Comments
Description
Transcript
C - 慶應義塾大学学術情報リポジトリ(KOARA)
Title Author Publisher Jtitle Abstract Genre URL Powered by TCPDF (www.tcpdf.org) 個人情報漏洩のセキュリティを勘案したクラウドコンピューティングの評価 服部, 隆尚(Hattori, Takahisa) 中野, 冠(Nakano, Masaru) 慶應義塾大学大学院システムデザイン・マネジメント研究科 修士論文 (2011. 3) 近年、サービス形態の多様化によって情報システムは複雑化し、システムの開発や保守、運用管 理のコストが爆発的に増加している。情報システムのコスト削減可能なサービス提供形態として クラウドコンピューティングが注目されているが、積極的な採用には至っていないのが現状であ る。そのため、クラウドコンピューティングの採用に関する効果を定量的に評価しそのメリット を明確にする必要がある。 従来研究では、クラウドコンピューティングの評価をする際には、実コストを比較するものや、 企業の規模や仕事の重要度をもとに行っているものが見られる。しかしながら、クラウドコンピ ューティングの採用にとって一番重要なファクターはセキュリティのリスクであり、これを考慮 することは避けて通れない。 本研究では、セキュリティに着目し、クラウドコンピューティングに特化した個人情報漏洩のリ スクをコストの観点で定量化し、クラウドコンピューティングの評価を行う。また、クラウドコ ンピューティング活用の促進のため、定量化したリスクを補償するサービスモデルを提案する。 評価はクラウドコンピューティングの配置モデル毎にリスク要因の発生確率とそれに伴う損害額 からリスクを算出し、従来のシステムコストと比較することによって行う。また、リスクに対す る保険料を決定し、同様にして評価を行う。 評価の結果、個人情報漏洩のリスクを勘案した場合においても、取扱う情報の件数、機微情報度 ・本人特定容易度といった情報の質、企業の社会的責任度・事後対応評価の内容によっては、十 分なコスト削減効果を得られることが明確になった。それに加え、クラウドコンピューティング の各配置モデルにおいて、より効果的な選択をすることが可能となった。つまり、個人情報漏洩 のリスクを勘案したクラウドコンピューティングの評価を行う場合は、予め取扱う情報を精査す ることによって、企業のニーズにあった選択が可能であることがわかった。また、リスクを補償 するサービスモデルについても、検討の余地は十分にあることがわかった。 Thesis or Dissertation http://koara.lib.keio.ac.jp/xoonips/modules/xoonips/detail.php?koara_id=KO40002001-00002010 -0042 修士論文 2010 年度 個人情報漏洩のセキュリティを勘案した クラウドコンピューティングの評価 服部 隆尚 (学籍番号:80933464) 指導教員 教授 中野 冠 2011 年 3 月 慶應義塾大学大学院システムデザイン・マネジメント研究科 システムデザイン・マネジメント専攻 Master’s Dissertation 2010 Evaluating Cloud Computing by Considering Security of Identity Theft Takahisa Hattori (Student ID Number:80933464) Supervisor Masaru Nakano March 2011 Graduate School of System Design and Management, Keio University Major in System Design and Management 論 学籍番号 80933464 文 要 氏 名 旨 服部 隆尚 論 文 題 目: 個人情報漏洩のセキュリティを勘案したクラウドコンピューティングの評価 (内容の要旨) 近年、サービス形態の多様化によって情報システムは複雑化し、システムの開発や 保守、運用管理のコストが爆発的に増加している。情報システムのコスト削減可能な サービス提供形態としてクラウドコンピューティングが注目されているが、積極的な 採用には至っていないのが現状である。そのため、クラウドコンピューティングの採 用に関する効果を定量的に評価しそのメリットを明確にする必要がある。 従来研究では、クラウドコンピューティングの評価をする際には、実コストを比較 するものや、企業の規模や仕事の重要度をもとに行っているものが見られる。しかし ながら、クラウドコンピューティングの採用にとって一番重要なファクターはセキュ リティのリスクであり、これを考慮することは避けて通れない。 本研究では、セキュリティに着目し、クラウドコンピューティングに特化した個人 情報漏洩のリスクをコストの観点で定量化し、クラウドコンピューティングの評価を 行う。また、クラウドコンピューティング活用の促進のため、定量化したリスクを補 償するサービスモデルを提案する。 評価はクラウドコンピューティングの配置モデル毎にリスク要因の発生確率とそ れに伴う損害額からリスクを算出し、従来のシステムコストと比較することによって 行う。また、リスクに対する保険料を決定し、同様にして評価を行う。 評価の結果、個人情報漏洩のリスクを勘案した場合においても、取扱う情報の件数、 機微情報度・本人特定容易度といった情報の質、企業の社会的責任度・事後対応評価 の内容によっては、十分なコスト削減効果を得られることが明確になった。それに加 え、クラウドコンピューティングの各配置モデルにおいて、より効果的な選択をする ことが可能となった。つまり、個人情報漏洩のリスクを勘案したクラウドコンピュー ティングの評価を行う場合は、予め取扱う情報を精査することによって、企業のニー ズにあった選択が可能であることがわかった。また、リスクを補償するサービスモデ ルについても、検討の余地は十分にあることがわかった。 キーワード(5 語) クラウドコンピューティング、セキュリティ、個人情報漏洩、リスク、コスト SUMMARY OF MASTER’S DISSERTATION Student Identification Number Title 80933464 Name Takahisa Hattori Evaluating Cloud Computing by Considering Security of Identity Theft Abstract Information system is providing a variety of services today which has resulted in dramatic increase in the complexity and the cost of developing, maintaining, operating the system. Cloud computing is a feasible solution to reduce such increased cost of information system and therefore acquiring much attention from market. However, the fact is that it has not been widely introduced to businesses yet. The reason is that clients are reluctant to introduce cloud computing because they are afraid of potential leakage of personal information from servers that are remotely managed by the third party. The previous researches evaluated benefits of cloud computing based on the cost of acquisition, size of company or degree of importance of tasks managed by the system. However, the most critical factor to consider for introducing cloud computing is how to secure personal information. Therefore, this research aims to evaluate cloud computing from the viewpoint of personal information security. I designed a model to quantify the risk of personal information leakage associated with cloud computing and calculate the cost to mitigate the risk for evaluating the total benefit. I also propose a business model that guarantees the risk of personal information leakage for further promotion of cloud computing. According to each deployment model of servers, I calculated the risk using probability of occurrence of personal information leakage multiplied by potential damages and then compared the total cost of cloud computing with that of conventional system. I estimated an insurance rate so as to transform the risk into the cost to cover the damage. The results showed that we could expect enough cost reduction effect in cloud computing when we consider personal information security. Value of cloud computing varies greatly due to quantity of information and quality of information such as criticality as well as corporate social responsibility and customer service quality of an enterprise. Moreover, I could design an effective selection model of servers for cloud computing. Furthermore, I found it a feasible business to provide risk mitigation service for promoting introduction of cloud computing. Key Word(5 words) Cloud Computing, Security, Identity Theft, Risk, Cost 目次 第 1 章 はじめに................................................................................................................... 1 1.1 研究の背景 ................................................................................................................. 1 1.2 研究の目的 ................................................................................................................. 2 1.3 従来の研究 ................................................................................................................. 3 1.4 研究の目標 ................................................................................................................. 4 1.5 論文の構成 ................................................................................................................. 5 第 2 章 クラウドコンピューティングとその問題................................................................ 6 2.1 クラウドコンピューティングとは ............................................................................. 6 2.2 クラウドコンピューティングのサービスモデル ....................................................... 8 2.3 クラウドコンピューティングの配置モデル .............................................................. 9 2.4 クラウドコンピューティングの問題 ........................................................................11 第 3 章 情報漏洩リスクとクラウドコンピューティングの評価方法 ................................ 17 3.1 評価の概要 ............................................................................................................... 17 3.2 クラウドコンピューティングで削減可能なコストの算出方法 ............................... 18 3.3 リスク要因の発生確率の算出方法 ........................................................................... 19 インターネットにおける情報漏洩発生確率の算出方法 ....................................... 19 3.3.1 3.3.2 法規制における情報漏洩発生確率の算出方法 ......................................................... 20 3.3.2.1 法規制による情報取得回数について.............................................................. 21 3.3.2.2 サーバの一致確率について ............................................................................ 22 3.4 損害額の算出方法 .................................................................................................... 24 第4章 クラウドコンピューティングの評価 ..................................................................... 29 4.1 評価の対象システム ................................................................................................. 29 4.2 クラウドコンピューティングによって削減可能なコストについて ........................ 29 4.3 リスク要因の発生確率について............................................................................... 33 4.3.1 インターネットにおける情報漏洩の確率 ......................................................... 33 4.3.2 法規制による情報漏洩の発生確率 .................................................................... 33 4.4 損害額の評価 ............................................................................................................ 41 4.5 リスクの評価 ............................................................................................................ 42 4.6 クラウドコンピューティングの評価 ....................................................................... 45 4.7 考察 .......................................................................................................................... 47 第 5 章 クラウドコンピューティング導入のための提案................................................... 48 5.1 クラウドコンピューティング導入のための提案 ..................................................... 48 5.2 リスクにおける保険料率について ........................................................................... 49 5.3 リスクにおける保険料の算出 .................................................................................. 49 5.4 リスクを補償したクラウドコンピューティングの評価 .......................................... 51 5.4 考察 .......................................................................................................................... 52 第 6 章 結論 ........................................................................................................................ 54 6.1 結論 .......................................................................................................................... 54 6.2 今後の課題 ............................................................................................................... 55 参考文献 ............................................................................................................................... 56 謝辞 ....................................................................................................................................... 59 第1章 1.1 はじめに 研究の背景 情報システムは、企業活動において必要不可欠なものとなってきている。サ ービス形態の多様化によって情報システムは複雑化し、システム開発やメンテ ナンス、運用・保守のコストが爆発的に増加している。企業活動をする上で、 情報システムはサービス提供の手段であり、情報システムに関わるコストを削 減することは非常に重要である。 昨今、情報システムのコスト削減可能な提供形態としてクラウドコンピュー ティングが注目されている。図 1 に示すとおり、日本企業の約 60%がクラウド コンピューティングを利用もしくは利用を検討している。クラウドコンピュー ティングとは、信頼に足るコンピューティングリソース(ネットワーク、サー バ、ストレージ、アプリケーション、サービス等)の集積を共有し、高い利便 性をもってオンディマンドベースでアクセス可能なモデルであって、システム 管理やサービス提供者とのやり取りを最小化し、迅速に提供されるものである [1]。企業はこのクラウドコンピューティングに高い関心を抱きながらも積極的 な採用には至っておらず、日本企業のクラウドコンピューティング採用率はア メリカの 56.2%と比べ 15%ほどにとどまっている[2]。それは、コストダウンの 有効性が不透明である、障害発生時に迅速な対応ができない可能性がある、利 用者と提供者の責任分界点がはっきりしていない、など様々な要因があるが、 中でも大きなものは図 2 に示すとおりセキュリティに関する不安である。クラ ウドコンピューティングでは、企業で取扱う社内情報(顧客情報、業務情報、 等)をサービス提供会社のデータセンターに配置することになる場合が多いた め、自社で行うセキュリティ対策には限界があり、情報漏洩の危険性が従来の システムより高いと考えがちである。また、他社のデータセンターに社内情報 を配置することによって、知らない間に社内情報が不正に利用されているかも しれないといった心理的要因も無視できない。そのため、現状では、クラウド コンピューティングというコスト削減の可能性があるサービスの選択肢がある 1 にも関わらず、従来の情報システムに依存してしまっている。 14.8% 日本 9.4% 33.2% 3.2% 1.1% アメリカ 38.3% 56.2% 11.0% 1.6% 0% 20% 40% 利用している/していた 利用の予定あり、時期未定 検討したが利用しない 図1 60% 15.0% 14.4% 1.8% 80% 利用の予定あり、時期も決定 検討中 検討していない 100% クラウドコンピューティングへの関心度 [出典]2010 年 総務省 「クラウドネットワーク技術に関する市場予測及び利活用実態」 図2 クラウドコンピューティングの不安要素 [出典]2009 年 経済産業省 「情報システム・ソフトウェアの信頼性及びセキュリティの取組強化に向けて」 1.2 研究の目的 企業で利用する情報システムが従来のものに依存したままであれば、今後よ 2 り一層複雑化していく情報システムの開発やメンテナンス、運用・保守に今ま で以上のコストが発生することは明らかである。そのため、本研究では情報シ ステムにおけるコスト削減手段としてのクラウドコンピューティングに注目し、 そのコスト効果を定量的に評価する。 1.3 従来の研究 本研究の目的から、クラウドコンピューティングのコストに言及し評価を行 っている従来の研究を概観する。クラウドコンピューティングは 2006 年に Google の CEO である Eric 氏が表現したことが始まりであり[3]、歴史が浅いた めクラウドコンピューティング採用に関する論文は数少ないが、クラウドコン ピューティングの利用したリソース(計算処理時間、ストレージ、ネットワー ク帯域など)に応じた料金を支払う、サービスインへの速さなどといった特徴 をもとに、評価しているものが見受けられる。 Rajkumar ら[4]は、クラウドコンピューティングのコスト効果を明らかにす るため、クラウドコンピューティングで利用する CPU の利用率から動的にコス トを算出する方法を提案している。クラウドコンピューティングでは、利用す るリソースの数によってコストが決定されるが、利用率から動的に算出するこ とによって、より大きなコスト効果をあげることができるとしており、実際の 事例から評価を行っている。 Michael ら[5]は、クラウドコンピューティングに移行すべきかどうかをネッ トワーク帯域、CPU(Central Processing Unit)、ディスクストレージの利用コ ストから判断する方法を提案している。従来のシステムでは、一部のリソース 限界によって他のリソースの能力が導入したコストに見合う分発揮できないこ とが多い。しかしながら、クラウドコンピューティングでは、利用したリソー スの能力のみコストとして換算することができるため、リソースの有効活用が 可能であり、コストの比較が可能であると述べた上で、クラウドに移行するべ きかどうかを生物学研究室の実験を例にクラウドコンピューティング採用の可 否の判断を行っている。 Rajkumar、Michael らの論文では、クラウドコンピューティングのサービス 3 利用時に予め提示されている利用料金をもとにコスト評価を行っている。しか しながら、セキュリティや仕事のプライオリティなど、その他の要因について の十分な議論がされていない。 Subhas ら[6]は、クラウドコンピューティングの採否について様々な指標を元 に決定する方法を提案している。具体的には、サーバ数、サーバ利用率、シス テムの利用者数、データ量、データの重要度、仕事の重要度、国外での利用数、 IT 歳入に分類、各項目の内容をもとにポイントを設定し、提案する公式から算 出している。その結果からクラウドコンピューティングを「採用するべき」 「採 用するかの判断には詳細な調査が必要である」 「採用するべきではない」に分類 できるとしている。また、クラウドコンピューティングにおける投資効果を、 ピーク時におけるサーバ稼働率、サービスインへの速度、顧客満足度から、 ROI(Return On Investment)モデルを用いて算出可能としている。その結果、 容易にクラウドコンピューティングの採否を決定できるが、企業ごとのカスタ ム設計や市場の動向により他の要素も十分検討し、加えて実際の産業データや 状態、状況で徹底的にテストされる必要があると述べている。 Subhas らの論文では、直接的なコスト以外の検討についてもクラウドコンピ ューティング採否にとっては重要であるとし、様々な指標を設定、採否の判断 をしている。しかしながら、クラウドコンピューティングの大きな不安要素で あるセキュリティについては言及されていない。クラウドコンピューティング の採否については、懸念されているセキュリティのリスクを明らかにした後、 従来システムと比較しメリットがあるかどうかを明確にすることが重要であり、 大きな課題であると考える。 1.4 研究の目標 本研究では、クラウドコンピューティングに特化した個人情報漏洩における リスクをコストの観点で定量化し、従来システムのコストと比較することによ ってクラウドコンピューティングを評価する。 4 1.5 論文の構成 第 2 章では、クラウドコンピューティングの特徴を明らかにした上で、個人 情報漏洩に関する問題を見える化する。 第 3 章では、第 2 章で見える化した問題をリスク要因とし、その発生確率や 損害額の算出方法を示す。 第 4 章では、第 3 章で示した算出方法と事例をもとに、リスクを決定し、従 来システムとクラウドコンピューティングとのコストを比較する。 第 5 章では、クラウドコンピューティングの採用に際し、第 4 章で定量化し たリスクを補償する方法を提案し、従来のシステムとコスト比較を実施する。 第 6 章では、本研究によって得られたことを結論としてまとめ、さらに今後 の課題について述べる。 5 第2章 2.1 クラウドコンピューティングとその問題 クラウドコンピューティングとは クラウドコンピューティングは、米国 NIST(National Institute of Standards and Technology:国立標準技術研究所)によって「クラウドコンピューティング とは、信頼に足るコンピューティングリソース(ネットワーク、サーバ、ストレ ージ、アプリケーション等)を共有し、高い利便性を持ってオンディマンドベー スでアクセス可能なモデルであって、システム管理やサービス提供者とのやり 取りを最小化して、迅速に提供されるものである。」と定義されている[1]。また、 クラウドコンピューティングは本質的な 5 つの性質を持つ。 1) オンデマンド・セルフサービス(On-demand self-service) 利用者は、サービス提供者の人的関与を必要とせず、自動的にコンピューテ ィングリソース(サーバやネットワーク、ストレージ)を利用できる。 2) 広範なネットワークによる接続(Broad network access) ネットワーク上でサービスが提供され、標準的な仕組みにより多様なクライ アントプラットフォームからアクセスできる。 3) リソースの共有(Resource pooling) サービス提供者のリソース(処理能力、メモリ容量、ストレージ、ネットワ ーク帯域幅等)が、複数の顧客に対してマルチテナントモデルで提供される ように確保されており、顧客のニーズに従って物理的・仮想的な資源が動的 に割り当てられる。 4) 迅速な順応性(Rapid elasticity) リソースの量を顧客の利用状況に応じて柔軟にスケールイン・スケールアウ トされて提供される。また、顧客がサービス利用に必要なリソースを必要な 量利用することができる。 5) 従量課金サービス(Measured Service) クラウド提供者がリソースの利用状況を計測し、制御・最適化する。また、 リソースの利用状況を利用者に報告し、その使用量に応じて課金する仕組み 6 がある。 企業が利用する情報システムの多くは、特定のデータセンターに配置された 自社が管理するサーバを専用線などのセキュアなネットワーク回線を介して、 各々の事業所から利用してきた。情報システムの導入時には、必要なハードウ ェアやソフトウェア、電源設備や空調設備などの物的資源や開発する人員に投 資し、開発してきた。加えて、障害対応や媒体管理などの運用、ハードウェア の保守対応などもあわせて実施してきた。 これに対し、クラウドコンピューティングでは、企業がハードウェアやソフ トウェアを保有・管理せず、サービスの提供者が保有・管理するシステムをサ ービスとして利用できる。企業がクラウドサービスを利用するために必要なも のは、クラウドサービス提供者が保有・管理するサーバまで接続する端末とネ ットワーク回線などの接続環境のみである。そして、利用者はクラウドサービ スの利用状況(利用時間やリソースの占有度合等)に対して利用料金を払う携 帯である。そのため、利用者は情報システムの開発からサーバの運用・保守な どの開発・管理業務なども必要がなくなる。クラウドコンピューティングがコ スト削減の大きな可能性をもつのは、端末と接続環境の準備ができれば、一定 の利用料を支払うだけで、データセンターで実施してきた開発、メンテナンス、 保守・運用などの準備が不要になり、自社で開発してきた情報システムと同等 の機能を有するサービスを利用できることにある。図 3 にクラウドコンピュー ティングの概念を示す。 7 大規模サーバ群 Cloud(雲) サービスの提供 図3 2.2 運用管理からの解放 必要なリソースを 必要なだけ提供 クラウドコンピューティングの概念 クラウドコンピューティングのサービスモデル クラウドコンピューティングには図 4 に示す 3 つの主要なサービスモデルが 存在し、利用者はニーズにあったサービスモデルの選択が可能である。サービ スモデルによって、情報システムにおける投資効果やシステムの拡張性も大き く変化する[7]。 1) SaaS(Software as a Service) アプリケーションソフトウェアを端末にインストールして使うのではなく、 その機能がネットワークを介して提供されるシステム形態である。多くの場 合、ユーザはウェブブラウザを使用し、ブラウザに展開されたさまざまなソ フトウェアをユーザが意識することなく自動的にダウンロードされ、インス トールされたソフトウェアに近いユーザビリティのもとで使用可能である。 2) PaaS(Platform as a Service) SaaS のように使用されるアプリケーションソフトウェアの作成、カスタマ イゼーション、保守自体をネットワークで行うことを可能にしたシステム形 態である。つまり、アプリケーションの開発環境、カスタマイゼーション機 8 能がサービスとして提供されている。 3) IaaS(Infrastructure as a Service) クラウドサービスで利用されている仮想マシン(サーバ)を利用者が直接操 作ができるもの。利用者は仮想マシン上で動作する OS(Operating System) を直接インストール、操作、あるいは、その OS 上で動作する任意のソフト ウェアのインストールを行うことができる。 SaaS HaaS アプリケーション ユーザ設定 OS/DBMS/開発環境 IaaS ユーザ設定 ハードウェア/ネットワーク 図4 2.3 クラウドコンピューティング サービスモデル クラウドコンピューティングの配置モデル クラウドコンピューティングは、サービス利用の実現方法として図 5 に示す 3 つの配置モデルと 1 つの複合モデルが存在する。 1) パブリッククラウド(Public cloud) 一般公衆や大きな産業体が利用可能であり、クラウドサービスを販売する組 織により所有されるクラウド基盤。 2) プライベートクラウド(Private cloud) 単一の組織によって運用されるクラウド基盤。その組織あるいは第三者によ って管理され、自社運用型と他社運用型が存在する。 9 3) コミュニティクラウド(Community cloud) 複数の組織により共有されるクラウド基盤である、共通した利害関係(ミッ ション、セキュリティ要件、ポリシー、コンプライアンスなど)を持つ特定 のコミュニティを支援するクラウド基盤。その組織群あるいは第三者によっ て管理され、自社運用型と他社運用型が存在する。 4) ハイブリッドクラウド(Hybrid cloud) 2 つ以上のクラウド(プライベート、コミュニティ、パブリック)から構 成されるクラウド基盤。それぞれは 1 つのクラウド実態ではあるが、標準技 術や独自技術により結び付けられており、データとアプリケーションの可搬 性を実現する。 パブリッククラウド プライベートクラウド コミュニティクラウド サービス提供者Zの所有する データセンターのサーバ 利用者Aの所有する データセンターのサーバ インターネット 専用線 利用者A、Bで共有する データセンターのサーバ インターネット 利用者A 利用者A 図5 利用者A 利用者B クラウドコンピューティングの配置モデル クラウドコンピューティングの多くはパブリッククラウドによってサービス が提供されている。しかしながら、既存システムとの連携を容易にする、セキ ュリティをより強化なものにするなど、企業のニーズによっては他の配置モデ ルを利用してサービスの利用をすることも可能である。 10 2.4 クラウドコンピューティングの問題 従来の情報システムからクラウドコンピューティングに移行、または新規シ ステムにおいてクラウドコンピューティングを採用した場合、配置モデルによ っては、従来の情報システムに比べて情報漏洩のリスクが増加する場合がある。 例えば、インターネット回線を利用するサービスにおいては、外部と物理的に は繋がっている状態でサービスを利用することになる。その場合、悪意のある 第三者が不正アクセスによって、社内情報を閲覧・改竄する可能性も無視でき ない。また、ネットワーク上を流れる情報を盗聴し、不正に情報を入手するこ とも不可能ではない。このように、クラウドコンピューティングを採用、移行 した結果、従来のシステムでは無視することができた情報漏洩のリスク要因が 増加する。そこで、クラウドコンピューティングの配置モデル毎にマインドマ ップを用いてリスク要因を見える化する。 1) パブリッククラウド パブリッククラウドは、インターネット回線を利用してからサービスを受 けるのが前提である。さらに、利用者はどこのデータセンターのどのサーバ で動作しているサービスを利用しているかを知ることができない。そのため、 利用者はインターネット回線を利用するリスクに加え、データセンターの選 択ができないことによる情報漏洩のリスクが発生する。具体的には、アメリ カ、イギリス、中国にデータセンターが所在する国は図 6 に示す法規制によ って、データセンターに配置したデータを強制的に閲覧・押収されてしまう 可能性がある。EU のデータ保護指令は、EU からクラウドコンピューティ ングのサービス利用する際に適用されるものであり、且つデータ保護を目的 とするものなので、セキュリティのリスクには関係しない。法規制によるデ ータの流出は、2009 年 4 月には米国テキサス州のデータセンター業「Core IP Networks LLC」は、FBI に予告なしに急襲され、全データセンターのシャ ットダウンの命令をうけ、機材の全てが押収されたという事例もある[8]。そ のため、パブリッククラウドにおける情報漏洩のリスク要因は図 7 に示すと おり、ネットワークからの情報漏洩と法規制が該当する。 11 図6 国境をまたぐデータ保存時の法的リスク [出典] 2010 総務省 「クラウドコンピューティング時代のデータセンター 活性化策に関する検討会 12 報告書」 クス リの 洩漏 報情 るけ おに ドウ ラク クッ リブ パ 7図 13 2) プライベートクラウド プライベートクラウドでは、自社もしくは特定の企業のデータセンターを 利用してクラウドサービスを実現する。つまり、端末とネットワーク回線を 用いてデータセンターのサーバで動作するアプリケーションを利用する形 態はクラウドコンピューティングといえるが、自社で情報システムの運用を しているため、リソースは利用者で全てコントロールが可能である。そのた め、セキュアなネットワーク回線を利用することも可能であるし、情報の所 在も明らかである。つまり、サービス利用形態がクラウドコンピューティン グであるが、システムの配置は従来のシステムと遜色がないといえる。その ため、プライベートクラウドに関しては、クラウドコンピューティング特有 のリスクはないといえる。 3) コミュニティクラウド コミュニティクラウドは、同様のミッションをもつ特定の企業群によって 形成するコミュニティで、データセンター、サーバを共同利用しサービスを 利用する。コミュニティクラウドでは、複数の企業がサービスを利用するた めに、予めデータセンターの場所やリソースの共有方法などを協議して決定 する。そのため、情報の所在地は全ての組織において明確となっている。し かしながら、日本全国から特定のデータセンターにあるサービスを利用する こととなるので、遠方の利用者に関しては、セキュアなネットワーク確保が できず、場合によってはインターネット回線を利用することがある。そのた め、コミュニティクラウドにおける情報漏洩のリスク要因は、図 8 で示すよ うな、ネットワーク上で発生するものが該当する。 14 クス リの 洩漏 報情 るけ おに ドウ ラク ィテ ニュ ミコ 8 図 15 4) ハイブリッドクラウド ハイブリッドクラウドでは、複数の配置モデルを同時に利用するため、扱 う配置モデルによって情報漏洩のリスクは変化し、扱う配置モデルに準じた 情報漏洩のリスクが発生する。しかしながら、ハイブリッドクラウドでは、 個人情報を扱うサービスをプライベートクラウドで実現することにより、情 報漏洩の危険性を回避することが可能である。同様にコミュニティクラウド を利用することによって、法規制による情報漏洩の危険性を回避することが 可能である。そのため、ハイブリッドクラウドの情報漏洩のリスクは配置モ デルによって決定できる。 抽出したリスク要因をもとに、クラウドコンピューティングの配置モデルに よる情報漏洩のリスク要因を表 1 の通り定義する。ハイブリッドクラウドに関 しては、利用する配置モデルと情報システムの利用方法によってリスクが変化 する。 表 1 情報漏洩におけるリスク要因 リスク要因 具体的事象 ネットワークを経由して、アクセ 不正アクセス ス制御やファイアウォールなどを i=1 破って進入し、情報を外部に漏 洩する バグ・ OS等のバグ・セキュリティホー セキュリティ ルなどによりWeb等から個人情 ホール 報の閲覧が可能となっていた i=2 ワーム・ ワーム・ウイルスの感染によっ ウイルス て、利用者が意図せず情報が漏 れてしまった i=3 設定ミス i=4 Webサーバ、アプリケーション サーバ等の設定ミスにより閲覧 が可能な状態になっている 法規制 i=5 データセンターが存在する国の 法規制の内容によっては、情報 の強制的押収や閲覧ができ、不 正に利用される パブリック クラウド j=1 16 プライベート クラウド j=2 コミュニティ クラウド j=3 ハイブリッド クラウド j=4 第3章 3.1 情報漏洩リスクとクラウドコンピューティングの評価方法 評価の概要 クラウドコンピューティングの情報漏洩におけるリスクを定量化するため、 各リスク要因の発生確率と損害額を決定し、リスクを算出する。また、クラウ ドコンピューティングの利用コストの一部として算出したリスクを加味し、従 来のシステムコストと比較をする。これにより、情報漏洩のリスクを勘案した 場合でも、クラウドコンピューティングが有用であるかどうかを明確にできる。 クラウドコンピューティングと従来システムを比較し、コストメリットがあ るかどうかは(1)式に示す通り実施されてきた。 TnonCC ≥ TCC j (1) TCC j = TnonCC − L j TnonCC :従来システムの年間コスト TCC j :配置モデル j におけるクラウドコンピューティングの年間コスト L j :配置モデル j のクラウドコンピューティングで削減可能なコスト クラウドコンピューティングのコストメリットを明らかにするためにとられ てきた方法の多くは、クラウドコンピューティングの利用料と、従来システム を開発するためのイニシャルコスト、管理・運用・保守におけるランニングコ ストを比較するものである。これに対し、本研究では、情報漏洩のリスクを加 味するため、(2)式で示すクラウドコンピューティングのコストにリスクを加算 することを提案する。(2)式では、クラウドコンピューティングの配置モデル j において削減可能なコストを明らかにし、その配置モデル j におけるリスク要因 i のリスクを加算している。つまり、情報漏洩のリスクを勘案し、クラウドコン 17 ピューティングのコスト評価を行う場合は、(3)式のようにクラウドコンピュー ティングによって削減可能なコストとリスクを比較する必要があり、これを評 価する。 n TnonCC ≥ TnonCC − L j + ∑ Pij Di (2) i =1 n L j ≥ ∑ Pij Di (3) i =1 Pij :配置モデル j におけるリスク要因 i の発生確率 Di :リスク要因 i における損害額 3.2 クラウドコンピューティングで削減可能なコストの算出方法 クラウドコンピューティングで削減可能なコストを算出するため、(4)式の通 り従来システムとクラウドコンピューティングのコストを比較し算出する。 L j = TnonCC − TCC j (4) 各コストは、複数年継続して利用した場合の 1 年あたりのコストを比較する。 コストは(5),(6)式の通り、イニシャルコスト及びランニングコストコストから算 出し、イニシャルコストはハードウェア、ソフトウェア、導入・設定費用が、 ランニングコストはサービス利用料、保守、運用管理の費用を考慮する[9]。 TnonCC = TCC j = Cini + r × Crun r (5) Cini j + r × Crun j (6) r 18 Cini = Chard + Csoft + Cset Crun = Cservice + Cmen + Cman Cini :初期導入費用 Crun :ランニング費用 r :システムの利用年数 Chard :ハードウェア費用 Csoft :ソフトウェア費用 Cset :導入・設定費用 Cservice :クラウドコンピューティングのサービス利用料金 Cmen :サーバの運用・保守費用 Cman :システムの管理人件費 3.3 リスク要因の発生確率の算出方法 情報漏洩におけるリスク要因を、インターネットからの情報が流出するもの と、法規制から情報が流出するものに分類し、各リスク要因の発生確率を算出 する。 3.3.1 インターネットにおける情報漏洩発生確率の算出方法 インターネットにおけるリスク要因は、2.4 で定義したもののうち、不正アク セス、バグ・セキュリティホール、ワーム・ウイルス、設定ミスが該当する。 それぞれのリスク要因発生確率は、弓削らの研究「情報流出事故の定量的解析」 19 を 利 用 す る [10] 。 弓 削 ら は 、 各 リ ス ク 要 因 の 発 生 確 率 を FTA(Fault Tree Analysis)を用いて算出している。各リスク要因を頂上事象として定義し、図 9 のようにその原因である中間事象を洗い出した FT(Fault Tree)図を作成、中間 事象の発生確率をもとに頂上事象の発生確率を決定している。 図9 不正な情報持ち出しの FT 図 3.3.2 法規制における情報漏洩発生確率の算出方法 法規制による情報漏洩の発生確率については、(7)式で算出する。 20 n P51 = ∑ N k Ok (7) k =1 k :法規制により情報流出の可能性がある国 N k : k 国の法規制による年間情報取得回数 Ok : k 国において利用サーバと調査サーバが一致する確率 k 国における情報漏洩の発生確率は、その国の法規制によって情報が取得され る回数と、法規制が有効となる自国にて調査対象となるサーバとクラウドコン ピューティングで利用しているサーバが一致する確率の積で算出する。 3.3.2.1 法規制による情報取得回数について 法規制の施行については、各国から施行内容や回数が公表されていないため、 米司法省が公表した一部の内容及び、法規制の発生原因である国際テロの発生 回数から、アメリカ(k=1)を基準に他国の情報取得回数を推定する。具体的には、 (8)式のように算出する。 N k =ρ× I k ρ= (8) N1 I1 ρ:国際テロ一回あたりの情報取得回数 I k : k 国を含む国際テロの発生回数 N1 :アメリカにおける法規制による年間情報取得回数 I1 :アメリカにおける国際テロの発生回数 21 3.3.2.2 サーバの一致確率について クラウドコンピューティングのサービス利用者が使うサーバと法規制によっ て調査対象となるサーバが一致する確率を決定する。サーバが一致する確率は (9)式で推定する。 N Ok = ∑ k =1 M L ∑ ∑ RV V M kpq kp kq p =1 q =1 (9) p :調査対象企業のサーバ数 q :クラウドコンピューティング利用者のサーバ数 R :クラウドコンピューティングの利用率 Vkp :調査対象サーバが k 国に p 個ある確率 Vkq :クラウド利用者のサーバが k 国に q 個ある確率 M kpq :k 国にある p 個と q 個のサーバが物理的に同じ確率 サーバが一致するためには、k 国が法規制によって調査する企業がクラウドコ ンピューティングを利用している必要がある。また、k 国の法規制が及ぶ範囲は 自国のデータセンターに配置されているサーバに限定されるため、調査対象と なるサーバが k 国に存在する必要がある。また、クラウドコンピューティング の利用者が情報漏洩の被害にあるのは、同様に k 国のデータセンターにサーバ が配置されている必要があり、かつ、複数のデータセンター及びサーバのなか で物理的に同じハードウェアを利用していることである。 1) 調査対象企業がクラウドサービスを利用している確率の算出 クラウドコンピューティングの全世界における利用率は、正式なデータが 22 ないため、情報システム及びクラウドコンピューティングの市場規模から (10)式を用いて推定する。 R= SCC CIT (10) SCC :クラウドコンピューティングの売上げ CIT :情報システムの総支出額 2) 調査対象サーバ及びクラウド利用者のサーバが k 国に p,q 個ある確率 法規制によって調査可能なサーバは、調査対象企業のサーバが法規制を施 行する国に存在する必要がある。同様に、法規制によって情報漏洩が発生す るのは、クラウド利用者のサーバが法規制を施行する国に存在する必要があ る。そのため、両者のサーバが該当の国に存在する確率を(11),(12)式で算出 する。 Vkp = γk C p × α−γk C β− p C (11) α β Vkq = γk Cq × α−γk C β− q C (12) α β α:全データセンターの数 β:利用するデータセンターの数 γk :k 国に存在するデータセンターの数 23 3) p と q が物理的に同じサーバである確率 調査対象サーバとクラウドコンピューティング利用者が物理的に同じサ ーバを利用している確率は(13)式で推定する。 M kpq = pq γk ×U (13) p :調査対象企業のサーバ数 q :クラウドコンピューティング利用者のサーバ数 γk :k 国に存在するデータセンターの数 U 3.4 :1 データセンターあたりのサーバ数 損害額の算出方法 情報漏洩における損害額の算出は、NPO 日本ネットワークセキュリティ協会 で提案されている、(14)式の JO モデル(JNSA Damage Operation Model for Individual Information Leak)を拡張して算出する[11]。JO モデルでは、算出式 で得られた結果と実際の裁判における判決内容と比較した結果、同程度の数値 が得られたため、妥当性も十分だと考える。 Di = VoI × RoE × EoC × OoI i VoI :漏洩した個人情報の価値 RoE :情報漏洩元組織の社会的責任度 EoC :事後対応評価 OoI i :各リスク要因において情報が流出した件数 24 (14) 1) 漏洩した個人情報の価値 個人情報の価値は基礎情報価値、機微情報度、本人特定容易度から(15)式 で算出する。 VoI = VoB × SI × SE (15) VoB :基礎情報価値 SI :機微情報度 SE :本人特定容易度 a)基礎情報価値 基礎情報価値は、情報の種類に関わらず基礎値として、一律 500 円を設定 する。 b)機微情報度 個人情報が流出した際、被害者に与える影響を、経済的損失と精神的苦痛 の2種類に分類し、影響の大きさを定量化するため、y 軸に経済的損失の度 合いを、x 軸に精神的苦痛の度合いを含めた図 10 を用いる。 25 図 10 機微情報度 漏洩情報の経済的損失レベルと精神的苦痛レベルの内容によって、機微情 報度を(16)式で算出する。 SI = (10 x −1 + 5 y −1 ) (16) c)本人特定容易度 本人特定容易度は、漏洩した個人情報から個人特定のし易さを表すもので ある。本人特定容易度の判断基準は表 2 を利用する。 26 表2 本人特定容易度 判断基準 2) 情報漏洩元組織の社会的責任度 社会的責任度は、表 3 に示す一般より高い、一般的の二つの判断基準を利 用する。それぞれ該当する社会的責任度の値を利用する。 表3 企業の社会的責任度 判断基準 3) 事後対応評価 事後対応評価は、情報漏洩後にその企業がとった行動を適切な対応、不適 切な対応から判定し、表 4 の値を利用する。 表4 事後対応評価 判定基準 適切な対応及び不適切な対応の具体的な内容については、表 5 に示す。 27 表5 事後対応の具体的例 4) 各リスク要因における情報流出件数 リスク要因によっては、情報が流出する件数には差異がある。例えば、2009 年における不正アクセスの情報流出件数は 516,289 件であるが、バグ・セキ ュリティーホールの情報流出件数は 6,255 件である[11]。そのため、情報流 出の可能性がある情報、つまりクラウドサービスで利用している情報のうち、 各リスク要因において、流出する情報量を決定する必要がある。各リスク要 因における情報流出割合を(17)式で推定する。 OoI i = NoI × RoRi (17) NoI :扱う情報全量 RoRi :配置モデル j のリスク要因 i によって流出する割合 28 第4章 4.1 クラウドコンピューティングの評価 評価の対象システム 提案した評価方法を利用して、クラウドコンピューティングの評価を行う。 評価は、従業員数 1,500 人の企業において、デスクトップ仮想化システムの導 入を例としてあげる。また、該当企業においては、執務環境において 100 万件 の顧客情報を取扱うものとする。評価は、従来システムとクラウドコンピュー ティングの実コストを比較し、クラウドコンピューティングで削減可能なコス トを算出する。次に、各リスク要因の発生確率、損害額からリスクを算出する。 クラウドコンピューティングで削減可能なコストとリスクを比較し、当システ ムにおいてのクラウドコンピューティングの効果を明確にする。また、実コス トとリスクの合算した金額を用いて、導入する情報システムにおいて、どの配 置モデルが適しているかを評価する。 4.2 クラウドコンピューティングによって削減可能なコストについて クラウドコンピューティングによって削減可能なコストを決定する。コスト は 5 年間利用した場合のイニシャルコスト、ランニングコストの総額を年間に 換算した金額とする。ここでは、クラウドコンピューティングの配置モデルは 表 6 のように定義する。今回利用するハイブリッドクラウドはパブリッククラ ウドとプライベートクラウドを利用したものである。 表6 配置モデルの対応表 j 配置モデル 1 パブリッククラウド 2 プライベートクラウド 3 コミュニティクラウド 4 ハイブリッドクラウド デスクトップの仮想化における従来システム及びクラウドコンピューティン グのイニシャルコスト及びランニングコストは表 7,表 8 のように決定した。従 29 来システムのコスト及びプライベートクラウド、コミュニティクラウドのコス トは、(株)ITR の調査レポートを参考に決定した[9]。また、パブリッククラウ ド及びハイブリッドクラウドは Google Apps を利用した場合の削減例をもとに 決定した[12]。コミュニティクラウドに関しては、複数企業でサーバを共有し、 全体の効率化を図るというクラウドコンピューティングの特徴から、従来の 80%のパフォーマンスで実現できるものと仮定し、コストの算出を行った。同 様にハイブリッドクラウドについては、パブリッククラウドとプライベートク ラウドの 2 つに負荷を分散できるため、プライベートクラウドで必要とするリ ソースは従来の 80%で実現できるものとした。 30 表7 従来システムとクラウドコンピューティングのイニシャルコスト 区分 項目 ハードウェア ブレードサーバ Chard シンクライアント ノートブック Xen Desktop ソフトウェア CitrixEnterpri se Csoft Windows Server 2003 Microsoft Office クライアント管理ソフト 導入費 HW初期導入費 Cset SW初期導入費 クラウド初期導入費 初期導入費用総額 Cini nonCC CC1 CC2 CC3 CC4 1,713,000 0 61,455,000 49,164,000 49,164,000 0 0 60,000,000 60,000,000 60,000,000 195,000,000 171,800,000 0 0 0 0 0 35,637,000 28,509,600 28,509,600 0 0 0 0 23,200,000 23,200,000 23,200,000 21,000,000 0 7,150,000 0 5,720,000 0 5,720,000 0 119,910 0 15,000,000 12,000,000 12,000,000 3,675,000 0 20,000,000 16,000,000 16,000,000 0 341,530 0 0 341,530 221,507,910 172,141,530 222,442,000 194,593,600 194,935,130 31 表8 従来システムとクラウドコンピューティングのランニングコスト(年) 区分 利用料 C service 項目 クラウドコンピューティ ングのサービス利用 料金 保守 ハードウェア Cmen ソフトウェア 運用管理 nonCC ランニング費用総額 Crun CC2 CC3 CC4 0 6,375,000 0 0 6,375,000 85,650 0 3,285,000 2,628,000 2,628,000 0 10,790,000 8,632,000 8,632,000 873,254 2,965,444 3,150,000 運用管理 Cman CC1 13,173,528 2,092,190 1,091,568 16,409,178 8,467,190 15,166,568 12,133,254 20,600,444 決定した従来システムとクラウドコンピューティングのコストから 5 年利用 した場合の実質年間コストは表 9 となる。また、従来システムと比較した場合 に削減可能なコストは表 10 となる。 表9 従来システムとクラウドコンピューティングの年間コスト 項目 年間コスト T 表 10 nonCC CC1 CC2 CC3 CC4 60,710,760 42,895,496 59,654,968 51,051,974 59,587,470 クラウドコンピューティングにおける年間削減コスト 項目 年間削減コスト L j j =1 j=2 j=3 17,815,264 1,055,792 9,658,786 32 j=4 1,123,290 4.3 リスク要因の発生確率について インターネット及び法規制におけるリスク要因の発生確率を決定する。 4.3.1 インターネットにおける情報漏洩の確率 クラウドコンピューティングにおけるリスク要因の発生確率を決定する。イ ンターネットにおけるリスク要因の発生確率は弓削らが FT 図で算出した表 11 に示す値を利用する[10]。 表 11 インターネットにおけるリスク要因発生確率 リスク要因 不正アクセス バグ・ セキュリティホール ワーム・ ウイルス 設定ミス 4.3.2 発生確率 1.24E − 04 6.80E − 04 1.90E − 06 1.54E − 04 法規制による情報漏洩の発生確率 法規制によるリスク要因発生確率は 3.3.2 に示した方法で算出する。 1) k 国の法規制による年間情報取得回数 法規制の施行については、各国から施行内容や回数が公表されていないため、 米司法省が公表した内容及び、法規制の発生原因である国際テロの発生回数を 元に 3.3.2.1 で提案した式で推定する。米司法省によると、2005 年 4 月時点に おいて、過去 22 ヶ月の間に 108 回愛国者法を執行して、所有者への告知なしに 家屋や事務所に密かに侵入し、捜索を行っている[13]。また、司法長官の Alberto Gonzales は、上院において 35 回に渡り裁判所による内密の許可命令に従い組 織から記録を入手したと述べた[14]。この情報と、世界統計白書に示されている 地域別国際テロ発生件数から年間法規制の施行回数を算出する[15]。 アメリカにおける 1 年間の国際テロ発生件数は 20 件。また、22 ヶ月におけ 33 る情報の取得回数が 35 回となるため、1 年あたりの取得回数は 19.09 回となる。 これを基準値として、表 12 のように決定した。 表 12 アメリカ k=1 イギリス k=2 中国 k=3 法規制による年間記録取得回数 国際テロの件数 Nk (記録取得回数) 20 19.09 33 31.50 80 76.36 2) k 国において利用サーバと調査サーバが一致する確率 利用サーバと調査サーバが一致する確率を 3.3.2 で提案した式を用いて決定 する。クラウドコンピューティングの全世界における利用率は、正式なデータ がないため、情報システム及びクラウドコンピューティングの市場規模から推 定する。米調査会社ガートナーによると、図 11 に示すとおり 2009 年における 情報システムの総支出額は 3,215.7 億ドルである[16]。また、同社によると、2009 年の全世界におけるクラウドサービスの売上げは 586 億ドルである[17]。その ため、クラウドコンピューティングの利用率 R を一律 0.182 とする。 図 11 情報システムの総支出額 34 クラウドコンピューティングの利用者及び調査対象企業が利用しているデー タセンター及びサーバを決定するため、データセンターの所在地及びサーバ数 を決定する。データセンターの所在地及び数については、各クラウドベンダー から正式な発表がされていないため、総務省のデータ[8]を用いて推定する。大 手クラウドベンダーの Google は表 13 に示すとおり、世界に 38 箇所データセン ターを設置、保有している。 地域 アジア 南米 北米 その他 表 13 データセンターの所在地と数 国 データセンター数 地域 国 データセンター数 日本 1 イギリス 1 中国 2 アイルランド 1 シンガポール 1 ベルギー 1 ブラジル 1 フランス 1 ヨーロッパ オランダ カナダ 1 2 アメリカ 19 ドイツ 3 ロシア 1 スイス 1 イタリア 1 オーストリア 1 データセンターに配置されているサーバ数についても、各クラウドベンダー から正式な発表がされていないため、図 12 に示す米 Netcraft の統計[18]を元に 推定する。 35 図 12 IT ベンダーが保有するサーバ数 米 Netcraft の統計によると、2010 年 4 月時点でグーグルの保有するサーバの 数は、11,544,903 台であるとしている。そのため、38 データセンターに配置し ているサーバの数は 1 データセンターあたり 303,813 台となる。また、信頼性 向上のため、サーバは冗長化されている。Google が利用している GFS(Google File System)では、データを 3 つ以上のサーバにコピーされているため、ここで は 3 つのサーバにコピーされて配置しているものとし、実際の稼動サーバは 101,271 台とする[19]。また、同様に 3 つのデータセンターを利用しているもの とする。 データセンターの所在地及びサーバ数をもとに各国におけるサーバの一致確 率を算出する。利用サーバと調査サーバが一致する確率については、調査対象 会社におけるクラウドコンピューティング利用の有無、k 国において調査対象会 36 社及びクラウドコンピューティング利用者が利用するサーバの数、物理的に一 致するかどうかをツリーであらわし、一致するまでの確率の積 Ok を算出する。 a) 愛国者法(アメリカ) 愛国者法が施行された場合に、クラウドサービス利用者と調査対象サーバが 一致するまでは、図 13 で表すことができる。 調査対象のサー バがアメリカに1台 クラウドコンピュー ティングを利用して いる 調査対象のサー バがアメリカに2台 調査対象企業 クラウドコンピュー ティングを利用して いない 調査対象のサー バがアメリカに3台 調査対象のサー バがアメリカに0台 図 13 クラウドサービス 利用者のサーバ がアメリカに1台 クラウドサービス 利用者のサーバ がアメリカに2台 クラウドサービス 利用者のサーバ がアメリカに3台 クラウドサービス 利用者のサーバ がアメリカに0台 クラウドサービス 利用者のサーバ がアメリカに1台 クラウドサービス 利用者のサーバ がアメリカに2台 クラウドサービス 利用者のサーバ がアメリカに3台 クラウドサービス 利用者のサーバ がアメリカに0台 クラウドサービス 利用者のサーバ がアメリカに1台 クラウドサービス 利用者のサーバ がアメリカに2台 クラウドサービス 利用者のサーバ がアメリカに3台 クラウドサービス 利用者のサーバ がアメリカに0台 サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない 愛国者法におけるサーバ一致フロー また、アメリカでは 19 のデータセンターがあり、各データセンターに 101,271 台のサーバが配置されているため、その一致確率は表 12 のように算出できる。 37 3 2 1 3 2 8 1. 0 2 1 3 2 3 2 1 )q( )p( 数バーサ 数バーサ 者用利 象対査調 1 O1 C3 38 C3 19 C2 × 19 C1 38 C3 C1 × 19 C2 38 C3 19 19 19 C3 38 C3 19 C3 38 C3 C2 × 19 C1 38 C3 19 C1 × 19 C2 38 C3 C2 × 19 C1 38 C3 19 19 C1 × 19 C2 38 C3 C3 38 C3 19 V1q V1q C1 × 19 C2 38 C3 C2 × 19 C1 38 C3 19 19 19 9 4 6 8 4 1 1. 0 9 4 6 8 4 1 1. 0 V1 p 3× 3 19 × 101271 3× 2 19 × 101271 3 ×1 19 × 101271 2×3 19 × 101271 2×2 19 × 101271 2 ×1 19 × 101271 3 19 × 101271 2 19 × 101271 1 19 × 101271 M 1 pq 6 0 -E 7 7 6. 4 1 5 3 1 5 8 3. 0 1 5 3 1 5 8 3. 0 1 5 3 1 5 8 3. 0 果結 V1 p 8 0 -E 8 1 3 2 1. 1 6 0 -E 8 1 1. 3 1 5 3 1 5 8 3. 0 9 4 6 8 4 1 1. 0 1 5 3 1 5 8 3. 0 1 5 3 1 5 8 3. 0 9 4 6 8 4 1 1. 0 1 5 3 1 5 8 3. 0 1 5 3 1 5 8 3. 0 果結 R 8 0 -E 4 6 0 1 5. 2 6 0 -E 9 5 5. 1 7 0 -E 1 2 8 2 1. 2 8 0 -E 2 3 5 5 2. 1 M 1 pq 6 0 -E 9 3 0. 1 6 0 -E 8 1 1. 3 8 0 -E 1 0 6 0 8. 2 6 0 -E 9 5 5. 1 8 0 -E 4 6 0 1 5. 2 8 0 -E 2 3 5 5 2. 1 6 0 -E 9 3 0. 1 6 0 -E 9 7 0. 2 8 0 -E 1 0 6 0 8. 2 7 0 -E 7 9 1. 5 8 0 -E 2 0 2 1 6. 5 8 0 -E 3 0 4. 1 率確ルタート 果結 率確致一バーサるけおにカリメア 2 1表 38 b) 捜査権限規制法(イギリス) 捜査権限規制法が施行された場合に、クラウドサービス利用者と調査対象サ ーバが一致するまでは、図 14 で表すことができる。 サーバが一致する クラウドサービス 利用者のサーバ がイギリスに1台 クラウドコンピュー ティングを利用して いる 調査対象のサー バがイギリスに1 台 クラウドサービス 利用者のサーバ がイギリスに0台 調査対象企業 クラウドコンピュー ティングを利用して いない 図 14 サーバが一致しない 調査対象のサー バがイギリスに0 台 捜査権限規制法におけるサーバ一致フロー また、イギリスでは 1 つのデータセンターがあり、データセンターに 101,271 台のサーバが配置されているため、その一致確率は表 13 のように算出できる。 表 13 利用者DC数 調査対象 サーバ数 (p) 調査対象 サーバ数 利用者 サーバ数 (q) 1 1 計算式 V2 p R 0.182 1 C1 × 37 C2 38 C3 イギリスにおけるサーバ一致確率 結果1(確率) V2 p 結果 0.0789474 計算式 V2q 1 C1 × 37 C2 38 C3 結果2(確率) V2q 結果 0.0789474 M 2 pq トータル確率 (結果1×結果2) M 2 pq 結果 トータル確率 1 9.874E-06 1× 101271 O2 1.12011E-08 1.12011E-08 c) データ規制捜査権限法(中国) データ規制捜査権限法が施行された場合に、クラウドサービス利用者と調査 対象サーバが一致するまでは、図 15 で表すことができる。 39 調査対象のサー バが中国に1台 クラウドコンピュー ティングを利用して いる 調査対象のサー バが中国に2台 クラウドコンピュー ティングを利用して いない 調査対象のサー バが中国に0台 調査対象企業 図 15 クラウドサービス 利用者のサーバ が中国に1台 クラウドサービス 利用者のサーバ が中国に2台 クラウドサービス 利用者のサーバ が中国に0台 クラウドサービス 利用者のサーバ が中国に1台 クラウドサービス 利用者のサーバ が中国に2台 クラウドサービス 利用者のサーバ が中国に0台 サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない サーバが一致する サーバが一致しない データ規制捜査権限法におけるサーバ一致フロー また、中国では 2 つのデータセンターがあり、データセンターに 101,271 台の サーバが配置されているため、その一致確率は表 14 のように算出できる。 表 14 調査対象 利用者 サーバ数 サーバ数 (p) (q) V3 p R 中国におけるサーバ一致確率 V3 p 結果 1 2 2 C1 × 36 C2 38 C3 M 3 pq 結果 トータル確率 C1 × 36 C2 38 C3 0.1493599 1 2 ×101271 4.937E-06 2.00458E-08 C2 × 36 C1 38 C3 0.0042674 2 2 ×101271 9.874E-06 1.14548E-09 C1 × 36 C2 38 C3 0.1493599 2 ×1 2 ×101271 9.874E-06 1.14548E-09 C2 × 36 C1 38 C3 0.0042674 2× 2 2 ×101271 1.975E-05 6.54558E-11 0.1493599 2 0.182 2 1 2 2 M 3 pq 2 1 2 V3q 結果 V3q C2 × 36 C1 38 C3 0.0042674 2 O3 2.24022E-08 算出した N k 、 Ok から各国の法規制による情報漏洩確率は表 15 となる。 40 表 15 法規制による情報漏洩確率 法規制 情報漏洩確率 愛国者法(アメリカ) 4.06276E-06 捜査権限規制法(イギリス) 3.52835E-07 データ規制捜査権限法(中国) 1.71064E-06 合計 6.12623E-06 インターネットによる情報漏洩の発生確率と法規制による情報漏洩発生確率 から、各クラウドコンピューティングの配置モデル j と、リスク要因 i における 情報漏洩発生確率 Pij は表 16 であらわすことができる。ハイブリッドクラウド に関しては、プライベートクラウドとして保管しているデータをパブリックク ラウドのアプリケーションで利用する際に、ネットワーク上を流れるデータの 盗聴のリスクを勘案する必要があるため、バグ・セキュリティホール及び設定 ミスがリスク要因となる。 表 16 パブリッククラウド j=1 プライベートクラウド j=2 コミュニティクラウド j=3 ハイブリッドクラウド j=4 4.4 配置モデル j におけるリスク要因 i の発生確率 不正アクセス バグ・ セキュリティホール i=1 i=2 1.24E-04 6.80E-04 ワーム・ ウイルス i=3 1.90E-06 設定ミス i=4 1.54E-04 法規制 i=5 6.13E-06 0 0 0 0 0 1.24E-04 6.80E-04 1.90E-06 1.54E-04 0 0 6.80E-04 0 1.54E-04 0 損害額の評価 損害額は、3.4 で提案した式を用いて算出する。損害額の算出にあたり、情報 の流出件数を決定する必要があるが、リスク要因によっては、情報が流出する 件数には差異がある。例えば、2009 年における不正アクセスの情報流出件数は 516,289 件であるが、バグ・セキュリティーホールの情報流出件数は 6,255 件で 41 ある[11]。そのため、情報流出の可能性がある情報、つまりクラウドサービスで 利用している情報のうち、各リスク要因において、流出する情報量を決定する 必要がある。各リスク要因における情報流出割合を 2009 年の情報漏洩原因の件 数から表 17 の通り決定する。 表 17 各リスク要因において情報が流出した件数とその割合 漏洩人数 管理ミス 2,611,753 内部犯罪、内部不正行為 1,663,176 不正アクセス 516,289 目的外使用 364,290 不正な情報持ち出し 181,665 盗難 138,414 設定ミス 100,894 ワーム・ウイルス 52,808 誤操作 49,397 紛失・置忘れ 35,286 バグ・セキュリティホール 6,255 合計 5,720,227 割合 45.6% 29.1% 9.0% 6.4% 3.2% 2.4% 1.8% 0.9% 0.9% 0.6% 0.1% クラウドコンピューティングに特化したリスク要因は、不正アクセス、設定 ミス、ワーム・ウイルス、バグ・セキュリティーホールが該当するため、クラ ウド利用者が扱う情報件数のうち、それぞれ 9.0%, 1.8%, 0.9%, 0.1%の情報件数 が流出する件数とする。また、法規制における情報流出件数は、ハードウェア 毎情報を押収されるため、扱う情報全てが流出する件数とする。 4.5 リスクの評価 決定したリスク要因の発生確率及び損害額からリスクを算出する。リスクは 取扱う情報の件数・種類や企業の社会的責任度・事後対応度によって異なる。 例えば各配置モデルにおいて、100 万件を取扱う情報の経済的損失レベル、精神 的苦痛レベルがそれぞれ 2 であり本人特定が容易である。また、企業の社会的 責任度が高く、事後対応が適切である場合は、表 18 に示すリスクが算出できる。 42 表 18 不正アクセス i=1 バグ・ セキュリティホール i=2 ワーム・ ウイルス i=3 設定ミス i=4 法規制 i=5 n リスク ∑ P D ij i =1 i 情報漏洩のリスク パブリッククラウド プライベートクラウド コミュニティクラウド ハイブリッドクラウド j=1 j=2 j=3 j=4 972,000 0 972,000 0 61,200 0 61,200 61,200 1,539 0 1,539 0 249,480 0 249,480 249,480 551,412 0 0 0 1,835,631 0 1,284,219 310,680 同様にして、企業の社会的責任度や事後対応評価及び情報の種類の全数につ いてリスクを算出したものを表 19 に示す。プライベートクラウドに関しては、 クラウドコンピューティングに特化したリスクが存在しないため、算出の対象 外とする。 43 表 19 クラウドコンピューティングのリスク評価 機微情報度(x,y) 本人特定容易度 企業の社会的責任度 SI SE RoE 事後対応評価 EoC パブリッククラウド j=1 n リスク ∑ Pij Di i =1 1 1,1 3 6 1 1,2 3 6 1 1,3 3 6 1 2,1 3 6 1 2,2 3 6 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 20,396 40,792 40,792 81,584 61,188 122,375 122,375 244,751 122,375 244,751 244,751 489,502 61,188 122,375 122,375 244,751 183,563 367,126 367,126 734,252 367,126 734,252 734,252 1,468,505 265,147 530,293 530,293 1,060,587 795,440 1,590,880 1,590,880 3,181,760 1,590,880 3,181,760 3,181,760 6,363,521 112,177 224,355 224,355 448,710 336,532 673,065 673,065 1,346,129 673,065 1,346,129 1,346,129 2,692,259 152,969 305,939 305,939 611,877 458,908 917,816 917,816 1,835,631 917,816 1,835,631 1,835,631 3,671,262 44 コミュニティクラウド j=3 n リスク ∑ Pij Di i =1 14,269 28,538 28,538 57,076 42,807 85,615 85,615 171,229 85,615 171,229 171,229 342,458 42,807 85,615 85,615 171,229 128,422 256,844 256,844 684,917 256,844 513,688 513,688 1,027,375 185,498 370,997 370,997 741,993 556,495 1,112,990 1,112,990 2,225,980 1,112,990 2,225,980 2,225,980 4,451,959 78,480 156,960 156,960 313,920 235,440 470,880 470,880 941,761 470,880 941,761 941,761 1,883,521 107,018 214,037 214,037 428,073 321,055 642,110 642,110 1,284,219 642,110 1,284,219 1,284,219 2,568,438 ハイブリッドクラウド j=4 n リスク ∑ Pij Di i =1 3,452 6,904 6,904 13,808 10,356 20,712 20,712 41,424 20,712 41,424 41,424 82,848 20,712 41,424 41,424 82,848 31,068 62,136 62,136 124,272 62,136 124,272 124,272 248,544 44,876 89,752 89,752 179,504 134,628 269,256 269,256 538,512 269,256 538,512 538,512 1,077,024 18,986 37,972 37,972 75,944 56,958 113,916 113,916 227,832 113,916 227,832 227,832 455,664 25,890 51,780 51,780 103,560 77,670 155,340 155,340 310,680 155,340 310,680 310,680 621,360 機微情報度(x,y) 本人特定容易度 企業の社会的責任度 SI RoE SE 事後対応評価 EoC パブリッククラウド j=1 n リスク ∑ Pij Di i =1 1 1 2,3 2 1 3 2 1 6 2 1 1 3,1 2 1 3 2 1 6 2 1 1 3,2 2 1 3 2 1 6 2 1 1 3,3 2 1 3 2 1 6 4.6 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 356,928 713,857 713,857 1,427,713 1,070,785 2,141,570 2,141,570 4,283,139 2,141,570 4,283,139 4,283,139 8,566,278 1,029,993 2,059,986 2,059,986 4,119,972 3,089,979 6,179,958 6,179,958 12,359,915 6,179,958 12,359,915 12,359,915 24,719,831 1,070,785 2,141,570 2,141,570 4,283,139 3,212,354 6,424,709 6,424,709 12,849,417 6,424,709 12,849,417 12,849,417 25,698,834 1,274,744 2,549,488 2,549,488 5,098,975 3,824,231 7,648,463 7,648,463 15,296,925 7,648,463 15,296,925 15,296,925 30,593,850 コミュニティクラウド j=3 n リスク ∑ Pij Di i =1 249,709 499,419 499,419 998,837 749,128 1,498,256 1,498,256 2,996,511 1,498,256 2,996,511 2,996,511 5,993,022 720,590 1,441,179 1,441,179 2,882,358 2,161,769 4,323,537 4,323,537 8,647,075 4,323,537 8,647,075 8,647,075 17,294,149 749,128 1,498,256 1,498,256 2,996,511 2,247,383 4,494,767 4,494,767 8,989,533 4,494,767 8,989,533 8,989,533 17,979,066 891,819 1,783,638 1,783,638 3,567,275 2,675,456 5,350,913 5,350,913 10,701,825 5,350,913 10,701,825 10,701,825 21,403,650 ハイブリッドクラウド j=4 n リスク ∑ Pij Di i =1 60,410 120,820 120,820 241,640 181,230 362,460 362,460 724,920 362,460 724,920 724,920 1,449,840 174,326 348,652 348,652 697,304 522,978 1,045,956 1,045,956 2,091,912 1,045,956 2,091,912 2,091,912 4,183,824 181,230 362,460 362,460 724,920 543,690 1,087,380 1,087,380 2,174,760 1,087,380 2,174,760 2,174,760 4,349,520 215,750 431,500 431,500 863,000 647,250 1,294,500 1,294,500 2,589,000 1,294,500 2,589,000 2,589,000 5,178,000 クラウドコンピューティングの評価 n 算出したリスク ∑ Pij Di とクラウドコンピューティングのコスト削減額 L j を i =1 比較することによって、クラウドコンピューティングの評価を行う。今回評価 を行うにあたって、算出したリスクのうち、経済的損失レベル及び精神的苦痛 レベルがそれぞれ 2 であり、本人特定容易度が 6、会社の社会的責任度が 2、事 45 後対応評価が 1 の例にあげ、比較結果を表 20 に示す。 表 20 年間削減コストとリスクの比較結果 1 パブリック プライベート コミュニティ ハイブリッド 項目 クラウド クラウド クラウド クラウド 年間削減コスト L 17,815,264 1,055,792 9,658,786 1,123,290 リスク ∑ P D 1,835,631 0 1,284,219 310,680 差額 L − ∑ P D 15,979,633 1,055,792 8,374,567 812,610 j n ij i i =1 n j ij i i =1 評価の結果から、取り上げた条件のもとであれば全ての配置モデルにおいて 十分なコスト効果をあげることができる。また、パブリッククラウドが配置モ デルの中で年間削減コストとリスクの差額が大きいことから、配置モデルのな かでもパブリッククラウドを選択することが、有用であることがわかる。 同様にして、経済的損失レベル及び精神的苦痛レベルがそれぞれ 3 であり、 本人特定容易度が 6、会社の社会的責任度が 2、事後対応評価が 2 の例にあげコ ストの比較を行った結果を表 21 に示す。 表 21 パブリック クラウド 項目 年間削減コスト Lj リスク ij 差額 年間削減コストとリスクの比較結果 2 17,815,264 n ∑P D i i =1 n L j − ∑ Pij Di i =1 プライベート コミュニティ ハイブリッド クラウド クラウド クラウド 1,055,792 30,593,850 -12,778,586 9,658,786 1,123,290 0 21,403,650 5,178,000 1,055,792 -11,744,864 -4,054,710 評価の結果から、プライベートクラウド以外においては、クラウドコンピュ ーティングを採用するメリットがないことがわかる。今回取り上げた条件にお いては、プライベートクラウドを採用することがコスト削減にとって有用であ ることがわかる。 46 4.7 考察 個人情報の流出というリスクを勘案した場合のコスト比較を各配置モデルに おいて実施した。これにより、クラウドコンピューティングのコスト効果が明 確となった。個人情報の流出に関するリスクは、情報の件数や情報の内容によ って大きく変化し、取扱う情報量の増加や扱う情報の質によってはクラウドコ ンピューティングを採用するほうがコスト高額になる。そのため、導入するシ ステムで扱う情報の特性や将来のシステム更改などによる情報の変化などを予 め精査し、提案する評価方法を用いてコスト効果を判断することが重要である。 また、クラウドコンピューティングによって削減可能なコストについても、導 入するシステムの要件によって大きく変化することになるため、導入するシス テムにあわせて評価する必要がある。 配置モデル毎にリスクを評価することによって、クラウドコンピューティン グで情報システムを実装する際にどの配置モデルを利用することが効果的か判 断できることもわかる。プライベートクラウドに関しては、従来システムと実 コストのみで比較することが可能であるが、それ以外の配置モデルについては、 リスクの内容によって、安価となる配置モデルが変化するため、今回提案する 評価方法で適切な判断を可能にすると考える。 47 第5章 5.1 クラウドコンピューティング導入のための提案 クラウドコンピューティング導入のための提案 これまで、クラウドコンピューティング導入の問題は、個人情報の漏洩リス クが大きいと述べた。特に個人を容易に特定できる情報を多く扱う場合は、リ スクも大きくとなり、仮にリスクを勘案したコストが安価であっても、早期に 情報が流出してしまうことなどによって被る損害を無視できず、クラウドコン ピューティング導入の足枷となっていると考える。そのため、クラウドコンピ ューティングの導入を検討している企業にとっては、このリスクを低減するこ とが非常に重要であると考える。そこで、クラウドコンピューティングの利用 者にとってリスクを低減するモデルを提案し評価する。 クラウドコンピューティングのサービス利用者にとってリスクを低減するた めに、情報漏洩した場合の損害をクラウドコンピューティングのサービス提供 者が補償するサービスモデルを提案する。具体的には、第 4 章で算出したリス クの補償を行う。これによりサービス利用者は、情報が流出した場合の損害を サービス提供者が負担することになるため、リスクを低減することが可能とな る。しかしながら、これを補償するためには、保険金といったコストが利用料 とは別に発生すると考えられる。そこで、第 4 章で行ったリスクの定量化を用 いることによって、保険料の算出が可能となり、クラウドコンピューティング の評価を行うことができる。評価は、3.1 の(3)式を(17)式に拡張して行う。これ は、サービス利用者が情報漏洩におけるリスクを無くすことと引き換えに一定 の保険料をクラウドコンピューティングのサービス提供者に支払うことを意味 している。 n L j ≥θ∑ Pij Dij (17) i =1 L j :配置モデル j のクラウドコンピューティングで削減可能なコスト θ:リスクにおける保険料率 48 Pij :配置モデル j におけるリスク要因 i の発生確率 Dij :配置モデル j におけるリスク要因 i における想定損害額 5.2 リスクにおける保険料率について リスクに対して保険をかける場合、利用料金に保険料を加算する必要がある。 保険料は、リスクに対して一定の保険料率を乗じて算出する。保険料率は、純 保険料率と付加保険料率で構成されており、純保険料率とは、事故が発生した 際に保険料として支払う保険金にあてられ、付加保険料率はその際に必要な経 費などの社費にあてられる[20]。純保険料は、保険会社が事故発生頻度や平均支 払い保険金から独自に算出するが、ここでは補償する損害そのものの平均とし て第 4 章で算出したリスクの金額とする。また、付加保険料率については、各 企業によって自由に設定可能であるが、ここではライフネット生命保険(株)が開 示した「保険金額のうちの 23%」を利用する[21]。つまり、クラウドコンピュ ーティングのサービス提供者にリスクの補償をしてもらう場合の保険料率θは、 1.30 と設定できる。 5.3 リスクにおける保険料の算出 クラウドコンピューティングを利用する際にリスクを補償した場合の保険料 を算出する。保険料は第 4 章で算出したリスクの補償を行うものとして算出し、 表 22 に示す。 49 表 22 機微情報度(x,y) 本人特定容易度 企業の社会的責任度 SI SE 1 1,1 3 6 1 1,2 3 6 1 1,3 3 6 1 2,1 3 6 1 2,2 3 6 RoE 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 保険料の算出 事後対応評価 パブリッククラウド j=1 保険料 θ∑ P D n EoC ij i i =1 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 26,515 53,029 53,029 106,059 79,544 159,088 159,088 318,176 159,088 318,176 318,176 636,352 79,544 159,088 159,088 318,176 238,632 477,264 477,264 954,528 477,264 954,528 954,528 1,909,056 344,691 689,381 689,381 1,378,763 1,034,072 2,068,144 2,068,144 4,136,289 2,068,144 4,136,289 4,136,289 8,272,577 145,831 291,661 291,661 583,323 437,492 874,984 874,984 1,749,968 874,984 1,749,968 1,749,968 3,499,936 198,860 397,720 397,720 795,440 596,580 1,193,160 1,193,160 2,386,320 1,193,160 2,386,320 2,386,320 4,772,641 50 コミュニティクラウド j=3 保険料 θ∑ P D n ij i i =1 18,550 37,100 37,100 74,199 55,649 111,299 111,299 222,598 111,299 222,598 222,598 445,196 55,649 111,299 111,299 222,598 166,948 333,897 333,897 890,392 333,897 667,794 667,794 1,335,588 241,148 482,296 482,296 964,591 723,443 1,446,887 1,446,887 2,893,773 1,446,887 2,893,773 2,893,773 5,787,547 102,024 204,048 204,048 408,096 306,072 612,144 612,144 1,224,289 612,144 1,224,289 1,224,289 2,448,578 139,124 278,247 278,247 556,495 417,371 834,742 834,742 1,669,485 834,742 1,669,485 1,669,485 3,338,969 ハイブリッドクラウド j=4 保険料 θ∑ P D n ij i i =1 4,488 8,975 8,975 17,950 13,463 26,926 26,926 53,851 26,926 53,851 53,851 107,702 26,926 53,851 53,851 107,702 40,388 80,777 80,777 161,554 80,777 161,554 161,554 323,107 58,339 116,678 116,678 233,355 175,016 350,033 350,033 700,066 350,033 700,066 700,066 1,400,131 24,682 49,364 49,364 98,727 74,045 148,091 148,091 296,182 148,091 296,182 296,182 592,363 33,657 67,314 67,314 134,628 100,971 201,942 201,942 403,884 201,942 403,884 403,884 807,768 機微情報度(x,y) 本人特定容易度 企業の社会的責任度 SI RoE SE 1 1 2,3 2 1 3 2 1 6 2 1 1 3,1 2 1 3 2 1 6 2 1 1 3,2 2 1 3 2 1 6 2 1 1 3,3 2 1 3 2 1 6 5.4 2 事後対応評価 パブリッククラウド j=1 保険料 θ∑ P D n EoC ij i i =1 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 464,007 928,013 928,013 1,856,027 1,392,020 2,784,040 2,784,040 5,568,081 2,784,040 5,568,081 5,568,081 11,136,161 1,338,991 2,677,982 2,677,982 5,355,963 4,016,973 8,033,945 8,033,945 16,067,890 8,033,945 16,067,890 16,067,890 32,135,780 1,392,020 2,784,040 2,784,040 5,568,081 4,176,061 8,352,121 8,352,121 16,704,242 8,352,121 16,704,242 16,704,242 33,408,484 1,657,167 3,314,334 3,314,334 6,628,668 4,971,501 9,943,001 9,943,001 19,886,003 9,943,001 19,886,003 19,886,003 39,772,005 コミュニティクラウド j=3 保険料 θ∑ P D n ij i i =1 324,622 649,244 649,244 1,298,488 973,866 1,947,732 1,947,732 3,895,464 1,947,732 3,895,464 3,895,464 7,790,929 936,766 1,873,533 1,873,533 3,747,066 2,810,299 5,620,598 5,620,598 11,241,197 5,620,598 11,241,197 11,241,197 22,482,394 973,866 1,947,732 1,947,732 3,895,464 2,921,598 5,843,196 5,843,196 11,686,393 5,843,196 11,686,393 11,686,393 23,372,786 1,159,364 2,318,729 2,318,729 4,637,458 3,478,093 6,956,186 6,956,186 13,912,373 6,956,186 13,912,373 13,912,373 27,824,745 ハイブリッドクラウド j=4 保険料 θ∑ P D n ij i i =1 78,533 157,066 157,066 314,132 235,599 471,198 471,198 942,396 471,198 942,396 942,396 1,884,792 226,624 453,248 453,248 906,495 679,871 1,359,743 1,359,743 2,719,486 1,359,743 2,719,486 2,719,486 5,438,971 235,599 471,198 471,198 942,396 706,797 1,413,594 1,413,594 2,827,188 1,413,594 2,827,188 2,827,188 5,654,376 280,475 560,950 560,950 1,121,900 841,425 1,682,850 1,682,850 3,365,700 1,682,850 3,365,700 3,365,700 6,731,400 リスクを補償したクラウドコンピューティングの評価 n 算出した保険料θ∑ Pij Di とクラウドコンピューティングのコスト削減額 L j を i =1 比較することによって、クラウドコンピューティングの評価を行う。今回評価 を行うにあたって、算出した保険料のうち、経済的損失レベル及び精神的苦痛 レベルがそれぞれ 2 であり、本人特定容易度が 6、会社の社会的責任度が 2、事 51 後対応評価が 1 の例にあげ、比較結果を表 23 に示す。 表 23 年間削減コストと保険料の比較結果 パブリック プライベート コミュニティ ハイブリッド 項目 クラウド クラウド クラウド クラウド 年間削減コスト L 17,815,264 1,055,792 9,658,786 1,123,290 保険料 θ∑ P D 2,386,320 0 1,669,485 403,884 差額 L − ∑ P D 15,428,944 1,055,792 7,989,301 719,406 j n ij i i =1 n j ij i i =1 評価の結果から、取り上げた条件のもとであれば全ての配置モデルにおいて 十分なコスト効果をあげることができる。また、パブリッククラウドが配置モ デルの中で年間削減コストと保険料の差額が大きいことから、配置モデルのな かでもパブリッククラウドを選択することが、有用であることがわかる。 5.4 考察 クラウドコンピューティングのリスクを補償することによって、サービス利 用者のリスクを低減することができるが、利用料金は高額になってしまうとい うデメリットも存在する。しかしながら、保険料とクラウドコンピューティン グによって削減可能なコストを比較することによって、コストメリットを挙げ ることができる条件も明確になった。保険料の設定は、クラウドコンピューテ ィングのサービス提供会社の規模や情報管理体制によって大きく変化すること も考えられるため、契約時には十分な協議のもと設定を行う必要がある。 クラウドコンピューティングは新しいサービス形態であるため、サービス利 用者とサービス提供者によって十分なセキュリティの担保に関する協議が行わ れていないことが多い。2009 年に経済産業省が SaaS 向け SLA(Service Level Agreement)ガイドラインを発表したが、サービス利用時に情報流出の補償をす るような契約を結ぶことはなく、信頼性に関してサービス提供者が実施してき たことは、表 24 に示すものに留まっている[22][23]。 52 表 24 クラウドコンピューティングの SLA そのため、今回提案したクラウドコンピューティングに関するリスクの保障 は、クラウドコンピューティングの利用者が採用する際に利用できる条件とし ても非常に有効であると考える。また、クラウドコンピューティングのサービ ス提供者がより一層セキュリティの強化することへもつながり相乗効果を得ら れることにも繋がる。そのため、クラウドコンピューティングの活用について は、SLA の十分な協議が非常に重要であり、サービス提供者としても今後取り 組むべき課題であると考える。 53 第6章 6.1 結論 結論 本研究では、システム開発及び運用に関するコスト削減の方法の一つとして クラウドコンピューティングを取り上げ、個人情報漏洩におけるリスクをコス トの観点で定量的に評価した。その上でより積極的なクラウドコンピューティ ング活用に繋がるためのモデルを提案し、コスト削減効果をあげることができ るかどうかを明らかにした。 本研究では、クラウドコンピューティングに特化した情報漏洩のリスクを定 量化することによって、従来のシステムコストと比較を容易にした。クラウド コンピューティングに特化したリスクはインターネットからの情報漏洩と法規 制による情報漏洩があることがわかった。特に法規制による情報漏洩のリスク は、クラウドコンピューティングの利用者にとってサービスを受けるために必 要なハードウェア、ソフトウェアがどこで稼動しているかを知ることができな いという特徴から、そこに隠された新しいリスクであり、これを定量的に評価 できた意味は非常に大きいと考える。 また、リスクの算出にあたって、リスク要因の発生確率と想定損害額を決定 した。リスク要因の発生確率はある程度一律で決定することができたが、想定 損害額に関しては、情報の量や内容によって大きく変化することになる。今回 100 万件のデータを利用すると仮定して損害額を算出したが、件数によって大き く損害額も変化する。また、機微情報度や本人特定容易度、企業の社会的責任 度、事後対応評価によってもリスクは大きく変化する。そのため、クラウドコ ンピューティングを利用する場合は、これらを十分に精査した上でリスクの評 価を行うことが重要であり、これが可能であればクラウドコンピューティング のリスク評価を行う上で今回の提案が非常に有効であると考える。 コストの評価にあたっては、クラウドコンピューティングによって削減可能 なコストを予め明らかにすることが重要である。クラウドコンピューティング は全てにおいてコスト削減が可能になるわけではなく、システムの要件によっ 54 ては、従来どおり自社システムを構築したほうが安価になる場合もある。今回 Google Apps を利用した場合を例として取り上げたが、これに関しても同様の ことがいえ、十分に留意する必要がある。しかしながら、削減可能なコストが 明らかになれば、クラウドコンピューティングの配置モデル選択も含めてコス ト効果を明確にすることができる。 クラウドコンピューティングの導入に個人情報流出のリスク観点で消極的な 場合においても、リスクを補償するシステムを導入したうえでコスト効果を明 らかにし、採用を容易にする可能性も示した。クラウドコンピューティングは 新しいサービス利用形態であり、利用者・提供者間で個人情報流出のリスクに 対する取り決めが不明確な場合が多いため、こういった協議も十分可能である と考える。 6.2 今後の課題 本研究では、個人情報の流出に関してリスクの評価を行った。しかしながら、 情報流出のリスクに関しては、個人情報以外も検討する必要がある。例えば、 研究機関が保有する技術情報や、企業内の経営方針や経営課題といった社外秘 もこれにあたる。新しい技術情報は、今後の開発において競合他社との差別化 を図るものとして非常に重要なものである。そのため、仮に情報が流出した場 合、企業の将来を左右するといっても過言ではない。つまり、そこには大きな リスクが存在することになる。今回の個人情報の流出に関してリスクの評価を 行ったことと同じように、これらの情報に関してもリスクを定量化することが クラウドコンピューティングの評価に繋がると考える。 また、クラウドコンピューティングの採否に関しては、セキュリティ以外に も信頼性、可用性、保守性、保全性の評価が必要であると考える[24][25][26][27]。 特にパブリッククラウドにおいては、インターネット回線といったクラウドサ ービス自体とは関係のなく不確実性の高いリソースを使用することになる。ま た、障害対応についても提供者に一任することになるため、利用者が望む対応 が行われるとは限らない。そのため、これらの評価によって、よりクラウドコ ンピューティングのサービス導入のハードルを下げることができると考える。 55 参考文献 [1] Peter Mell, Tim Grance, (2010), The NIST Definition of Cloud Computing, National Institute of Standards and Technology, http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc [2] 岩田 朗, (2010), クラウドネットワーク技術に関する市場予測及び利活用 実態, 総務省, http://www.soumu.go.jp/main_content/000067648.pdf [3] 中田 敦他, (2009), クラウド大全(サービス詳細から基盤技術まで), 日経 BP 社 [4] Rajkumar Buyya, Chee Shin Yeo, Srikumar Venugopal, James Broberg, Ivona Brandic, (2009), Cloud computing and emerging IT platforms:vision, hype, and reality for delivering computing as the 5th Utility, Future Generation Computer Systems, Vol.25, pp599-616 [5] Michael Armbrust, Armando Fox, Rean Griffith, D. Joseph, Randy Katz, Andy Konwinski, Gunho Lee, David Patterson, Ariel Rabkin, Ion Stoica, Matei Zaharia, (2009), Above the Clouds: A Berkeley View of Cloud Computing, Technical Report, No. UCB/EECS-2009-28, http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf [6] Subhas Chandra Misra, Arka Mondal, (2010), Identification of a company’s suitability for the adoption of cloud computing and modeling its corresponding Return on Investment, Mathematical and Computer Modelling, Vol.53, pp504-521 [7] 相原憲一, (2010), ICT 投資とクラウドコンピューティングの位置づ け:MIT ポートフォリオモデルでの P2M アプローチを起点に, 国際プロジェ クト・プログラムマネジメント学会誌, Vol.4, No.2, pp29-37 [8] 後藤滋樹他, (2010), クラウドコンピューティング時代のデータセンター活 性 化 策 に 関 す る 検 討 会 報 告 書 , http://www.soumu.go.jp/main_content/000067990.pdf 56 総 務 省 , [9] (株)ITR, (2009), ITR White Paper:デスクトップ仮想化が実現する管理コス ト削減調査レポート~デスクトップ仮想化で変わるクライアント PC, http://www.itr.co.jp/library/public/ITR_WhitePaper/ITR_WP_C09060004. pdf [10] 弓削哲史, 柳繋, (2007), 情報流出事故の定量的解析, 電子情報通信学会 信学技法, Vol.107, No.106, pp13-18 [11] 大谷尚通他, (2009), 情報セキュリティインシデントに関する調査報告書, NPO 法 人 日 本 ネ ッ ト ワ ー ク セ キ ュ リ テ ィ 協 会 , http://www.jnsa.org/result/incident/data/2009incident_survey_v1.1.pdf [12] Google ウェブサイト, (2010), Google Apps コミュニケーションツールを利 用 し た 場 合 の コ ス ト 削 減 例 http://www.google.com/apps/intl/ja/business/messaging_value.html#calcu lator [13] Department of Justice, (2005), DEPARTMENT OF JUSTICE RELEASES NEW NUMBERS ON SECTION 213 OF THE PATRIOT ACT, http://www.justice.gov/opa/pr/2005/April/05_opa_160.htm [14] Declan McCullagh(CNET ウェブサイト) , (2005), Feds uncloak the Patriot Act, http://news.cnet.com/2100-1030_3-5655112.html [15] 木本書店編集部, (2009), 世界統計白書 2009 年版, 木本書店 [16] Gartner ウェブサイト, (2010), Press Release : Gartner Says Worldwide IT Spending To Grow 4.6 Percent in 201, http://www.gartner.com/it/page.jsp?id=1284813 [17] Gartner ウェブサイト, (2010), Press Release : Gartner Says Worldwide Cloud Services Market to Surpass $68 Billion in 2010, http://www.gartner.com/it/page.jsp?id=1389313 [18] NetCraft ウ ェ ブ サ イ ト , (2010), April 2010 Web Server Survey, http://news.netcraft.com/archives/2010/04/15/april_2010_web_server_sur vey.html [19] Sanjay Ghemawat, Howard Gobioff, Shun-Tak Leung, 2003, The Google 57 File System, Google, http://labs.google.com/papers/gfs-sosp2003.pdf [20] 損 害 保 険 料 率 算 出 機 構 , (2010), 料 率 の 基 礎 知 識 , http://www.nliro.or.jp/service/ryoritsu/kiso.html [21] ライフネット生命保険(株), (2008), 付加保険料率(生命保険の「原価」)の開 示 に つ い て , http://www.lifenet-seimei.co.jp/deguchi_watch/2008/11/post_23.html [22] 青 野 慶 久 他 , (2008), SaaS 向 け SLA ガ イ ド ラ イ ン , 経 済 産 業 省 , http://www.meti.go.jp/press/20080121004/03_guide_line_set.pdf [23] 城田真琴, (2009),クラウドの衝撃, 東洋経済新聞社 [24] 松田栄之, 中村太一, (2001), 大規模ネットワークと RASIS, 日本信頼性学 会誌, Vol.123, No.4, pp307-313 [25] 保理江大作, (2007), システムの定量的セキュリティ評価法に関する研究, 電子情報通信学会, 信学技法, Vol107, No.397, pp33-40 [26] 今野宏, 北神正人, 難波一輝, 伊藤秀男, (2008), インターネット利用シス テ ム に お け る Integrity の 定 量 的 評 価 , 電 子 情 報 通 信 学 会 , 信 学 技 法 , Vol.108, No.352, pp21-26 [27] 片多昭裕, 北神正人, 難波一輝, 伊藤秀男, (2007), インターネット利用遠 隔システムの信頼性評価, 電子情報通信学会, 信学技法, Vol107, No.367, pp1-6 58 謝辞 本研究を行うにあたり、多くの研究の場を与えていただきました慶應義塾大 学システムデザイン・マネジメント研究科の先生方に心から感謝致します。 本論文を作成するにあたって主査として最もお世話になりました、指導教員 の中野冠教授には、研究のいろはからはじまり様々なことを丁寧かつ適切にご 指導いただきました。謹んで感謝の意を表明します。 副査の春山真一郎教授には、本研究に対して現実世界で起こった様々な事例 などをもとに様々な視点からの貴重なご意見をいただき、適切なご指導いただ きました。同じく副査である浦郷正隆准教授には、数学的な観点とかつて情報 システムを扱っていた経験から多くの助言をいただきました。また、同副査の 湊宣明助教には、研究に加え英語のご指導と大変お世話になりました。 更に、ビジネスエンジニアリング研究室の皆様には、普段から多くの助言を いただき大変お世話になりました。 本論分作成にあたり、様々な方からの助言やご指導を賜りまして大変お世話 になりました。この場を借りて御礼申し上げます。 59