コンテナ開発環境の代名詞、Docker Desktopですが、本日、トップ画面に気になる内容が書かれています。

Dockerサブスクリプションサービス契約が更新されました。

 

私たちのドッカーサブスクリプションサービス契約は、Docker Desktopのための条件への変更を含んでいます

・中小企業（250人未満の従業員　かつ　年間売上高$1000万ドル以下）、個人的な使用、教育、非商用のオープンソースプロジェクトの利用の場合は、無料のままです。

・大企業でのプロフェッショナルな使用には、ユーザーあたり月額わずか5ドルの有料サブスクリプション（Pro、Team、またはBusiness）が必要です。

・これらの条件の発効日は2021年8月31日です。Dockerデスクトップを使用するために有料サブスクリプションが必要な場合は、2022年1月31日までの猶予期間があります。

・Docker Pro、Docker Team、およびDocker Businessのサブスクリプションには、 DockerDesktopの商用利用が含まれるようになりました。

・詳細については、よくある質問をご覧ください。または、最新のブログをお読みください。

つまり、もしあなたが、会社でDocker Desktopを商用開発の中で使っていて、中小企業に当てはまらないのであれば、2022年1月31日までに有料サブスクリプションに契約しないと、契約違反になってしまう、ということですね。

年間売上高$1000万ドルって、11億円くらいですので、結構際どい金額をついてきたなという感想です。

公式ブログにはもっと詳しい情報が書いてあります。

www.docker.com

FAQも公開されています。

www.docker.com

無料サブスクリプションは、Docker Personalという契約だそうです。

有料サブスクリプションは、Docker Pro、Docker Team、Docker Businessという3つに分かれます。

・Docker Proサブスクリプションには、生産性を向上させたい個々の開発者向けのツールが含まれています。月額サブスクリプションは、ユーザーあたり5ドルから始まります。

・Docker Teamは、ワークグループや小規模な開発チーム向けに設計されており、コラボレーション、生産性、セキュリティを強化する機能が含まれています。月額サブスクリプションは、ユーザーあたり7ドルから始まります。

・Docker Businessは、集中管理と高度なセキュリティ機能を必要とする中規模および大規模企業のニーズに合わせて設計されています。月額サブスクリプションは、ユーザーあたり21ドルから始まります。

下記のページに、プランごとの機能の差が紹介されています。

www.docker.com

さて、「もし有償サブスクリプションの範囲なのに、黙って無料で使い続けたら」どうなるのでしょうか。きっと誰もが知りたいところだと思います。

以下が、更新された契約書のページです。

www.docker.com

この文が全てかな、と思います。

BY INSTALLING, DOWNLOADING, OR OTHERWISE ACCESSING THE SERVICE YOU EXPRESSLY ACCEPT AND AGREE TO THE TERMS OF THIS AGREEMENT. IF YOU ARE AN INDIVIDUAL AGREEING TO THE TERMS OF THIS AGREEMENT ON BEHALF OF AN ENTITY, SUCH AS YOUR EMPLOYER, YOU REPRESENT THAT YOU HAVE THE LEGAL AUTHORITY TO BIND THAT ENTITY. IF YOU DO NOT HAVE SUCH AUTHORITY, OR IF YOU DO NOT AGREE WITH THE TERMS OF THIS AGREEMENT, YOU MAY NOT USE THE SERVICE EITHER YOURSELF OR ON BEHALF OF THE ENTITY.

サービスをインストール、ダウンロード、またはその他の方法でアクセスすることにより、お客様は本契約の条件に明示的に同意し、同意するものとします。雇用主など、事業体を代表して本契約の条件に個人が同意する場合は、その事業体を拘束する法的権限があることを表明します。そのような権限を持っていない場合、または本契約の条件に同意しない場合は、自分自身またはエンティティの代わりにサービスを使用することはできません。

他の企業でもやっていますが、あくまでも紳士協定であり、インストールやダウンロードは今も、誰でもできるようになっています。

ただ使う場合はこの契約に基づく必要があり、仮にとある企業が契約違反して利用していたら、過去利用分の積算と、損害賠償的な請求をされるのは間違いないかなと思います。

なお、FAQを見ると、政府など公共機関向けプロジェクトで利用している場合は、必ず有償になるようですのでお気を付けください。

私は政府機関で働いていますが、開発者に有料のDockerサブスクリプションが必要ですか？

はい。2022年1月31日以降、Docker Desktopを使用する代理店の各開発者は、Docker Pro、Team、またはBusinessのサブスクリプションが必要になります。猶予期間が終了した後もDockerDesktopを引き続き使用できるように、2022年1月31日より前に有料サブスクリプションへのアップグレードの計画を開始することをお勧めします。

「2022年1月31日までの猶予期間」を意識して、自社が契約違反となっていないか、よく把握して利用しましょうね。

大学を卒業し、新卒のころからIT業界に入り、およそ25年経つ。

長い時間いないとわからないことはたくさんある。

結局、ディスプレイとキーボード、そしてマウスというこの入出力3点セットは何もかわっていない。ブラウン管から液晶になった上に解像度が上がりたくさんの情報が表示されるようにはなったけど、キーボードやマウスはちっとも形を変えていない。これは面白いことだよね。だって先進技術！とか言ってても外形はほとんど変わっていないんだから。VRとかスマホとかあるけど、仕事としてはパソコン一択だ。そしてそのパソコンの形は変わっていない。それぐらいこの3点セットが洗練されていたということだと思う。パソコンの処理能力はどんどん上がったけど、人間の処理能力は全く変わっていないので、人間のインターフェースがそこまで変わることはないんだよねという思考に行きつく。

昔と今とで大きく変わったのは、労働環境だと思う。昔は人間は人間扱いされなかった。仕事が終わらないんだったら会社に泊まってでも仕上げろという指示がパワハラ扱いされなかった。時計が24時を回るころ、終電も近いというときに会社を出るのが、社会人、というのも当たり前だった。そこで発生する残業代をちゃんと払えるか払えないかで、いい会社と悪い会社が分けられた。あの会社は残業代ちゃんと出るんだ、いい会社だね、と言われる時代だった。

特に開発部門がそういう傾向にあったように思う。納期があってそこまでに作る。それなのに間に合わない。業界がまだ未成熟で、プロジェクト管理方法も無ければ、開発環境も貧弱だった。どんなに優秀な人でもスケジュール通り進めるのは至難の業だった。労務管理も適当だったので、そこはもう気力体力時の運の世界になっていた。私は何を思ったか、新卒の段階で開発部門の組織を希望せずITサポートの組織の方を希望していた。結果的に大手のサポート部門に潜り込めることになった。

大手のサポート部門は超絶ホワイトで、残業をほとんど行わず働くことができた。私の二十代は残業がほとんどない。多分あの時代のIT業界でそういう環境で過ごせたことが私のラッキーの一つになっている。もし、残業上等休日出勤上等の世界で二十代を過ごしてたら今の私にはたどり着いていないだろう（どうなっていたのか興味はあるが）。

三十代になってサポートからインフラ運用の仕事に変わったのだが、そこは大変だった。二年ほどは残業時間が膨らむ仕事場にいたのだが、これはこれで経験になっている。この二年間で現場の運用を立て直し、残業があまり発生しない世界に改善することはできたが、リーマンショックのおかげで急に職場を去ることになり、世の中の厳しさを教えられた。大変な職場だったが二十代に身に着けた知識が活かせたり、システム運用の厳しさを知ったことで、その後のキャリアの基礎となっている。

こうやって自分のキャリアと25年の前半部分をふまえ、そして今を考えると普遍的な原則のようなものが見えてくる。

・基本的な情報処理技術はほとんど変化がない。

・ハードウェアの仕組みはほどんど変わっていない反面機能は恐ろしく向上したため、昔アイデア倒れで終わったことが、今そのまま実現できている事例が多い（AIやビッグデータ、インターネットでのソフトウェア配信など）。

・WEBアプリケーションサーバーや、データベースの仕組みは、基本については登場時からほとんどかわっていない。

・一方で、実装方法はどんどん変わっている。同じ言語でも登場時と今では全然使い方が違う。

・違う言語であっても一つの言語をマスターしていれば比較的短時間で使えるようになる。そうじゃない言語はすぐ廃れる。

・昔は構築したら何も変えないでそのまま使い続けるのが主流だった。今は、どんどん改善・改築してアップデートしていくようになっている。

昔は結構職域のようなものがはっきりしていて、プログラマー・システムエンジニア・サーバーエンジニア・ネットワークエンジニア、みたいな分業体制だった。かつその中でどんなスキルを持っているかを明記し仕事するようなスタイルだった。ところが最近は、クラウドも現れてその境目が溶けだして、開発の上流・下流、そしてインフラぐらいしか区別はないと思う。これは実装方法が流動化していて、せっかく何か特定の技術をおぼえても来年にはまた新しい方法がでてきているかもしれないし、一生食べていくような保障が何もないところから来ていると思う。

古い技術にしがみつく、ということがどんどんできにくくなっている。

ただ、基本さえできていれば、技術はすぐに使える方向に進化していっている。クラウドも、ノーコード・ローコードも、そして最近の開発技術もどんどん、「すぐ使える」がコンセプトとなってきている。

この「すぐ使える」というところだけを切り取って、「未経験でもすぐ戦力なれる／高収入」みたいな宣伝文句が巷で流行しているようだが、俯瞰的に考えると、基本がない人は、技術がどんどん変わっていく様子に追随できなくなるだろう。それこそ、そのツールしか使えない技術者の出来上がりだ。それでは短い期間でIT業界をすぐに退場させられてしまうことになりかねない。

だから、今こそ基本が大事になっていると強く思う。以前こういう記事を書いた。

www.orangeitems.com

最近は、基本情報処理技術者試験もCBT方式と言って、パソコンに回答する方式に変わって来たようなので、ますますお勧めだ。

基本さえ身に着けておけば、業界がどんどん様変わりしても、どんどん追随していける。昔と違って、人間もアップデートを頻繁にしていく時代に変わっているのだ。そのためには基本が必要となる。

※興味を持った方のために良さそうな本を置いてみる。はじめは「やさしそうな」本から入るのがお勧め。

キタミ式イラストIT塾 基本情報技術者 令和03年

以上は私の経験を踏まえたIT業界イメージで、私にとっては当たり前のことだけれど、他人にとっては別世界なのかもしれないので、誰かの役に立つかも知れず書き留めておきたいと思う。

政府や自治体のシステムって、縦割りでベンダーに丸投げするから無駄が多くて、税金から払わなくてもいいお金が一杯出て行っている。しかも国民から見るといっぱいサイトがある割にはどれもデザインが違っていて、さっぱりどこ見ていいかわからない。どうなってんの。

ここがまず国民の不満の出発点だと思うんですね。

そしてクラウドなる新しいITの利用が一般化してきていて、政府や自治体も積極活用しようということになりました。ただその話が出てきたのが2012年でそのときはAWSすらまだ数あるサービスの一つだったこともあり、国内ベンダーに、政府共通プラットフォームなる基盤を作らせて2013年に利用をし始めました。クラウドと言っても、VMwareの基盤にインターネットをつないだだけです。

そして、2016年に、会計検査院からこの基盤はダメ出しを受けます。利用料が高い割にはさっぱり使われておらず、使われ方もまるで不合格。この状況が改善しないまま、2019年に政府は新しい方針を出します。第二次「政府共通プラットフォーム」です。2020年10月に運用を始めたこの基盤はAWSです。AWSに今後政府や自治体のあらゆるシステムが乗るんじゃないかと当時は巷を騒がせました。

ここまでの流れは、過去書いていますのでご興味があればぜひお読みください。

www.orangeitems.com

さて、話はここからです。

このニュースが出ました。

nordot.app

　政府が中央省庁の情報システムを統合するため昨年10月に開始した「共通プラットフォーム」の運用を打ち切ることが27日、総務省などへの取材で分かった。約720件ある政府情報システムのうち利用は約40件と低迷。総務省が今年6月、各省庁に来年度以降の受け入れ中止を通知した。年間予算約100億円を見込んだ事業は開始から1年持たずに頓挫した。

　現在の「第2期」共通プラットフォームは、今年9月に発足するデジタル庁の新しいシステムには引き継がず、数年の移行期間を経て廃止される。政府共通システムはデジタル庁で一から作り直すことになる。

で、このまま理解するのはおかしいので、この記事を書きました。

デジタル庁がどう絡んでくるかがこのままでは不明です。共通プラットフォームはどうなるの？。まるでデジタル庁が「第3期」共通プラットフォームを作るのかと思いますよね。少しこれまでの考え方とは違うんです。

下記の記事を熟読すると、これから何が始まるのかがわかります。

xtech.nikkei.com

　中央省庁に加えて地方自治体や独立行政法人など公的機関も共同利用する、空前の規模のクラウド基盤構想が、早ければ2022年度の一部運用開始を目指し動き出す。自治体に対しては、基幹系システムの稼働環境として採用する努力義務を法律で課す方針であることが日経クロステックの取材で明らかになった。実現すれば自治体とITベンダーともに対応には大きな変革が迫られるのは必至だが、国と地方の基幹系システムを全て飲み込む超巨大クラウド構想は本当に実現するのか。

　政府が行政デジタル改革の一環として構築するクラウド基盤「Gov-Cloud（仮称）」は、2021年9月に発足する「デジタル庁（仮称）」が構築・運用を担当する。2020年12月下旬に閣議決定した行政デジタル改革の基本方針で構想を明らかにしており、2021年度に実証実験や設計に着手する。

　政府は自治体が運用する基幹系システムの標準化を進めている。自治体には既に2025年度までを期限として国が定めた標準システムへの移行を義務付ける方針を公表済みだが、自治体にとってはGov-Cloudへの移行も同時に検討するべき事項となる。

そう、この「Gov-Cloud」こそが新しいプラットフォームです。

え、どこのクラウド？、AWS？、Azure、国内ベンダー？、なんて発想の人が多分ほとんどなのですが、ここを改めて頂きたいのです。

　実際、政府はGov-Cloudについて、民間のクラウドベンダーからIaaS（インフラストラクチャー・アズ・ア・サービス）やPaaS（プラットフォーム・アズ・ア・サービス）を調達して構築する方針だ。2020年10月に米アマゾン・ウェブ・サービス（AWS）のサービスを採用して稼働した第2期の政府共通プラットフォームが先行事例となる。

　とはいえ中央省庁の中小規模の業務システムが主な対象だった第2期政府調達プラットフォームと比べ、Gov-Cloudは共同利用の対象が大幅に広がる。調達するクラウドの規模もさらに大きくすることを想定している。ベンダーにコストや機能を競わせて、用途などで複数のサービスを組み合わせて使う「マルチクラウド」になるという。

つまり、政府の基準にあった複数のクラウドサービスをデジタル庁が購入し、それを政府や自治体が利用する、という図式になります。技術の変化により何を選定するかは変動しますから、AWSもその一つに過ぎません。

共同通信の記事では「第2期」共通プラットフォームは取り壊し、デジタル庁の基盤に作り直す、という表現でしたがこれは違いそうです。今稼働しているシステムについても、このまま使うかも含めてレビューし最適化して行くと言うことになるでしょう。また、Gov-Cloudがいろいろなサービスの中でAWSも今後選ぶというのは確実なので、AWSが捨てられるという話でもありません。

そもそも、Gov-CloudはIaaS（インフラ）だけではなく、PaaS（プラットフォーム）やSaaS（ソフトウェア）まで範疇に入れていますので、インフラだけをこれまで話題としてきた政府系プラットフォームとは違うんだということを頭に入れて頂きたいところです。

一方で、Gov-Cloudは最近は「ガバメントクラウド」と呼ばれるようですが、こんな話も。

xtech.nikkei.com

　IT室は2021年9月からガバメントクラウドの先行事業を始める予定だった。2021年6月に自治体の募集を開始し、平井卓也デジタル改革相は7月の記者会見で市町村から52件の応募があったと述べていた。しかしIT室によると8月25日現在、クラウド提供事業者の募集に向けて準備中で調達内容を検討中という。

このマルチクラウドで行く基盤自体がまだ未定なので、いったい何の基盤上にアプリケーションが載せられるのかわからず、そのため実際のシステムのオーナーである自治体は予算取りできん！、ってことになってるらしいです。

ちなみに、デジタル庁が採用するクラウドの基準は「ISMAP」と呼ばれ、これを理解するには下記のサイトの記事がわかりやすいです。

mypage.otsuka-shokai.co.jp

クラウドサービスの文脈で、「ISMAP」という言葉を目にすることが多くなってきた。ISMAPは、内閣官房、総務省、経済産業省により設立された「政府情報システムのためのセキュリティ評価制度」のことである。ISMAPは、この英訳である「Information system Security Management and Assessment Program」を略した通称名であり「イスマップ」と読む。

ISMAPの目的は、政府がクラウドサービスを調達する際に、そのセキュリティレベルを判断できるようにするための基準を定めること。政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することで、円滑な導入を実現するための制度である。つまり、ISMAPに登録されていないクラウドサービスは、政府が導入検討する情報システムの対象とされない可能性が高い。

ここに登録されたサービスしかデジタル庁は買わないので、日本のデータセンター事業者はこぞってどうやったらISMAPに登録できるか血眼で努力しています。

ISMAPに登録されているサービスは以下のサイトで公開されています。

www.ismap.go.jp

ISMAPの制度設計は着々と進んでいるのですが、デジタル庁がガバメントクラウドで何を採用するかはまだ決定が遅れている。

以前のように、インフラありきで基盤を決めるのではなく、政府の基準（ISMAP）をクリアしたサービスの中でデジタル庁が最適と考えるサービスを選択し、マルチクラウドで是々非々で考えていく。

こういうシナリオで今の状況を捉えておくとよいでしょう。

個人的にも一昔前の「AWSの上に全部政府のシステムが乗る！」って言う雰囲気は全く好きではなかったので、良い方向に進んでいると思います。一つのインフラ基盤しか使えないというのは明らかに複数のリスクがありますから。

ちなみに、AWSも、ガバメントクラウドに深く寄与していきたいという意欲的な記事も出してますので、こちらも紹介しておきます。

aws.amazon.com

本日令和2年(2020年)12月25日、『デジタル・ガバメント実行計画』が閣議決定に至りました。

今回のブログでは、335ページの大部の政策集となった『デジタル・ガバメント実行計画』（以下、『実行計画』。全文はこちら）を、クラウドの観点から読み直すことで、特に政府部門・公共部門の各お客様にクラウド導入をご検討いただく判断の一助となることを目指します。昨年版から120ページ以上も大幅加筆された最新の『実行計画』では、何が謳われているのでしょうか？

今回のようにデジタル関係のニュース記事は、情報が切り取られ過ぎて意図を正しく理解するのが難しいので、一度立ち止まって情報収集することをお勧めします。

オープンソースソフトウェアに昔からある、フリーライド（無料でただ乗り）問題についての意見です。

japan.zdnet.com

TDFは、LibreOfficeを「自由・オープンソースソフトウェア」（FOSS）と称している。ボランティアによって開発されているCommunity版を企業組織がフリーライドする行為は慎むべきであり、さもなければLibreOfficeはオフィスの生産性スイートである「OpenOffice」のような停滞に陥る可能性があるという見解を維持している。

無料版と有料版があり、無料はCommunity Editionとして無料となっているケース、別のソフトウェアでもありますよね。Community、という言い方に対して良い訳語が日本語にないらしく、日本人はピンと来ていないように思います。

・UiPath
・Delphi
・Nutanix
・Visual Studio
・MySQL
・Automation Anywhere
・LabVIEW
・Alfresco
・Veeam

などなど。ほかにもモリモリあります。Free Editionとは誰も言わなくなりましたね。

なぜFreeではなくCommunityなのでしょうか。コミュニティーとは「共同体意識を持つ人々の集団。地域社会。」のような意味ですが、ソフトウェアにこの言葉を使うのは意味不明です。無料で使ったら、君も集団の仲間だよ、ぐらいの意味かもしれません。でも別にコミュニティーの一部になったわけでもなく、単に無料で使ってるだけだと思います。

で、この無料で使っている人たちに、以下のように呼び掛けるのはいかがなものでしょうか。

ボランティアによって開発されているCommunity版を企業組織がフリーライドする行為は慎むべきであり、さもなければLibreOfficeはオフィスの生産性スイートである「OpenOffice」のような停滞に陥る可能性があるという見解を維持している。

オープンソースへのフリーライドは慎むべきだ、という議論はオープンソースが生まれた当初からある議論です。しかし、この理屈は私はそろそろ時代遅れになっているのではないかと考えます。

一つに、Communitiy Editionをビジネス利用されたくないのであれば、契約で絞るという手段があります。

openstandia.jp

MySQL Community Serverは、無償で自由にダウンロードして利用できますが、MySQLの使用にあたってGPLのライセンス使用条件に従う必要があります。 また、商用製品として使用する場合などは、使用条件を詳細に確認する必要があります。

で、サーバー製品などはGPLライセンスとしてオープンソースにすると、かなり制約を受けるのでサブスクリプション版など有償版を買ってもらいやすい環境となります。

また、MySQLの場合はOracleが契約の履行を実質監視しているので、企業側もおいそれとはCommunity Editionでフリーライドしにくいのです。

ですから、「開発はボランティアでやってるんだから、商用利用している企業はCommunity Editionで済ませてフリーライドするんじゃないよ。そしたら開発側も干上がっちゃって誰も開発する気がなくなり、ソフトウェアも更新されなくなっちゃうよ」と言う、と。これってビジネスとしておかしいんじゃないかと思うんですね。

RedHatなんかは、オープンソースのソフトウェアをくるんで企業に有償でソフトウェアを販売していますが、逆にRedHatがパッケージとして利用しているオープンソースの団体には多額の資金を提供しています。

www.redhat.com

オープンソースコミュニティー側も、ユーザーを脅すばかりじゃなく、どうビジネスとして成立させるかまでを構築する必要があります。そこまでが持続可能なソフトウェアとしても成立条件ではないかと思うのです。

以前、GitHubをMicrosoftが買収しましたが、これもオープンソースコミュニティーの一つの在り方です。一つの企業がオープンソース自体の運営に責任を持ち、その収支構造までデザインし、ユーザーに永続的に安全なソフトウェアを提供する必要があると思います。

ソフトウェアは、幾多の事件の通りサイバー攻撃にさらされて続けています。どこかの営利団体が収支が成り立つ形で保守し続けないと、たちまちマルウェアの餌食になる世界です。

フリーライドが問題ではなく、フリーライドさせてしまう配布・利用の仕組みを、オープンソースソフトウェアの運営側が法的、経済的に改めることこそ、オープンソースのあるべき姿ではないかと思いますがいかがでしょうか。結果として、「ボランティアで開発」というあまり生産的ではない状況を変えることができるように思います。

サイバーセキュリティーについて思っていることを話しておきます。

運用管理者の責務の中でもっとも大事なのは把握です。会社にどんなネットワークが構築され、その中にどんなサーバーがあり、何を動かしているか。そしてユーザー管理、権限管理がどのように機能しているか。そして最近はインターネット経由で会社の外と連携しています。SaaSを利用しているかもしれませんので、閉じた世界で考えるのは危険です。いくら社内がヘルシーに動いていても、会社の外で使っていたあのサービスが問題を起こしたときに、思っても見ない事故につながることもあるやもしれません。

把握していない場所で何が起こっても運用管理者は手出しができない割に、経営者からは説明責任を求められます。とにかく把握把握ということで、運用管理者は把握できやすくするためにいつも努力をしているといっても過言ではありません。

そこで運用管理者は把握するために何をするでしょうか。ここが大事です。「集中管理」です。WindowsならばActive Directoryドメインを構築しようとします。全てのサーバーやクライアントPCをドメインコントローラーにぶら下げればあら便利。全て一つのコンソールから管理できるようになります。テンプレートを作って配下にばらまいて、同じ管理ポリシーを適用することもできます。

また、最近はクラウドを企業が使うのが当たり前になってきたのですが、クラウドも複数の種類を使う（例えばAWS、Azure、Google Cloudなど）ことも多く、どこに何があるのかを把握することが大変になっていました。また同じAWSでもアカウントが部署ごとに別ということもあります。このようなニーズに対して、全てのクラウドに接続し一つの管理コンソールで確認できるソリューションも流行しています。確認だけではなく、サーバーを作成したり、料金を比較したりなど、この分野も進歩しています。

その他いくつでも例は挙げられますがこの辺にして、集中管理と把握は結びついていることが前提として、サイバーセキュリティーの盲点を話します。

集中管理できる状態のときに、何でもできるID、特権IDの存在が大問題になります。

Windowsドメインであれば、ドメインアドミニストレーター権限を持つIDです。このIDが攻撃者に知れ渡ると、基本的にはドメインの下にあるリソース全てが脅威にさらされます。

ドメイン配下にバックアップサーバーがある構成は最悪です。バックアップサーバー自体も同時に攻撃されたときに、どこにもバックアップが無い状態でデータを人質に取られてしまいます。

特権IDのパスワードは運用管理者が厳重に管理しているから大丈夫、と思っている人もいるかもしれません。しかし運用管理者の端末が何らかのマルウェアに感染し、バックドアを仕掛けられ、その端末に「password.txt」なんてファイルがあってそれを開けたら特権IDのパスワードやIPアドレスが書かれていたら？。

もしくは、ドメインコントローラーのWindows自体にバックドアが仕掛けれられたら終わりです。特権IDのパスワード自体を変えてしまえばいいのですから。

最近、よく使われるLinuxであるUbuntuが21.04でActive Directoryに参加する機能を実装しましたが、絶対私は使用しないです。面倒であっても各サーバーごとに独立して権限設定すべきだと思っています。

クラウドの集中管理であったって、各クラウドの参照だけに留めるべきだと思っています。全クラウドでサーバーを作ったり削除できたりする権限まで持ったとしたら、第三者がサーバーを立てまくるかもしれません。

各システム、各機能ごとに、権限は全く別にし、分散して管理するのがサイバーセキュリティーを高めるポイントだと考えます。

A社のシステムが危険だとしても、B社のシステムが同時にダウンすることはあまりないのです。それはA社とB社が独立性を保っているからです。

これが、A社とB社が経営統合し、システム更新のときに共通基盤を作り、その基盤上にA社とB社のリソースを載せた時に問題が起こります。共通基盤が脅威にさらされたとき、A社とB社が両方吹っ飛ぶ可能性があります。

こんなことを言うと、集中管理しないことで運用コストがかかるじゃないか、という意見が出てきます。そうです。サイバーセキュリティーにはコストがかかるのです。このコストを省略するために集中管理を進め、その結果一か所に権限が集中し過ぎて、それを破られたときに全部アクセス不能になる。

実際、サイバーセキュリティーにおけるPDCAの現場では、運用管理者が把握できているかを厳しく問われます。そのため情報システム投資の目的で多くの集中管理ソフトウェアが導入され、その結果把握に関してどんどん自動化できるようになっています。

ところが、この進捗こそがサイバーセキュリティーを脆弱にしていくのです。そして特権IDの管理方法についてとても厳重にしていくのですが、結局は運用管理者は作業のために利用せざるを得ず、そこが弱点となっているシステムが多数世の中に存在すると思っています。

この辺りの考え方は、実はサイバーセキュリティーの本を見たってどこにも書いてありません。分散管理することで把握に人手が必要になり、コストが増えていくことは、経営者にとってうれしくないからです。ほとんどのサイバーセキュリティーの理論は経営者目線で書かれています。ベンダーも、経営者に対してサービスを売るので、そうならざるを得ないからです。

今、システム構築や運用に関わっている方は、ぜひ、分散し冗長に管理することのメリットを頭に入れておいてほしいです。人手はかかります。でも問題が起こった時に、「ああ、分けておいてよかった」と思うと思います。