられないことなんでしょうね。
投稿: 夏井高人 | 2010年2月 2日 (火曜日) 07時10分
夏井様
業務を委託しても、責任は委託元にあることを忘れ、委託先に責任を押し付ける場面を見てきました。
セキュリティーも適切に維持・管理することを委託するだけであって、責任は委託元にあるため、委託先がどのように管理しているか、直接確かめる必要があると思います。
しかし、直接確かめられないケースも多々あると思います。可能な限り委託元が責任感を持って行動していけば、『情報セキュリティの文化が消滅または希薄化』は防げるのではないかと思います。深夜なので夢を見ていると思われそうなコメントですが・・・
投稿: eis | 2010年2月 2日 (火曜日) 01時48分