パスワードを忘れた? アカウント作成
291502 story
セキュリティ

海外に置かれるメールサーバー、情報管理は大丈夫か? 108

ストーリー by hylom
下手な国内サーバーのほうがよっぽど危険なわけだが 部門より

ninja 曰く、

読売新聞の「情報管理大丈夫?78大学がメールに民間利用」という記事が話題になっているようだ。

件の記事は、近年多くの大学がGoogleやマイクロソフト、ヤフーなどが提供するクラウド型メールサービスを利用していることを、セキュリティの面から疑問視するというもの。確かにクラウド型のメールサービスについては尊師からも否定的な言葉が聞かれるなど、賛否両論あるのだが、ツッコミどころとなっているのは次の部分のようだ。

データを管理するサーバーが海外に置かれるケースもあるとみられ、専門家からは情報管理の安全性について疑問視する声も出ている。

はてなブックマークなどでもツッコミが多数入っているが、ここはこのコメントを出した「専門家」に降臨していただきたいところである。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年01月19日 18時38分 (#1890621)
    • by warudakumi (24294) on 2011年01月29日 11時48分 (#1895114) 日記

      読売の記事でコメントしている弁護士の岡村久道氏が、27日に開かれた
      「情報セキュリティ総合的普及啓発シンポジウムプログラム」で、
      「クラウドのリスクとセキュリティにおける法律面での留意点」というタイトルで
      講演をしていたので聞いてきました。
      http://www.isms.jipdec.jp/seminar/fukyu-sympo11.html#3 [jipdec.jp]
      そのうち資料が掲載されると思いますが、超要約すると、
      ・クラウド利用によって「データが国外に置かれる」「データの所在が不明確」「データが国境を越えて移動する」という事象が発生しうる。
      ・これが「ベンダーと利用者間の契約」「データが置かれた地域の公法」「国家権力(警察、裁判所)の力の及ぶ範囲」と重なると
      ・データ所有者がデータをコントロールできない(または、コントロールを得るための対価が割に合わない)状況に陥る
      ・これが重要な情報や機密情報、個人情報だった場合に問題となる
      ・また、個人情報などの場合、データ所在地域の法に触れることもありうる
      ・データが置かれたサーバーごと押収された例もある(ユーザーに大打撃)
      →だから、クラウドサービスを利用する場合には、事前に十分アセスメントをした上で、利用するなら適切な範囲とすること。
      という感じでした。

      親コメント
  • 列挙された「関連ストーリー」は「情報流出」の観点からまとめられているので,過去のストーリーから「大学と gmail」の観点であつめてみました。

    イェール大学、Gmailへの移行を見合わせ [srad.jp]
    > 問題は「『クラウドコンピューティング』(インターネットのバーチャルサーバとの情報の転送)、技術上のリスクおよびマイナス面、イデオロギー上の懸念事項」
    データを保存する場所(3箇所らしい)の国が判明できず,どこの国の法律に縛られるか分からないために導入せず。

    Gmailへのメール転送で注意。ドメイン全体が拒否される可能性 [srad.jp]
    Spam メール判定のコントロール権が google にあるために,必要なメールも一括して Spam 判定してしまった例。

    # 大学の情報処理センターは予算不足で24時間稼働のサーバ保守契約を独自に結べなくなっていますからね。学生→教員+職員の順番で移行している例が多いようです。個人的には大学の自主性の観点から反対なんですが,いかんせんお金が…。

    • by Anonymous Coward on 2011年01月19日 20時39分 (#1890705)
      今時の学生は大学メアドなんか使わない。需要ないとこに過大な投資は必要なし。
      親コメント
      • この話はガチ。「必要になったら、メアド作ってね?」という方針でメアドの設定をすると、1-3年は使わない。友人との連絡は、ケータイで行う。4年になって就活するときに、初めて設定する・・・のが一部。大半は、GMailやHotmailを使うらしい。

        大学のコンピュータセンターの人間からの証言。なので、人数分のメアドとその保存領域、さらにアンチスパムフィルタのライセンスって、結構無駄に終わる投資なんだとか。

        ・・・でも、だからといってGMailやHotmailに預けるってのは、嫌だな。

        --
        -- gonta --
        "May Macintosh be with you"
        親コメント
        • 大学・学部・教授による差が大きいので一般化するのは危険かと。
          こう言っては何ですが、使うように仕向ける学校側のやる気も大きいかと思います。

          例えばレポート提出を「学生アカウントからしか認めない」所もあり、その学部は100%です。申請関係も基本的に学内アドレスからしか認めないところもあります。まぁ、こうなった原因は「学生のリテラシーの低さ」が原因とか…。学生からの問合せの大半が携帯から、しかも学籍番号どころか名乗りさえ無いケースが多いそうです。その点、学生アカウントなら「どの学生か」は判ります。

          学生さんの方も、学内掲示板や授業関連のシステムと同等の内容が随時配信されるので休講や教室移動、レポート提出などを携帯に転送してチェックして便利に使ってる学生さんも多いようです。そういう意味では、学生アドレス使ってない学生さんは次第に知らないうちに不利益を被っているかもしれません。大学、特に教授陣の利用頻度とリテラシーはどんどん上がっています。

          > 人数分のメアドとその保存領域、さらにアンチスパムフィルタのライセンス
          これ、実際に無駄になってるので従来は学内で持っていたサーバも学生向けはGmailやHotmailへの移行案件が多いです。使われないものに予算は振れません。

          親コメント
      • by Anonymous Coward on 2011年01月19日 21時51分 (#1890736)
        んなこといってっから就職できねーんだよ!
        親コメント
      • 私の場合、研究室配属されるまでは使ってませんでしたね。
        研究室配属後、研究室のメールアドレスを新たに割り当てられましたが、そっちは常用しています。

        もともと割り当てられていた学生のアドレスは、結局使っていません。
        その後大学院に進学しましたが、研究室のアドレスは使用していますが、大学からのアドレスは割り当てられているのかすら知りません。

        --
        1を聞いて0を知れ!
        親コメント
  • by NOBAX (21937) on 2011年01月19日 19時37分 (#1890665)
    単にメールサーバーの問題ではなくて、コンテンツを社外に置くことのリスクは
    例えば、クラウド時代の情報セキュリティ [amazon.co.jp]なんかに詳述されています。
    最後のデータを分割して、格納しろという提案はPR臭プンプンですが。
    リスクの例として
    ・データの物理的な格納場所が不明。格納された国の法律が適用される可能性がある
    ・サーバーに同居している他のデータが法律的に問題があって、友連れでサーバーを押収されてしまうリスク
    などなど
  • by Anonymous Coward on 2011年01月19日 18時23分 (#1890609)

    だいぶ前に専門家らしき人が同様の注意喚起をしている記事をみかけましたが
    探し出せませんでした。
    代わりに見つかった朝日新聞の関連サイト [asahi.com]を貼っときます。

    # 同様の懸念を抱く大学関係機関職員なので AC。

  • 国内だって (スコア:3, すばらしい洞察)

    by gonta (11642) on 2011年01月19日 19時01分 (#1890642) 日記

    やばいところは、やばいだろう。国内、国外関係ないよね?

    ただ、クラウドだGmailだYahooだと、他人任せにする風潮がどうしてもいただけない。サバ管上がりの戯れ言かもしれないけど、なーーーんか、いやなんだよな。全部Googleとかにまかせちゃうの。

    いや、Googleが悪い訳じゃなくて、外部に置くのがクラウドだ。で、それがいいんだ、という風潮。
    #確かにGoogleがどこまで情報握ってるか、わかったもんじゃないけど。Street ViewでSSID掴むは、何はするは、で・・・

    --
    -- gonta --
    "May Macintosh be with you"
    • by Anonymous Coward on 2011年01月19日 19時14分 (#1890650)
      親コメント
      • by Anonymous Coward on 2011年01月19日 22時33分 (#1890755)

        この記事、なんだか気持ち悪いですね。

        データセンターがサーバのパーツを盗んだ=単純に窃盗事件だろ。
        まさか本当に第三者の犯行が、有り得るとでも思っているんだろうか。

        サーバ20台も使ってる会社が、頭悪すぎて、激安なサーバ置き場(多分データセンタじゃない)を使っちゃってだけだろ。

        今時、ラック間の通路には、普通に監視カメラ付いてるよね。

        しかも入館手続きが必要なら、夜間に出入りしたやつかなり絞り込めるだろうし。
        カメラ無くとも、入室用のセキュリティカードで、特定出来るよね。
        それに、真面目なとこなら、鍵の閉め忘れチェックとかで定期的に見回り来るし、鍵持って無いやつがこじ開けて、サーバ開けてたら普通気づくだろ。

        これお仕事相手を選ぶ以外に、何に気を付ければいいのか分からないし、きっと小話的なネタだよね??
        ネタニマジレス(・∀・)カコワルイ!! ってこと?

        それにまず、DCに移した後、死活監視もしてない、LED見て異常に気付かない、いきなりケーブル交換するようなバカ管理者を雇っている時点で、その会社がダメだって話でしょ。
        そんな会社、CPUとかメモリなんて有ってもろくな仕事出来ないよ。

        付き合いのある人の程度が知れるね。
        この記事書いた人誰?有名人?

        親コメント
  • そもそもなお話なのですが、自国の法律が適用されるのが、果たして良いのでしょうかね。

    例えば、中国で反政府と扱われている人が中国での司法・行政による開示が今のところ及んでいない Gmail を使ったり、日本国内での開示を免れたい人もいることでしょう。

    そして、それらの内国法ってのは、国益という名のもとにその国の主権者(国によって国民だったり政府だったり与党だったり宗主国だったり)の都合によって立法されているわけでして。 それらの内国法が自分にとって有利か、外国法が有利が、といった判断をしても良いでしょう。

    ってことで、日本国内法について議論されている方が多いように拝見いたしましたが、そもそも日本国内法がよいのかどうかも検討したほうが良いでしょう。 お金の話だとタックスヘイブンがあるように、情報についてもインフォメーションヘイブンができてもおかしくないはず。

  • Microsoft Online Privacy Statement [microsoft.com]に記載されている通り、以下の3つの場合にはマイクロソフトは、次の場合に、お客様の通信内容など、お客様に関する情報にアクセスまたはこれを開示することがあるという。

    1. 法に準拠する場合、あるいは法の要請または法的手続きに応じる場合。
    2. お客様によるサービスの使用を管理するマイクロソフトの契約またはポリシーの施行など、マイクロソフトまたはマイクロソフトのお客様の権利または財産を保護する場合。
    3. 善意に基づいたこのようなアクセスまたは開示が、マイクロソフトの従業員、お客様、または公衆の個人的な安全を確保するために必要とされる場合。なお、合併や資産売却などの企業間取引の一環として、マイクロソフトが個人情報を開示することもあります。

    安全ボケの日本人はこれを見て、安心するかもしれない。しかし、ようするに、私法(法に準拠)、すなわち、国内法以外の法律に応じて通信内容にアクセスしたり、特許が侵害されているとマイクロソフトが判断したり、みかん星人事件のような事件が発生したりした場合に、彼らの判断でメッセンジャーやhotmailを覗き見ることを認める契約が成り立っているということだ。

    ちなみに、実際にそのようなアクセスが行なわれているか第三者機関が監査する手段は無い。

    過去に、通信内容へのアクセスが行なわれたことがあるのか、また、その判断基準なども公開されていない。

    これを業務や知的財産権を取り扱う大学で使うのは危険ではなかろうか?

  • 本来、学問の自由 [wikipedia.org]の観点から、大学は他からの干渉を受けるような状態であってはいけない。情報インフラを学外に手渡すなんてもってのほか。

    ‥‥‥っていう「そもそも論」がほとんど無いのはなぜなんだろう。
    # 来たれ! 全共闘世代!

  • by Anonymous Coward on 2011年01月19日 18時26分 (#1890613)

    Microsoft Liveの関係者が言ってたけど(要出典)。
    ※探したらこれ [soumu.go.jp]の2ページ目に「Windows Live Mail / Hotmail, MSN等のサーバーを日本国内に設置」と書いてある

    メールのドメインに関係なく、地域設定を日本にしていると「すぐではないがそのうち(担当者談)」日本のサーバーにデータが来るので快適な動作になるというのが言い分でしたが、BPOSだと別?

    ※誰か記事にしてないかなぁ

  • by Anonymous Coward on 2011年01月19日 18時51分 (#1890630)

    公立の図書館がGoogle Analyticsを使うことすら問題とされ、使用を停止したようです。
    http://www3.city.tokyo-nakano.lg.jp/tosho/voice/HPkoe1009.html [tokyo-nakano.lg.jp]

  • 専門家ーーー>一人、二人以上?、匿名?実名を出すと突っ込まれる?
    情報管理ーー>学術用語? JIS 用語?
    安全性ーーー>数値で表現できないのか?
    疑問視ーーー>どんな見方? 何らかの経験値からズレているものがあるのか?

  • by Anonymous Coward on 2011年01月20日 8時35分 (#1890860)
    国内メーカー系企業の売り文句:
    サーバーは全て国内で一括管理しているので安心です

    独立系サービス業者の売り文句:
    サーバは世界各国に分散配置しているので安心です
  • by Anonymous Coward on 2011年01月19日 18時11分 (#1890603)

    学生・卒業生が使うメールサーバと、教職員が使うメールサーバは区別して考える必要があるな。

    サーバが海外かどうかは関係ないけど、学外かどうかというのは重要な問題。

  • by Anonymous Coward on 2011年01月19日 18時12分 (#1890604)

    > アドレス表記は大学で独自運用していた時と同じで、
    > 部外者には企業が管理するものとは分からない。
    だれだそんな寝ぼけたこと書いてる奴は。
    ちゃんとgoogle.comとかヘッダーに出てくるだろうが。
    ていうかメアドだけでしか判断できないと思ってるのだろうか?

    #某大ユーザーなのでAC

    • っていうか、組織のメールサーバの管理者が変化しないわけじゃないんだから
      それがどこの誰かが分からない限り、大学の中だろうが外だろうか一緒じゃない?

      嫌だったら自分でメールサーバ運営すればいい。

      親コメント
    • いやいや。
      要は各個サーバーが物理的に設置されている場所の国の法律がそれぞれ適用される事になる場合、色々とややこしくなる。
      クラウドとかで複数の国をまたぐようになったら設置箇所の各国の法律全てでセーフになるように気をつけないといけない。

      例えば「日本では合法でも海外法ではアウトな猥褻画像(週刊誌の写真原稿とでもしますか)をメールでやり取りする場合、法的にどうなる?」

      とかそういうもっと上の層の法務辺りの話でしょう。

      親コメント
  • by Anonymous Coward on 2011年01月19日 18時13分 (#1890605)
    ふつうの一般人や、一般の中小企業のメールは、べつに世界のどこにあってもいいだろうけど、 産業スパイ等の対象になりかねない企業や重要人物のメールに関しては、 やはり情報がある場所も大事じゃないかな?
    • Re:人にもよるんじゃ? (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2011年01月19日 18時26分 (#1890614)

      >ふつうの一般人や、一般の中小企業のメールは、べつに世界のどこにあってもいいだろうけど、産業スパイ等の対象になりかねない企業や重要人物のメールに関しては、やはり情報がある場所も大事じゃないかな?

      そもそもそんな重要な情報を平文メールでやりとりするなっつー話ですよ。

      親コメント
      • by PoketMont (15188) on 2011年01月19日 18時57分 (#1890634)

        外の人とやり取りするメールではその通りですが、「内輪でやり取りするメールも暗号化しなければならない」となると、ユーザーの意識を大変革する必要が生じるケースが多いでしょうね。

        「組織内でやり取りするメールはセキュア」という前提が明示的にあったり、或いは暗黙の認識として出来上がっていたりする組織はよくあるので。特に自前でメールサーバを運用しているような組織では。

        親コメント
  • by Anonymous Coward on 2011年01月19日 18時24分 (#1890611)
    笑える内容でしたね。

    学内にサーバの運用と管理できる人がいないとかで、外部に丸投げしてるとか。
  • by Anonymous Coward on 2011年01月19日 18時31分 (#1890618)

    タイトルに恣意的なものを感じるなぁ。
    だって国内であろうとセキュリティ的に駄目なサービスはあるだろうし、海外だってきちんとしてるところはある。

    きちんとしたメールサーバーを選ぶか自分で運営しようね、って言うなら判るが、海外かどうかなんて些末な問題だろうに。

    #自分で運営するのも素人がやったら既存ホスティング未満のモノにしかならないのは言うまでもないけど。

    • by Anonymous Coward on 2011年01月19日 18時34分 (#1890619)

      いざという時に国内法が適用できるかどうかってのは大きいんじゃないでしょうかね。

      親コメント
      • by Anonymous Coward on 2011年01月19日 19時54分 (#1890677)

        上の方で、国内法が適用されない方が良い選択もあると
        書いてた人も居るけど、自分が損害を被る事案が発生した時に、
        専門的で難解な法律関係のやりとりを、母国語で出来るか
        否かというのは、かなり大きい問題だと思うけど。

        特に金が絡んだときは大変だと思うな。

        後、指摘してる人も多いけど、研究開発関連の機密情報とか。

        親コメント
    • by Anonymous Coward on 2011年01月19日 21時54分 (#1890738)
      かつてアメリカは、日本の自動車会社の日本とアメリカ支社間の国際電話を盗聴し、その内容をアメリカの自動車会社に提供していた
      なんていう伝説があるんですよ。

      日本からアメリカへの国際電話の通話料金が高いのは、1回線ずつ日本語がわかるアメリカ人が張り付いて文書に落しているからだ、なんていう冗談も。
      親コメント
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...