クラウドセキュリティに関する講演のご案内(東京)

エリック・シュミットがクラウド・コンピューティングという概念を発言してから9年が経過し、一時期バズワードと言われたクラウドも、一般的な用語として定着してきました。

私が日本のchapterで運営委員として参加しているCloud Security Allianceは、アメリカで始まり、黎明期からクラウドのセキュリティについて研究している団体なのですが、アメリカだけでなく、日本でも、CSA Japan Summitというイベントを開催しています。

今年も、、クラウドセキュリティシンポジウム”CSA Japan Summit 2015″が開催されますが、今回は、私が、基調講演のうちの一つでお話をさせていただくことになりました。

テーマは、「クラウド・セキュリティインシデント・ケーススタディ」です。来場者の方々の貴重なお時間を拝借致しますので、力を尽くし、充実した内容としたいと考えておりますので、ご興味ある方、近隣の方は是非ご来場いただければと存じます。

ブログを移転・復活させました。

福岡に移り、結構動きがとれるようになってきたので、ブログを復活させました。

以前のドメイン、k-yoshii.netは、事務所移転でドタバタしているときに更新を忘れてしまい、使えなくなってしまったため、新たにドメインをとりました。

今後はもう少し更新をしていこうと思っておりますので、また宜しくお願い致します。

ブログを移転・復活させました。

福岡に移り、結構動きがとれるようになってきたので、ブログを復活させました。
以前のドメイン、k-yoshii.netは、事務所移転でドタバタしているときに更新を忘れてしまい、使えなくなってしまったため、新たにドメインをとりました。
今後はもう少し更新をしていこうと思っておりますので、また宜しくお願い致します。

第12回研究大会での個別発表と若干のご報告

情報ネットワーク法学会第12回研究大会にて、「データ消失事故におけるクラウドサービス等提供者の民事責任」と題し、個別発表をさせていただくことになりました。
今年は、6月の大規模データ消失、漏えい事故以降、このテーマを半年にわたって追ってまいりましたが、今回は、学会で消失事故の検討を行うことと致しました。この件に関する私の今年の研究活動の集大成といえるかと存じます。時間は、30分と短いため、テーマを絞った発表になりますが、その分、深くお話しできるよう頑張りたいと思っています。
第12回研究大会の詳細はこちら
今年の研究大会も、内容は盛りだくさんです。個人的には、個別発表C-1の「インターネット上の不法行為などにおける本人性について」、特別講演のスルガ銀行事件に特に興味を抱いています。C-1は、自分の個別発表の裏なので、聞けないですけど。
なお、報告ですが、この度、同学会の理事に就任致しました(先日のオンライン総会にて)。力の限り学会を盛り上げるよう尽くしていきたく存じますので、よろしくお願い致します。今回の研究大会でも、第4分科会の副主査を務めさせていただいております。とはいえ、分科会の当日は、フロアにおりますので、あまり運営側らしい動きはみせないかもしれませんが。
抱負というか、目標というか、希望というかですが、九州でこの問題に携わる者として、九州での研究大会の開催ができればと思っております。今後、ご協力をお願いすることもあるかと存じますが、九州でこの問題にかかわっているすべての方、今後とも、是非、宜しくお願い致します。

データ消失事件と諸問題

先日、TechTargetジャパンで、「SaaSでデータが消失したら誰の責任?進むクラウド事業者の多層化問題」という記事をかかせていただき(URL)、また一昨日は、情報セキュリティ大学院大学で、「クラウド時代の契約問題:サービス提供者のデータ消失やデータ漏洩にどう対処するか?」というワークショップ(URL)でお話をさせていただきました。
これらの記事と講演に関して、若干付言しようと思います。
まず、TechTargetジャパンの記事について。TechTargetでは、国内法の適用との関係で、それぞれのプロバイダが国内に存在する場合を想定して書かせていただきましたが、クラウドの多層化やサプライチェーンの関係で一番問題となるのは、越境を含む場合だと思っています。
想定しているのは、国内のSaaSが海外のIaaSを使っていて(海外IaaSを使用していることも表示していないケースもあるかもしれません)、IaaSの障害でデータが消失したようなケースです。
記事に記載しているとおり、もともと、このようなケースでIaaSの責任を問うことは簡単なことではないのですが、越境が絡むと、これは更に難しくなります。
ただ、それだけではなくて、IaaSの事業者がファーストサーバのように具体的な報告をするとは限りませんし、事故原因についての詳細を知る、すなわち、証拠を収集することも困難となる可能性があります。
その場合、SaaS事業者の責任を問うこともまた、難易度が上がるものと予想されます。
次に、講演中で質問があったバックアップの責任に関してです。
バックアップについてプロバイダが責任を負うかどうかは、クラウド利用契約の本質的な義務としてのバックアップ義務が存在するかと、規約の定めによります。
クラウド利用に当たって、クラウド側でのバックアップ機能を備えない限り、そもそもサービスの提供が不完全であるという考え方に立てば、バックアップは、クラウド事業者側の本質的な義務ということになると思われますし(ただし、バックアップをとらなかった利用者の過失を考慮する場合はある)、他方、オンプレミスの環境において、利用者でバックアップをとるのは当然であったところ、単にクラウドのインフラを自身の環境の拡張に利用しているだけで、データの保持に関する責任は利用者が負っているのは当然という立場に立てば、バックアップの責任は、原則として利用者が負うことになると思われます。
このあたりは、そもそも裁判例が少なく、判断も分かれているので、そのような義務があるかどうかはこれからの展開を待つことになるのだと思われますし、今後も裁判上で争いが続く部分と思われます。
また、バックアップができない、あるいは困難なサービスを提供していた場合、特にデータの組成もクラウド側で行っているようなサービスの場合、バックアップはそもそも困難ですし、あるいは、バックアップをユーザーが十分にとることができるようなインフラを備えていない事業者の場合はどうなるかという問題もあります。
そのような事業者を選択したことの是非の問題も当然生じるとは思いますが、法的に考えると、そのようなサービスを事業者が提供している以上、事業者側でバックアップを採るべき義務があるという考え方はできると思いますし、バックアップの容易性が事業者のバックアップ義務の有無にも関係するのではないかとも考えています(ワークショップで御紹介した平成21年判決も、バックアップが容易であったのに、というような言い回しをしています)。また、バックアップをとらなかったことによる利用者の過失がしん酌されるかも不明です。
その意味で、一律に今後、バックアップの責任が利用者だけにかかってくるとは断言できないと考えています。

1 2 3 4 5 11