orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

データの場所を気にするようになるインターネットはIaaSに回帰する(かも)

f:id:orangeitems:20210319171503j:plain

 

LINEが中国企業に業務を委託し、そこから個人情報が見られる状態になっていた件は大いに世間をにぎわせることになりました。

 

japan.cnet.com

 LINEは3月17日、一部で報道された日本国外での個人情報の取り扱いについて声明を発表した。報道では、LINEがシステム管理を委託していた中国企業の技術者が、ユーザーの名前やメールアドレスといった個人情報に加え、トークや写真も閲覧できる状態だったとするもので、すでに中国側のアクセス権を剥奪していると報じられていた。

 同社によると、LINE内でのトークテキストや個人情報(名前、電話番号、メールアドレス、LINE IDなどユーザー個人を特定できるもの)については、原則として国内のサーバーで管理しているものの、国内ユーザーの一部の個人情報に関して、グローバル拠点での開発・運営業務上の必要性からアクセスしていることについて、ユーザーへの説明が不十分だったと釈明。あわせて、外部からの不正アクセスや情報漏えいが発生した事実もないとしている。

 

下記が詳しいです。

 

piyolog.hatenadiary.jp

2021年3月17日、日本国内のLINE利用者の個人情報に対し、国外から技術者らがアクセスできる状態にあったにもかかわらず、規約上で十分な説明が行われていなかったと報じられました。ここでは関連する情報をまとめます。

 

LINEはこの前Yahoo! Japanと合併しましたが、その資本スキームがやたら難しくて話題となりました。下記が資本関係についての資料です。

 

news.yahoo.co.jp

ついに、2021年3月1日、ZホールディングスとAホールディングス(旧:LINE)の正式統合が実現されることとなった。※称号変更は2021年2月28日(日)

2019年11月の経営統合発表から、2020年10月の計画が延期し、2021年3月と5ヶ月遅れの経営統合が実現する。

経営発表から、1年4ヶ月経過後…ついに『Yahoo』と『LINE』の経営統合が実現する。

 

つまり、いろんな会社の連合軍であり、その中に韓国NAVERがおり、そこから中国の子会社に発注され、東アジア全体でビジネスをやっているのだという世界観です。

資本関係だけ見ると、データが国を超えても何の違和感もないと思うのですが、そうはいかんよというのが政治の世界だと思います。

 

www.sankei.com

無料通信アプリ「LINE(ライン)」利用者の個人情報が、中国の関連会社で閲覧可能な状態になっていた問題を受け、武田良太総務相は19日の記者会見で、総務省が採用活動や意見募集などで使っている同社のサービスの運用を停止する考えを示した。また、全国の自治体に対しても、利用状況を確認した上で26日までに報告するよう求めたことを明らかにした。

 

 

this.kiji.is

 加藤勝信官房長官は19日の記者会見で、LINE(ライン)利用者の個人情報が中国で閲覧可能となっていた問題を受け、内閣官房での利用について「懸念が払拭されるまでは利用を停止する予定だ」と述べた。政府はラインで機密情報は扱わない運用にしていると強調し、各省庁の利用状況を確認しているとした。

 

でもほとんどのインターネットメッセージングのデータって、国境越えしてると思うんですよね。どのサービスだったら政治の世界は満足するのでしょうか。そもそもSaaSってもんはどこにインフラがあるかは、契約書にでもうたわない限りはどこに保管されてもわかりゃしないってのが建前のように思います。あの有名なあのサービスが、いったい物理的にどこに保管されているかなんて、実はわかったもんじゃありません。

実は、気が付いたらほとんどが中国にサーバーが設置されていた、なんてことも普通に起こりえるのがSaaSです。だから、SaaSを利用するときは、そこで扱われるデータについてはあまり機密に関わるものはアップロードしたらまずいという直感は昔からありました。

どこか牧歌的にインターネットを使っていたのが日本人で、大昔は、データは物理的な場所がわかっているデータセンターで、自社の機械だけで構成して情報処理を行うように。そんな常識が本当にあったのが2000年初頭でした。そこからクラウドがやってきて、インターネット利用が光回線や4Gとともに爆発的に普及し、何だかDXな感じになってきた矢先のこの話です。

クラウドが無くなることはないのですが、利用方法についてはもっと制限が厳しくなる予感はあります。利用者はどこにデータが保管されているかを知る権利がある、なんてことも今後個人情報保護の観点から、偉い人が言い出しそうな雰囲気です。

そうなると、このSaaSはどこのクラウドで何のリージョンでデータを保管している、なんてことを契約書に書かなければいけなくなり、利用者もそれを確認しなければいけなくなり、それだったらウチは、IaaSでサーバー借りて、独自にシステム構築して使った方が安全じゃないか、なんて話になりそうです。そうすれば、誰かに説明することが簡単だからです。

クラウド=国境を超える、じゃなくてあくまでも使い方です。オンプレミスだってインターネット回線をつなげば簡単に海外にデータは遅れますから、接続性の問題ではなく、説明可能かどうかの問題だと思います。

極端にSaaS利用が流行していた時代から、IaaSによる、説明可能なコンピューティング、そしてソフトウェアがそこでまた注目されるのではないかという読みをしていて、これはある程度そうなってほしいかなという希望的観測でもあります。

SaaS一辺倒って、やっぱり少しインフラ基盤のことをないがしろにしているイメージがあり、そんな大事なデータを扱うシステムは、やっぱりIaaSからこだわって欲しいよなと思う次第です。