クラウドサービスは、ソフトウェアの集合体をインターネット経由で利用することだと思う。
その上で、設定ミスにより情報漏洩が起こるなど、よからぬことが起こっていることは知っている。
総務省は7月25日、クラウドサービスの設定ミスがもたらすリスクやその対策などをまとめたガイドラインの素案を公開した。クラウドサービスの設定ミスに起因する情報漏えいの多発を受けて作成したという。素案に対するパブリックコメントの募集も同時に開始。8月24日まで意見を募る。集まった声を踏まえ、今秋に正式版を公開する。
わかる。わかるんだけど、クラウドサービス事業者側、もっと言えばソフトウェア開発側にも物申したいことはある。
そりゃ、設定したらその通り動くことが一番大事なんだけど、どう考えてもその設定は情報漏洩するやろ、みたいなパターンは開発側も知っているはず。
なぜ、仕組みとして検知して、警告表示しないのだろうか。
危険な設定のすべてを網羅する必要はない。典型的なものだけでもいいから、「それ危ないよ、こういうことが起きるよ、いいの?」とユーザーインターフェース上目立つように表示できないものか。
また、危ない設定を簡単に実装できるのもいかがなものかと思う。危険な設定は、別メニューに外して、ユーザーの任意で実施させるようにはできないものか。
日本人のソフトウェアの作り方は結構、危険なことをさせない配慮があったのだが、特にアメリカ発のソフトウェアは、とにかく実装する。そしてどんどん機能を増やしていって、不具合があればアップデートで改善する。そんな作りが非常に多い。
危険かどうかより、とにかくリリースを急ぐ。アップデートでどんどん機能が増えていき、インターフェースも徐々に改善していく。
安全性より、できることを増やすことに優先度を置いているために、いろいろ設定していくうちにユーザー自ら穴を空けてしまい、実は全世界に機密情報が公開されてました、みたいなことがここ十年、たくさん起きてきた。
クラウドサービスは便利だけど、設定に気を付けないと、危険な目に遭うと言われるようになり冒頭の記事のようにユーザーが自衛する必要がある。だからこそクラウド分野にも専任のシステムエンジニアが必要になり、お仕事も事欠かないのだけれど、やってて思うのは、わざわざ穴の開くような仕組みをなぜ作るんだろうという、違和感である。
技術とは「できることを知ること」と思われがちだけど、「できるけどやったらいけないこと」を知ることはもっと大事だ。実装経験が無くていきなり設計すると、便利な機能に飛びつきがちだけど、便利な機能ほど危ない仕様が隠れていたりもする。ベンダーの資格試験の知識ではなかなか見抜けない。ソフトウェア開発側も気づいていないような、危ない仕様だってあるのだ。
この業界で長く仕事をしているので、こうしたら危険だ、という感覚はたくさんついた。それは財産なんだけど、そろそろソフトウェア側で実装してくれないかなーと言う感覚もある。おかげで、新しい機能を試すことはあるけど、実装するときは枯れた技術で組むことが多い。本番運用の世界で、新しい機能かどうかなんてどうでもいいので。安定して安全で、長く使えることが最も大事だから。
ユーザー側が自衛しないと、なんて言われないように、クラウドベンダーにはソフトウェア開発してほしいものである。
