データセンターは国内、管理者は海外？ 指摘されるクラウドの危険性

今週米国で行われたGovernment Technology Research Allianceでのパネルディスカッションの模様をFederal Computer Newsが記事「Who owns data in the cloud? The answer could get tricky.」で伝えています。

記事では、政府がクラウドへ移行するにあたってセキュリティを懸念する発言をとりあげています。

データセンターは国内、管理者は海外？

それはある参加者の次のような指摘でした。

One attendee noted that his agency is working with a cloud provider, Hewlett Packard/EDS, which has its cloud computing resources in the U.S., but systems administrators in other countries such as Argentina, Brazil, Malaysia and Uruguay.

ヒューレット・パッカード/EDSと協業している企業の顧客だという参加者は次のように指摘した。それは、米国内にクラウドコンピューティングを所有しているけれども、そのシステムアドミニストレータはアルゼンチン、ブラジル、マレーシア、ウルグアイといった他国にいると。（太字は新野による）

そして、政府の要件を満たすというクラウドは本当に信頼できるのか？ と問うています。

これに対して「政府内の誰と話しても、要件としてデータは国内になければならないとしています」と、NIST（米国立標準技術研究所）のコンピュータセキュリティ部門 シニアコンピュータサイエンティストのPeter Mell氏は答え、次のように続けています。

“What is implicit there is that the systems administrators will be in the U.S., which as you pointed out is not always the case,” Mell said.

それは暗黙のうちに、システムアドミニストレータも米国内にいるべきだとしています。あなたが指摘したケースは通常のケースではないでしょう。あなたが指摘したように、必ずしもそうなっていないのが現状でしょう。

データセンターの管理者はそのデータセンター内に勤務している、普通はそう考えます。しかし現実にはリモートで管理されているのだ、ということは指摘されてみればたしかにそういうケースがあるかも、と気付かされます。

サーバやデータセンターが仮想化していくということは物理的な存在と切り離されていくことですから、技術的な進化とオフショアの発達によってこういうことがこの先さらに一般化してもおかしくないのでしょう。

この記事は、明治大学法学部教授 夏井高人氏のブログで紹介されていたのですが、夏井氏は「米国：クラウドコンピューティングの本質に気づくのが遅すぎる」とばっさり斬っています。

政府の情報や個人情報などセキュリティ要件の高いデータに対しては、その保存先であるクラウドがブラックボックスのままでいいのか、という懸念は今後高まってくるのかもしれません。