セキュアデータセンターとはどんなものだろうか：M&A時代のビジネスガバナンス（7）（1/2 ページ）

今回は、データセキュリティとデータセンターサービスについて検討してみる。

[岡野 直樹，サン・マイクロシステムズ]

　安全で安心なデータセンターのあるべき姿について、“情報をつかさどるモノ”という位置付けで、データのセキュリティという観点と今後のデータセンターサービスの展望について議論をしていきたい。

　冒頭に“情報をつかさどるモノ”という定義をしたのだが、「つかさどる」という言葉の意味について掘り下げると、次のような意味があることが分かる。

1. 職務・任務として取り扱う。役目としてそのことに当たる
2. 支配する。管理下に置く

　では、「情報（Information）」とは何か、「データ（data）」との関係はどのようなものだろうか。

　これを雑ぱくに表現するならば、情報は人間が理解するもの、あるいは人間同士が意思疎通を図る上で流れるものであり、データは人間が自然や情報から固定的なものを抜き出し、人間同士が固定的に理解ができるようように記述するものだ。

　同時にこれはコンピュータに取り込めることを可能にし、コンピュータで処理できることを可能にしている（ここでのコンピュータを複雑な固まりとしてとらえても変わらないと思われるので、以降では「システム」と表現する）。

データのセキュリティとは？

　データの取り扱いについて考える場合、以下のような議論が各段階で必要だと考えられる。

• a）情報から固定的な部分をデータとして抜き出し、システムに取り込む
• b）取り込んだデータは、システム上で処理されたり、別の場所へ運ばれる
• c）結果としてのデータを、システムから固定的な情報として取り出す

　これらの段階を通じ、データを時間と場所を超えて一貫してかつ誤りなく取り込み、処理し、伝え、取り出したりできるように、システムがなっている必要がある。

　ここでは、これらの事項を踏まえた上で、セキュリティが実現されるあるべき姿について、個別に議論していきたい。

データの概念

　まず、a）の段階では、「データが誤りなくシステムに取り込まれる」ことが必要になるが、この「誤りなく」の意味は以下のように解釈できる。

• 正規のユーザーあるいはシステムから
• 正しい型や値のデータだけを

　前者は、いわゆる認証と権限の確立の問題だ。ただし、正規のユーザーが意図的に不正を行っている場合もあるため、後述のマネジメントとしてセキュリティの実施が必要であり、そのためには必要最小限の権限付与や監査証跡データの確保が重要となってくる。

　後者は、取り込むデータの完全性と機密性の問題だ。これには確かさが確認できる仕組みなどが必要だが、さらに後述のマネジメントとしてのセキュリティの実施が必要となる。

　b）の段階では、「データが一貫して誤りなくシステム上で処理されたり別の所に運ばれる」ということが必要だが、この「一貫して誤りなく」の意味としては以下のように解釈できる。

• 常に正しく動作して
• 正しく処理する

　前者は、いわゆるシステムの可用性の問題だ。

　後者はデータが複数システムの間でやりとりがされる場合もあるため、データの完全性の問題として、全体としては暗号化や電子署名などが必要だ。

　さらにデータの中身の解釈についての保証を考える場合では、データ品質管理なども必要となってくる。なおこれに関して、現在「ISO 8000」としてデータ品質管理システムの開発が、国際標準化機構「ISO TC184/SC4」で進められている。

　c）の段階では、データが誤りなくシステムから取り出せるということになるが、この「誤りなく」の意味としては、a）と同様に以下のように解釈できる。

• 正規のユーザーあるいはシステムから
• 正しい型や値のデータだけを

　これについてはa）の段階と同様だが、1つ付け加えるとするならば、取り出す仕組みの工夫として、シンクライアントのように「機能が制限されたクライアント」は非常に強力な仕組みといえる。