地域や企業にデジタルトランスフォーメーションを実現するための情報をお届けします

中小企業経営者のためのクラウドの安全性講座

 

6月20日、ファーストサーバ社のデータセンターで大規模なサーバ障害が発生して、およそ5000社の企業のデータが消失した事件は、私たちにとっても衝撃でした。
ファーストサーバ社は、サイボウズのクラウドパートナーとしては最も古くからのお付き合いであり、10年以上に渡ってクラウドを運用しています。最も実績があるパートナー様で起きてしまった今回の障害で、管理体制はもちろんですが、パートナーの運用基準やサイボウズ自身が運用しているcybozu.comの管理運用についても深く考えさせられました。

ファーストサーバ社でサイボウズをお使いいただいて今回の被害にあわれたおよそ400社のサイボウズユーザー様には、本当に心よりお見舞い申し上げます。

今回の障害に含まれるサイボウズのユーザー様の範囲、および弊社の対応方針に関しての公式な説明は以下のとおりです。

ファーストサーバ様 インターネットサーバー障害について(サイボウズ)

ファーストサーバ様は、サイボウズのASP及びホスティングパートナーの内の1社であり、運用されているサーバー群の中のいくつかが障害をうけています。
同じファーストサーバ社で運用、もしくはASPサービスをご利用のお客様でも問題なく稼動しているところもあります。

また、運用に関してサイボウズと直接契約されている「cybozu.com」のお客様や他のパートナーで契約、運用されているお客様は問題ございません。今現在において普通に使えている状態であれば今回の障害とは無関係です。

さて、今回の件だけではなく、今年に入ってクラウドサービス、それも大手におけるサーバー障害がよく報じられています。
3月には、相次ぐサーバー障害を受けてさくらインターネットが今後も完全な安定の見込みが立たないとして当面サービスを無償化した他、AmazonのEC2においても4月、そして6月に2回大規模な障害が発生しています。

こうやって考えるとクラウドの安全性に不安を抱かれる方も多いのではないかと思います。
ここでちょっとクラウドの安全性について解説してみたいと思います。

クラウドを使用するうえでのリスクはいくつか存在します。そのほとんどはクラウドではなく社内にサーバーがある場合でも起きるリスクです。大きく分けると以下の3つになります。

1.接続できなくなる事故
2.データが消える事故
3.データが覗き見されたり盗まれたり改変されたりする事故

3.については長くなってしまうので別の機会にします。

1.についてですが、これの原因は主に「なんらかの理由でネットワークの帯域が埋まってしまう」か「何らかの原因でサーバーがダウンしてしまう」ことにより起こります。この事故の確率については、インターネット上にあるサービスを利用するクラウドサービスの方が、社内サーバーに比較して攻撃を受けたり、大きなデータが流れたりする確率が大きいと言えるでしょう。

ただ、インターネット上に社内サーバーを公開している場合は、リスクの度合いは同じです。自社のサーバーの場合、セキュリティパッチの適用やウィルスソフトの更新を怠っていると、むしろ危険度が上がります。
このリスクに対する評価基準は、通常は年間稼働率(一年間でどれくらいの時間ちゃんとサービスに接続できるか)で表されており、一般的なクラウドサービスの場合、99.9%以上が普通です。
ただ、クラウドサービス自体の歴史が浅いため、実績で書かれている場合と、見込み(保証範囲)として書かれている場合があります。
なので、心配であれば、実績か見込みかを確認するといいでしょう。

2.のデータが消える危険性についてですが、今回のファーストサーバ社の事例はむしろ珍しく(それだけに衝撃も大きいのですが)クラウドサービスのデータの冗長性は結構厳重です。

今回のファーストサーバ社の事例は、ファーストサーバ社の発表によれば、データの削除コマンドの範囲を間違えて記述した管理プログラムを、テストの手順をちゃんと行わずに本番適用した結果、メインサーバーと待機系のサーバーとさらにバックアップの3つを同時に消してしまったというものですが、「プログラムのバグ」「テストの手順ミス」「バックアップが待機系と同じサーバーに入っていた」という3つの大きな要因が重なってデータまで消えてしまっています。

一般的には、バックアップデータを稼働サーバと同じ環境に置くことはないので(cybozu.comの場合は、稼動しているサーバーとは違うデータセンターで7世代のバックアップを取っています)確率としてはあまり高くないとは思います。

このデータの冗長性についてもうちょっと解説してみます。
あくまで一般論ですが、クラウドのサービスは、サーバーの中にあるRAIDと呼ばれるハードディスクの冗長性(複数のハードディスクに同じデータを書き込みハードトラブルに対応する)を備え、それに加えてサーバー自体を本番系と待機系の2台のサーバーを用い、この時点で同じデータが4箇所に書かれていることになります。

その上でそのデータをさらにバックアップを取り、もちろんそのバックアップ自体もRAIDなどの冗長性や世代管理を行っていることが多いです。
(もちろんこれでも絶対安全ではありませんが)

ここで書いたのは一般的と思われる例であって、みなさまがお使いのサービスがそうかどうかはわかりません。
実は、このコラムで言いたいことは、「ご自分、もしくは信頼できる第三者に聞いてお確かめください」なのです。

今まで私たちはどちらかといえば、「全部お任せください、何もしなくていいですから」的な説明や宣伝を繰り返してきました。しかし、残念なことに上記のような手を尽くしても事故が起きるときは起きます。
しかも、それは知名度に関係なく、大規模なデータセンターでも、10年も安定運用だった実績のところでも起きることを知ってしまいました。

なので、業者や販売店、メーカーへちゃんと内容を聞いて、リスクとメリットをご自分で判断できるようにするしかないと思います。ITコーディネータやコンサルタントの方におかれても、このあたりを説明できるようになっておく必要があると思います。

そしてそのリスクはクラウドに限った話ではなく、社内のサーバーに置いても同様です。
報道が多いからといってクラウドが社内サーバーに比べて危険かといえば、そういうわけでもないです。
上記のように大手クラウドサービスはかなり頑丈な作りをしており、データの無くなる可能性は大きくはないです。

ただ、起こったときの規模が大きいので目立って報道されるせいだと思います。
飛行機事故と同様ですね。(ちなみに飛行機事故で10万人あたり事故で死亡する確率は、自動車事故の1割もないそうです)

クラウドの安全性について、またはサイボウズのクラウド環境が実際にどういう構成で動いているのかを聞いてみたいと言う経営者や管理者、また販売や紹介するときにちゃんと説明したいとお考えのコンサルタントの方は、よろしかったら7月19日より27日まで全国5箇所(札幌、仙台、東京、大阪、福岡)で開かれるセミナーにお越しください。

私の方よりセミナーの中、またはセミナー後に説明させていただきます。
今後は、「任せて全部安心」ではなく、リスクの説明と安全への取り組みをきちんと話させていただくことで、みなさまの信頼を得て行きたいと思っております。

セミナーについて詳しくはこちらを御覧ください。
 
SNSでフォローする

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA