Webシステムの集中化が進んだとき、問題が起きるとどうなるのか?
この疑問は、クラウドフレア(多くのWebサイトのデータを効率的に配信するCDNという仕組みを提供している企業)が個人データを流出させてしまったことで、多くの企業を悩ませることになる。クラウドフレアは2014年度に大問題を引き起こした「ハートビード(Heartbleed)バグ」の元になったのと同様の欠陥があるサービスを提供し、意図せずに機微なユーザー情報(パスワードやクッキー、IPアドレス等)が公開され、検索エンジンにキャッシュされ、検索可能になってしまった。
クラウドフレアの説明によれば、ソフトウェアの欠陥は、サーバーがWebページ等のデータ取得要求を330万件処理するごとに1回の割合で機密情報を漏洩させる。しかし、情報漏洩は急速に進行し、クラウドフレアの運用規模全体に拡大した。情報が漏洩した企業には、ウーバーやフィットビット、OKCupid、4チャンネル、ワンパスワード等がある。全体では3438ドメインから1日12万ページが漏洩していた可能性があり、この欠陥は5カ月以上発見されなかった。
クラウドフレアのジョン・グラハム・カミング最高経営責任者(CEO)は心配する必要はないと述べた。 ウォール・ストリート・ジャーナル紙の記事で カミングCEOは、今回の件で自分自身のパスワードを変えるつもりは全くないと述べ、情報漏洩のリスクは「非常に極端に低い」(信じられない場合の対処方法はこちら)と考えている、と後で後悔しかねない発言をした。
ただし、今回のクラウドフレアの件は、多くのユーザーが単一のサービスに依存している場合に何が起こりうるかの参考になる。障害が発生したとき、パスワードを変更しても済まないことがある、ということだ。先週、グーグルの無線ルーターGoogle Wi-FiとOnHubのユーザーは、無線LANが突然使えなくなった。原因は電話回線ではなく、ハードウェアがクラウド側から受信したソフトウェアの更新にあり、最新のアップデートに欠陥があったことで、一度に多くの装置が機能停止したのだ。
昨年、モノのボットネットは、ドメイン名システムのダイン(www.technologyreview.jpといった名前を、10.20.30.40といったIPアドレスに変換するための仕組みを提供している企業)を停止させ、威力を見せつけた。その結果、米国の東海岸全域の広範囲で、インターネットが停止したのだ。
もちろん、こうした障害が起こるからといって、中央制御型のWebサービスが完全に欠陥のあるアイデアとはならない。中央制御型のシステムは、効率的で便利で手頃な価格でサービスを提供するための形態ではある。しかし、銀行がデータを漏洩してしまったらどうなるだろうか? スマートロック(ネットワーク制御型の鍵)がクラウド経由で間違って更新されたら? ボットネットが、アマゾンWebサービス(映像サービスのネットフリックスの映像から、米国疾病予防管理センター(CDC)まで運営しているクラウド・コンピューティング)を破壊したら?
もちろん、悲観的なシナリオではある。だが、中央Webサービスのリスクはとても大きく、こうした例を検討しておくことは、中央制御型のWebサービスを提供する企業にとって、セキュリティや信頼性、提供者としての適性の重要性をあらためて認識させることになる。今回の件は、こうした企業が何をすべきか、まだ完全には把握しきれていない重要な点があることを示している。
(関連記事:Wall Street Journal, ZD Net, “21日の大規模インターネット障害に、次の本格攻撃の試験の可能性,” “2017年版 ブレークスルー・テクノロジー10 モノのボットネット,” “Cybersecurity: The Age of the Megabreach”)