Chapter4-2 プラットフォーマーの欺瞞
企業ユーザーはSLAにおけるセキュリティ要件を熟読した方が良い
前回の投稿までに記述した内容は、得られる情報を元にした推測に過ぎないが、セキュリティ上の問題は、使うユーザー側企業に依然として問題を残し、クラウドプライヤーであるAWSにお任せというわけにはいかないということ、にも関わらず企業のデータまでをも飲み込み返そうとしない姿勢が伺えるのである。
無料による検索サービスに加えYouTubeや様々なサービスにより、多くのユニークユーザー数と個人情報を抱えるGoogle。彼らが企業向けに提供しているのがGoogle Cloud PlatformとSaaSとしてのDesktop Application群である。しかし、Googleには根本的な企業理念としての問題が内在している。
まず、Googleは無償という名のサービスを提供し、地球上のあらゆるデータを保持し、AIすなわちアルゴリズムにて全ての解を導き出すことをゴールとして運営されている会社だと理解している。SNSとも共通するが、本当は無償でなく、検索という行動データと、ユーザーの時間の無償奉仕によって得られたビッグデータを結びつけることにより、人間の欲求と情報を学習せずとも解として結びつけるインフラを作り上げた、いわゆるTCP/IP, HTML, Javaなどのインターネットを構成する技術的要素技術とは違った意味でのインターネット分散システムを標準化してしまったことにあると個人的に思っている。検索、ソート、データベース + 人口知である。従って、ここで述べることは何もGoogleに限られた話ではないが、インターネットの象徴としてのGoogleと捉えた方が良いかもしれない。それは、インターネット上での商取引を通じて巨大な帝国を作ったAmazonも、原則はGoogleの作り上げたインターネットメカニズムの上で動いていると解釈するからである。
この無償という無責任極まりないサービスは商品ではない。無償という名目をとっている以上、対外的にはBetaと同様という言い訳じみた逃げ場を自ら用意している。オープンソースやBetaというのは、ある意味責任放棄のもっとも好都合な方法である。しかし、分散型のインターネットが、無償のサービスでユーザーを満足させることが出来たのは、インターネットに商取引が入らない範囲のことである。閲覧されて被害のない情報へのアクセスなど、セキュリティを考える必要すらなかったのである。
Amazon, EBayやAppleなどの大手IT企業が出現すると、インターネットは既存のビジネスを破壊するほど大きな商取引の場となり、その結果としてその企業群はクラウドを形成し始めた。分散したインターネットのアーキテクチャを放棄し、EBay、ペイパル、アマゾン、AppleのiTune、Facebook、Googleなどはクラウドの中に引きこもり、中央集権的な会員システムに集約したと言える。新興のUBERやAirbnbも同じだろう。この特徴は、クレジットカード番号、セキュリティコード、有効期限、カードホルダー、パスワードなどの管理と送信を第三者に依頼し、それによって「他のインターネットサイトとの間に壁を作ることがセキュリティ対策」とみなしたのである。おかげで私たちは、執拗なまでの新しいパスパード設定、PIN、ログインデータ、秘密鍵、秘密の質問など、セキュリティ保護という名の偉そうな指示を受けてイライラしているのである。しかし、壁の中にデータを集約するには、セキュリティに膨大な費用がかかり、にもかかわらず現在に至るまで壁の中へのデータ集約によるセキュリティ向上はさほど見られていない。この根本的な問題は「セキュリティリスクの問題は、システム側ではなくユーザー側にある」という考え方にあるらしい。これは、ある意味正しいのだが、企業向けクラウドサービスという場において、セキュリティはコミュニティ全体の問題と捉えていて他人任せでいいのだろうか。
面白い話がある。Googleのサイトには、” Our Philosophy”としてGoogleのシステムがこうあるべき ”Ten things we know to be true”としてまとめられている。中には政治性を帯びたようなものもあるが、その中で理念として決定的に欠けていることがある。セキュリティの重要性についての言及が全くないことである。別の場でのセキュリティに関する言明では、明らかにセキュリティはコミュニティ全体の問題と捉えていると解釈しているのが見て取れる。
残念ながらクラウドビジネスにおいて、GoogleはAmazonに水を開けられている。前述のようにパブリッククラウドであるAWSに移行を始めた三菱UFJは、セキュリティ問題で試練に直面しているようであるが、ならばセキュリティ問題の回避に等しい態度を示すGoogleは、真に企業向けシステムであるGoogle Cloudのセキュリティにどう取り組むと言うのだろう。電車の中で「犯罪や暴力行為を見つけたら、お近くの駅係員や鉄道警察にご連絡ください」と言うような、事後報告的・牧歌的な悠長さで良いのだろうか。
ここで今一度再確認しなければならないのは、セキュリティリスクの担保は、クラウド事業者やプラットフォーマーだけで完結し得ず、ユーザー側に依然として大きな課題を残していることである。言い換えれば、これこそプラットフォーマーの弱点であり、チョークポイントであり、ひょっとすれば企業の生命維持装置になる可能性がある。繰り返しになるが、セキュリティリスクはプラットフォーマーだけで完結しない。
