IT総合情報ポータル「ITmedia」 | ITとビジネスのニュース専門サイト「ITmedia News」 | 企業のためのIT情報サイト「ITmedia エンタープライズ」 | IT製品導入支援サイト「TechTargetジャパン」 | 経営者とCIOのコミュニティー「ITmedia エグゼクティブ」 | PCとMacの専門サイト「ITmedia +D PC USER」 | 携帯、スマートフォンの専門サイト「ITmedia +D Mobile」 | 電子書籍の専門サイト「ITmedia eBook USER」 | デジカメの専門サイト「ITmedia デジカメプラス」 | AV機器の専門サイト「ITmedia +D LifeStyle」 | 旬なモノネタ「ITmedia ガジェット」 | ニコ生、Ustreamの動画番組表「ライブガイド」 | ビジネスブログ・メディア「ITmedia オルタナティブ・ブログ」 | ちょっと気になるネットの話題「ねとらぼ」
Azureの鼓動:ITmediaオルタナティブ・ブログ (RSS) Azureの鼓動

クラウド戦役をZガンダム視点でわかりやすく解説するブログ+時々書評。

なんと!私の情報も漏えいした4万9159人の中に含まれていたらしい。
昨日ご担当の方から取り急ぎお詫びの旨ということで登録していた携帯番号宛に
ご連絡があり、詳しい状況は追って書面で連絡するとのこと。
対応は一貫して丁寧で、初動は早かったように思う。
おそらくこのような事態を想定した対応マニュアルなどができているのだろう。

本件、起こってしまったことは仕方ないしここでどうこう言うつもりはないが、
以前から問題になっていたデータの管理について改めて考えさせられた。

顧客情報をクラウドに置く不安。国外の、しかも場合によっては
世界中のどこにあるか物理的な場所を一切知らされないところに
重要な情報およびそれを扱うアプリケーションを置くことはできない、
というお話は、お客様先でよく議論になるテーマだ。

そしてその議論は必ず「人の問題」で決着するが、もう少し深掘って考えてみたい。
今回のケースでは、バックアップ業務を担当していた方が、情報を顧客情報と知って
持ち出し、名簿業者に販売したという報道がなされている。アクセスログをとったり
サーバールームへの入退室を厳しく管理することが常套手段であるが、残念ながら
防止策としての効果は弱い。「ここまで管理されていたら絶対に足がついて
つかまるに違いない」と思わせるのが精一杯である。

「人の問題」であるならば、担当者が「これは顧客データだ。携帯番号もある。
売ればカネになりそうだ。データを持ち出したい。幸いにもアクセス権をもっている!」と
そもそも思いにくいような仕組みにはできないものだろうか?

ここでは、「情報とメタデータが紐付かない仕組み」を考えてみたい。

そもそもの原因は、担当者がそのデータを「顧客情報」と知っていたことにある
といえなくはないか。彼の頭の中では持ち出したデータに顧客情報という
メタデータ(ここでは情報の意味合いを示す何か程度の定義)がついていたのだろう。
例えば、オペレーターが日本語の読めない外国人スタッフであった場合、
「何かのリスト」であるとしか認識できないだろう。短絡的な思いつきレベルでも、
社会知識や文化的背景の異なる担当者が管理することで、「価値がありそうだから
盗んでやろう」という悪意が芽生える確率を抑えられるのではないかと思う。

次にシステム的な仕掛けで、データが細かくパーティション分割されていて、
復元に手間がかかる仕掛けだったとするとどうだろうか?世界中のどこかにある
数千台、数万台、数百万台のサーバーに散らばっているカケラを運良く入手
できたとしても、「これは顧客データだ。150万件もある」というメタデータがついて
いないその断片の価値は低く、リスクを冒してまで「売って一儲けしてやろう」
という判断にはなりにくいだろう。

さらに進めて、人がデータを管理する接点をなくすことを考えられないだろうか。
データはテープやCD-ROMに保管されるのではなく、冗長性を持ったストレージに
保管されていて、どこかでディスク障害が起これば決められた多重度を
自動的に保つ仕掛けがあり、かつ、そのストレージが世界中に散らばっていれば、
テープなどのメディアを洞窟に保管するより消失の可能性は減らせるだろう。
しかも、人が介在しないので、「データを盗もう」と思いつく接点がない。

このブログを読まれている方はすでにお気づきの通り、これはマイクロソフトや
Google、Amazonが展開しようとしているクラウドコンピューティングの
基本アーキテクチャである。各データセンターのメンテナンス要員は、
データのカケラを管理するのであって業務上意味のあるひとまとまりの情報を
管理しているわけではない。(ようなアーキテクチャをとることもできる)
そもそもデータの内容に興味を持たないという点は、同じデータセンターを
利用している他社から見ても同様だ。

どうだろうか、情報漏えいの原因を「人」に帰結させるのであれば、
データと人の接点が少ないクラウドの世界の方が、よほど向いているようにも思える。
むろん一朝一夕にコンセンサスが広がって法律面などの整備が追いつくわけではないが
近い将来機密データはあえてクラウドに、という流れができるかもしれない。

ちなみに、漏えいしたと思われるタイミング以降、何件か私の携帯宛に
かかってきた勧誘電話の中から、ブロードブレインズという会社の方に
情報の入手先聞いてみると有限会社ビジネスプランニングという名簿業者だと
お答えいただいた。ビジネスとして正規に入手した彼らに罪はないのだろうが、
Webで検索しようとしてみると、Google sudgest先生がいろいろ教えてくれる。
同様に困っている人が多いということか。

類似した事件は多々あるが、一人の担当者を処分すればよい、というわけではないと思われる。
このラーニングを活かして、世の中にデータ管理レベルの向上に取り組む流れが
少しでも芽生えてくれば、私の迷惑電話対応時間も報われることだろう。

砂金 信一郎
2009/04/09 10:08:35
Comment(1)
trackback(2)

Special

- PR -
最新の投稿
コメント
Jesse 2009/05/08 14:34

>情報とメタデータが紐付かない仕組み
>データが細かくパーティション分割されていて、
>さらに進めて、人がデータを管理する接点をなくすこと
をいずれも実現していて、クラウドコンピューティングのセキュアな利用にピッタリのソリューションがありました。
http://www.dnp.co.jp/CGI/bf/ss/products/viewer.cgi?mode=detail&current_seq=7


コメントを投稿する
メールアドレス(必須):
URL:
コメント:
トラックバック

http://app.blogs.itmedia.co.jp/t/trackback/77444/19258833

トラックバック・ポリシー

» このブログのTOP

» オルタナティブ・ブログTOP

プロフィール

砂金 信一郎

砂金 信一郎

マイクロソフトでクラウドコンピューティングやWebサービスを中心とした啓蒙活動を行うエバンジェリスト。

詳しいプロフィール

最近のコメント
カレンダー
2012年2月
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29      
カテゴリー
エンタープライズ・ピックアップ

news094.gif 富士通元社長の山本卓眞氏が残した次代へのメッセージ
富士通の社長、会長を務めた山本卓眞氏が亡くなった。哀悼の意を込めて、日本のIT産業界の大御所が残した次代へのメッセージを紹介しておきたい。(2/6)

news094.gif Facebook就活はもう古い?
約260人のブロガーが、ITにまつわる時事情報などを日々発信しているビジネス・ブログメディア「ITmedia オルタナティブ・ブログ」。その中から今回は「就活」「都心の雪」「ソーシャルメディア」などを紹介しよう。(2/4)

news094.gif 東北をコットンの生産地としてブランディングしたい──リー・ジャパン・細川取締役
塩害に強い綿の生産で東北に新たな産業を作りたい。オーガニックコットンの採用など、環境負荷を下げるジーンズ生産に取り組んできたリー・ジャパンの新たなチャレンジとは──。(1/30)

news094.gif 東北から始まるイノベーション
企業のICTを活用と若手IT技術者による東北発のイノベーションが、中長期的な震災復興の鍵となる。(1/27)

news094.gif 貧困国の雇用を創出する印刷屋、丸吉日新堂印刷の挑戦
全国から約2万7000件の名刺制作を受注をする札幌の小さな印刷会社の成功の秘密は、地道な社会貢献にあった。(1/16)

オルタナティブ・ブログは、専門スタッフにより、企画・構成されています。入力頂いた内容は、アイティメディアの他、オルタナティブ・ブログ、及び本記事執筆会社に提供されます。

Special

- PR -
サイトマップ | 利用規約 | プライバシーポリシー | 広告案内 | お問い合わせ