オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >

身の周りのおもしろおかしい事を探す日々。ITを中心に。

クラウドの輸出規制?googleがイランからのGAEへのアクセスをブロック

»

googleグループにこんな投稿を見つけました。

『Google blocks access to GAE from Iran, possibly other countries - Google App Engine(Tue, 25 May 2010 17:58:23 -0700 (PDT))』
https://groups.google.com/group/google-appengine/browse_thread/thread/64f851bed71ff25d

あるユーザの質問

「なんかGAEにつながらないんですが(エラー内容:あなたの国からの接続は許可されていません)」

As of recently (last few days) users accessing our service are getting:

---

Forbidden

Your client does not have permission to get URL (...) from this
server. (Client IP address: 91.98.x.y)

You are accessing this page from a forbidden country.

---

GAEのDeveloper Programs Engineerの回答(赤太字強調は筆者)

「確認させてください。アメリカには輸出に関する法律があり、イランやスーダンや北朝鮮やキューバといった国に対して我々はサービス提供ができません。私がオバマ政権に規制を解除させることができれば別ですが。」

Let me look into this. There are United States export laws that prevent us from serving countries such as Iran, Sudan, North Korea and Cuba, but if I recall correctly the Obama administration lifted these controls on some of the countries.

googleなどアメリカの企業はアメリカの輸出に関する法律に従い、イラン等の国に対してクラウドサービスの提供を停止することがあるようです。ただし「イランお断り」のようにわかりやすい文句がないため、私は今どのようなクラウドサービスが輸出規制について取り組んでいるか把握していません。

私が唯一それらしいものを把握している例で、AmazonのAWSのCustomer Agreementを見てみます。

『AWS Customer Agreement』
http://aws.amazon.com/agreement/

13. US Government License Rights; Import and Export Compliance

13.1. U.S. Government License Rights. All Services provided to the U.S. Government are provided under the commercial license rights and restrictions generally applicable under this Agreement.

13.2. Import and Export Compliance and Restrictions. You shall, in connection with your use of the Services or the Amazon Properties, comply with all applicable import, export and re-export control laws and regulations of any country, including the U.S. Export Administration Regulations, the U.S. International Traffic in Arms Regulations, Council Regulation (EC) No 428/2009 on the control of exports of dual-use items and technology, and country-specific economic sanctions programs or embargoes adopted against countries or individuals under any applicable national or international legislation, including any measures implemented by the U.S. Office of Foreign Assets Control.

難しい英語で書いてありますが、がんばって読むと「合衆国を含むいろんな輸出規制の枠組みに従ってね。」ということのようです。

クラウドサービスではないのですが、JavaのJREについてはこういった記載があります。

『禁輸国以外の国民が、禁輸国内で Java Runtime Environment をダウンロードすることはできますか。』
http://www.java.com/ja/download/help/error_embargoed.xml

禁輸国以外の国民が、禁輸国内で Java Runtime Environment をダウンロードすることはできますか。
Sun では、輸出規制を遵守するため、米国により禁輸国として定められている国内のいかなる人物または団体との商取引も行わないことを方針としています。そのため、ダウンロードの要求を行ったのが禁輸国以外の国民であるかどうかにかかわらず、電子メールアドレスのリバースドメイン名スクリーニングにより、ダウンロードの要求が禁輸国から発信されていることが確認された場合、その要求は処理されません。

イラン等に行って実験してきたわけではありませんが、この文章から判断するとJREをダウンロードさせてくれない状況がありそうに思います。

輸出規制には2種類あって、ひとつは物資そのものを渡してはいけないものです。これは大量破壊兵器の製造に用いられたするおそれのある品目をみすみす輸出しないことを意図しています。もういっぽうが経済制裁の意味合いで行うものです。これは経済的な圧力をかけることで意思を曲げさせ、大量破壊兵器の開発を中止したり、保有しているものを放棄させたりする目的があります。

前者の規制については高性能な工作機械やスパコン等の輸出規制が挙げられます。(参考:『東芝機械ココム違反事件 - Wikipedia』 )

クラウドサービスの提供禁止については主に後者、経済制裁の意味合いで行うものがほとんどであると思われます。今のところそこまでパワフルなサービスは提供されていないからです。また、インターネット回線の速度で行えることなどしれているということもあるかもしれません。だからといって軽んじて良いわけではなく、クラウドサービスの能力が悪用される事例が徐々に確認されつつあります。

私の大好きなブログ、Cyberlawにはこのようなエントリが投稿されていました。

『クラウドコンピュータはDoS攻撃のための強力な武器となり得るとの指摘: Cyberlaw』 http://cyberlaw.cocolog-nifty.com/blog/2010/08/dos-9da9.html

そして,仮想マシンは,理論上,何万台でも同時に支配することが可能なので,今後のDDoS攻撃の破壊力は驚異的なものとなる。

例えば盗難したクレジットカード番号等で大量のインスタンスを起動してDDOS攻撃を行えば驚異的な性能を発揮することでしょう。AnimotoがRightScaleのシステムを使って数日で4000台ものインスタンスを増やしたという事例は有名です。ひとつのクラウド事業者で行えば異常検知のような仕組みが有効に機能するかもしれませんが、多数のクラウド事業者から少しずつリソースを借りる場合には事業者の努力による検知が難しく、被害が発生してあちこちに確認依頼メールを送るということになるかもしれません。

なおCyberlawの同エントリにはこのような意見も掲載されています。

パブリッククラウドコンピューティングサービスの中には,様々なタイプのサービスを提供するものがあり,その中にはグリッドなどの並列処理による超高速演算機能を提供するサービスを提供するものもある。そのような超高速演算機能サービスを利用すれば,かなり高度な暗号でも簡単に解読されてしまうのではないかという指摘は以前からなされていた。

パブリッククラウドコンピューティングサービスを用いて相当に高度な演算を行うことができるとすれば、それは輸出規制の「経済制裁」ではなく「物資の規制」に係わる問題となってきます。仮にスパコンと言われるような非常に高性能なコンピュータと同等の計算能力がインターネットを通じて誰でも利用可能になるとすれば、兵器の開発、暗号解読、戦争の作戦行動のシミュレーション、等々どのようなことに使われるかわかりません。

もっとも、コンピューティングリソースがあったとしてもソフトウェアを開発する能力がなければ何のシミュレーションも行えません。例えばネットで爆弾の作り方を覚えたとしても、材料がなければ爆弾は作れません。我が国では薬局等で簡単に危険な材料が買えないよう、薬品の種類に応じて身元確認が必要とされています。

しかしソフトウェアの開発でクラウドと回線が準備された場合、「材料」というのは技術者だけです。例えばシミュレーションの理論面を考える人と、アルゴリズム面を考える人がいたとして、彼らは爆弾の材料と違い「輸送」しなくてもインターネットによりコミュニケーションを取ることができます。また、経済制裁が発動された国においては船舶の積荷の検査等が行われるのに対し、インターネット上の通信は暗号化することができます。暗号は解読することが可能ですが労力を伴いますし、そもそも先進国では通信の秘密が重いものとして受け止められています。

おりしも日本人の方がパソコンで5兆桁の計算を実行したことで円周率計算の世界記録を更新したかもしれないというニュースが出ています。Alexander J. Yeeさんの開発したy-cruncherという円周率計算アプリを使いパソコンで実現されたそうです。パソコンはそれなりにお大尽構成ではありますがネットで一通り購入できそうな構成のように見受けられます。

【パソコンスペック】
OS:Windows Server 2008R2
CPU:X5680(3.33GHz)x2
MEMORY:96GB(8GBx12)@1066MHz(SAMSUNG)
HDD:1TB(HDS721010CLA332(HGST)x1)(BOOT)+6TB(ST32000542AS(Seagate)x3 Raid-0)(Data)+32TB(ST32000641AS(Seagate)x16)(Swap)
MOTHERBOARD:Z8PE-D12(ASUS)
RAID:MegaRAID SAS 9260-8i(LSI)x2

このy-cruncherの開発者のような方が、それなりの理論を持つ学者さんと結託すればクラウド環境で様々なことが行われると思われます。決して悪いことだけではなく、これまで自国のスパコンを買えなかったような貧困国でコンピュータ教育が行われるようになるなど好ましいことも多いでしょう。しかしながら先進国では基本的に通信の秘密が重いものとされるということと、コンパイルされたソースは何を行っているかを解析するのに時間がかかること、通信を監視できたとしてもインプットとアウトプットのデータが何を指しているか把握が難しいこと、雑多な計算の中に混ぜ込まれた場合に判別が難しいこと、など考えると非常に攻め手有利、守り手不利の危うい状況であるように感じられてなりません。

実効的には、危険性の高い国からの通信を一切遮断する、すなわち冒頭でとりあげたGAEのように「クラウドコンピューティングからの締め出し」を行うしかないのではないかと思っています。(それでも第三国の協力者がproxyを立てたら終わり)

なお補足ながらアメリカの輸出に関する法制度では「再輸出」ということが考慮されています。例えばアメリカ製品を日本が仕入れて第三国に販売するケースで、もし第三国のテロリストに渡ってしまった場合、日本の輸出者がアメリカから怒られることになります。もちろんアメリカ国内の法は日本国民に影響力を及ぼしません。しかしこんな大技が存在します。

『米国製品再輸出規制調査 - 北米 - ジェトロ』
http://www.jetro.go.jp/world/n_america/qa/02/04A-000946

米国以外の個人・法人が、米国法を守っている理由は、違反した場合にDPL(Denied Persons List―EAR違反者リスト)により公表され、違反者は指定期間中、米国原産品目の取扱いが出来なくなり、期間終了後も名誉と信用回復には時間がかかるためです。

米国のルールを守らなかった会社は「アメリカから要注意企業とみなされる」可能性があります。すると取引に多大な影響が出ることでしょう。もちろん大量破壊兵器の拡散防止は世界的な取り組みですし、そもそも日本も国連決議でテロリスト指定された個人や団体に輸出をしないことを閣議了解する仕組みになっています。(アメリカの規制のほうが強力で広範なためややこしいのですが。)

また、大丈夫そうな国にいるテロリストとのお付き合いもOUTとされますので、冒頭のGAEのように特定の国のIPアドレスをブロックしたからといって安心というわけではありません。サービスの利用申し込みの内容を精査する必要性が生じてくるでしょう。

偽証されたとしたら?偽証されにくい仕組みをつくらなくてはなりません。

クラウドサービスは申し込んですぐにリソースがもらえるからいいのにそんなことしたら……?そういった利便性を維持しつつ、不正利用をなくすためのたゆまざる努力が必要です。

日本でクラウドコンピューティングサービスを提供する場合にも、サービスを購買する人物や団体がどのような素性なのかを調べる必要性があるように思います。それでいて利便性を失わないようにするための仕組みづくりが必要な時代になっています。

Comment(0)

コメント

コメントを投稿する