月: 2023年5月

投稿日:

国民のデータには鍵をかけて!

前回のAWSのセキュリティに疑問ありという投稿の補足です。

ご存じの方は痛いほどご存知でしょうが、知らない人は痛いほど知らないことに、「暗号化」があります。

そもそもどうして暗号化が知られ渡っていないかと言うと、暗号化は長い間国家機密でしたから当然です。

そりゃそうですね、日本人なら「トラトラトラ」を持ち出すまでもなく、暗号化に関しては痛い目に遭ってきていますから、暗号化に関して日本人は世界でも特にシビアであるはずです。(はずなのですが、そのとおりかどうかは知りません。)

暗号化方式には大きく2つの方式があって、キーペアという2つのキー(秘密鍵と公開鍵)を使う公開鍵方式と、1つの鍵を使う共通鍵方式があります。

1つの鍵を使う共通鍵方式の方が高速なので、WiFiなどは共通鍵を使います。一方端末のログインなどに使うSSHは2つの鍵を使い分ける公開鍵方式を使います。

ということは、SSHでは本人だけが秘密鍵を持つべきだということなのですが、AmazonのクラウドのAWSでは、秘密鍵と公開鍵の両方をAWS上のプログラムで作成するようになっています。

本来、秘密鍵をSSHの相手側が作成するのは、セキュリティ上変な仕様なのですが、キーペアの作成方法を他に持たないユーザーのために、あえてサービスとして用意してくれているのでしょう。

正しい鍵の作り方としては、Puttyなどのスタンドアローンプラグラムを自分で実行して秘密鍵と公開鍵を作成して、公開鍵だけをAWSに設置するのが良いとされています。

確かにSSHの通信の隠匿化という意味ではそれで良いのですが、そんな事を考え始めると、その前に「サーバーのデータは安全なところに保管されているのか?(サーバーの管理者は信頼できる人ですか?)」という疑問が湧いてくるわけです。

何事も仕組みというのが大事でして、その仕組みの塊がクラウドなのですが、肝心のサーバーのセキュリティに関して、AWSは何の対策もされていないように感じます。

「いやっ、実は山ほど対策を施しているが、喋ってしまうとハッキングされるだろ!」と言うことかも知れません。

それならそれを説明して、攻撃の種類と防御した結果ぐらいは公開されるべきだと思うのですが、公開されていないということは対策をしていないか、対策を講じていてもテストをしていないのではないかと考えるのは当然だと思います。

そのような状態の中、デジタル大臣が国家の重要なデータをAWSのクラウドに載せますと宣言しているのですから、文句の1つや2つ出てきそうなものですが、どの野党も、どの評論家も、どの知識人からも音沙汰がありません。

このままで大丈夫だろうか?

投稿日:

Amazon Work Space(AWS)は安全か?

クラウドがコンピューター稼働環境の常識という風潮がありますが、これはあくまでコンピューターの利用形態、特にハードウェアの管理をどうするかという一つの方法に過ぎません。

自分の手の届く範囲にコンピューターの筐体があって、ネットワークも自分で管理して初めてコンピューターシステムを構築したと言えるわけですが、それが大変で自分の手に負えない場合に、コンピューターのハードウェアを他人に任せたい、お願いしたいとなった時の依頼先がクラウドということです。

つまりコンピューターの運用は、他人にお任せでも良いアプリケーションの場合。(これ重要!)

Amazon Work Space、AWSはクラウドサービスの最大手として、いろいろな啓蒙活動(宣伝)としてオンラインの講習会や品評会を開催しています。

最近開催された講習会には日本のデジタル大臣も講演者として登壇して、クラウドの先進性や安全性が唱えられていましたが、その際に1つ気になったことがありました。

AWSの責任者が「Amazonはセキュアで安全です」と言いながら、しかし、その方策が一切語られなかったこと。

要約すると、「Amazonのシステム担当者はAWSに蓄えられたすべてのデータにアクセスすることはできるけれども、それを悪用はしません」ということでした。

通常システムを構築するのなら、セキュリティを守るためにそれなりのシステム的な(つまり自動的な)仕組みがって、一部に人手を介する場合があっても、体系的にデータを安全に漏洩しない・できない仕組みがあるべきです。

AWSの講習会ならなおさらその仕組を丁寧に説明しなければならないはずなのに、説明がまったくないのは、ひょっとして仕組みが考えられていないのではないかと思うのも当然でしょう。

この状況から想像するに、おそらくAWSののセキュリティ対策は、システム担当者が「Amazonに損害を与えたときは私費で賠償します」という念書にサインをしているぐらいのことではなかろうかと。(つまり個人の私費で賠償できる程度のデータしか預けては行けないということ!)

これだけ過去数十年間もシステム担当者には裏切られ続けたコンピューター業界ですから、そこでクラウドという業態で重要なデータを扱おうとしているのなら、もう少しマシな説明ができそうなものです。

例えば、通常と異なる取引や情報の照会があったときは、AIで異常を検知して数ミリ秒以内に社長にアラームが届き、社長が異常に対して内容の公表と対策の詳細を公表して、カスタマーには特に月報にしてレポートする程度のことはしなければならないと思います。

もし既にそれぐらいのことをしているのなら、それこそ講習会で説明しなければならないことでしょう。

私の結論は、AWSのクラウドは信用ならない!

日本の公共システムとしてAWSのを採用するつもりで、デジタル大臣が講習会のキーセッションに登壇しているとすれば、軽率も甚だしい!

国策としてクラウドが必要なら、なぜ国産のクラウドを立ち上げない?

ちょっと前まで世界のコンピューター業界でしのぎを削ったNECや富士通や日立が日本にはあるのに、なぜ通販業者に過ぎないAmazonに全国民の大切なデータを託すのか?

全く意味が分かりません。