« 仮想通貨ほしさに小学4年の女児がゲームサイトに不正アクセス | トップページ | Stuxnetの狙いは原子力施設の物理的な破壊であることが判明 »

2011年2月21日 (月曜日)

スウェーデン:パブリッククラウドの利用により企業の機密情報が海外に流出する危険性があるとスウェーデン政府が警告

下記の記事が出ている。

 Sweden warns firms of cloud computing risks
 The Local: 2 Feb 11
 http://www.thelocal.se/31796/20110202/

あまりにも当たり前のことだし,これまで私見として何度も繰り返し強調して主張してきたことなのだが,政府レベルで私見と同じ警告を出す国がやっとでてきた。喜ぶべきことだ。ただし,それが日本国政府ではないというところがとても悲しい・・・

おそらく,まともに考えることのできる能力のある政府である限り,スウェーデン以外の欧州各国政府も次第にこの当たり前のことに気づき始めることだろう。

なお,この問題は,企業の情報資産の機密性管理の問題であると同時に,国防の問題でもある。つまり,ここでも「戦時と平時が常に共存する状況」が存在する。

|

« 仮想通貨ほしさに小学4年の女児がゲームサイトに不正アクセス | トップページ | Stuxnetの狙いは原子力施設の物理的な破壊であることが判明 »

コメント

senryoさん

情報提供ありがとうございます。助かります。

日本の大学ではG-mailを100パーセント導入してしまっているところがありますね。

外国製のメールシステムを導入する場合でも,アプリケーションを導入して運用しているだけであり,その管理権を100パーセント握っている場合には問題が少ないだろうと思います(この場合でも,アプリケーションベンダによる管理用のバックドアが存在している可能性がかなり高く,機密性は全く保証されません。このような場合,セキュリティ認証も全く意味をなしません。リバースエンジニアリング等によってアプリケーションのすみずみまで解析・検討し,バックドア等の存否を検査するようなタイプのセキュリティ認証は,現在までのところ日本には存在しないと思います。あくまでも提出された書類の審査をベースとしており,その意味ではほとんど何も認証していないのと同じ場合が圧倒的に多いです。認証機関の人員数からしても,精密な検査や監査をすることのできるところは1機関たりとも存在しませんし,そもそも認証基準がそのようにはなっておりません。認証機関で過労死した者がいるということを耳にしたことはないので,その程度の安楽な仕事しかしていない可能性があります。監査報酬(手数料)が安すぎて,まともにやったらペイしないということもあるかもしれません。)。

しかし,メールサーバの維持管理まで全て外国の企業が運用しているクラウドに頼ってしまうと,機密性の維持など無理ですね。とりわけ,米国企業の場合にはホームランドセキュリティ法に基づき,諜報機関が全ての通信を傍受していますので,電子メールにおける「機密性はない」と考えたほうが良いです。中国の場合には,公安が100パーセント傍受していますので,これまた機密性など最初からないです。

国家機関がやっていることですし,米国にも中国にも世界最高性能を誇る暗号解読用マシンが存在しますので,どんな暗号でも解読してしまうでしょう。つまり,電子メールを暗号化しても完全に無駄です。したがって,電子メールで機密性のある通信をすることは,非常にまぬけな行為であるということになります。

おそらく,国家機密や重要な企業秘密に該当するデータの管理を外国にあるクラウドに委ねてしまった場合,米国と中国ではスパイ罪として厳しく処罰(場合によっては死刑)ということになるでしょう。したがって,米国と中国の企業が,外国のクラウドを利用することはないと思います。詳しく調べていませんが,たぶんロシアも同じだろうと推測します。

senryoさんが紹介してくださったデンマーク国データ保護官の判断は正しいと思います。

日本の自治体担当者は,日本国内で運用される自治体クラウドならともかくとして,G-mailを含め,「外国のパブリッククラウドを利用するとなると,ただそのことだけで個人情報保護に関する法令や条例等に違反する行為になる可能性がある」ということを正しく理解すべきだと考えています。

投稿: 夏井高人 | 2011年2月28日 (月曜日) 11時32分

企業ではなく、地方自治体でのクラウドシステム利用について、デンマークのデータ保護機関が意見を表明しているようです。

[European Network and Information Security Agency]
Agency Cloud Computing reports recognised by Danish Data Protection Authority
http://www.enisa.europa.eu/media/news-items/agency-cloud-computing-reports-recognised-in-denmark

教育機関で、教師同士が連携して活動するためにGoogle Appsを利用するに当たって、オーデンセ市がDanish Data Protection Agencyに行った照会に対する回答のようです。

児童・生徒の健康状態や、問題行動など機微情報が含まれているので、かなり詳細に検討したようです。 上記ENISAのページにDDPAの意見の英訳へのリンクが貼られています。

投稿: senryo | 2011年2月26日 (土曜日) 08時37分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« 仮想通貨ほしさに小学4年の女児がゲームサイトに不正アクセス | トップページ | Stuxnetの狙いは原子力施設の物理的な破壊であることが判明 »