Agile Cat — in the cloud

Gartner : Ray Ozzie – Interview_4

Posted in Interviews, Microsoft, Security by Agile Cat on December 16, 2009

4.0 Addressing the Security Concerns of Cloud Computing
30 October 2009
Neil MacDonald, David Mitchell Smith

Gartner RAS Core Research Note G00172235


Gartner: How do you see the security concerns of moving to cloud computing being addressed?

Gartner: クラウド・コンピューティングへの移行に伴い、どのようにセキュリティの問題が取り上げられていると見ますか?

Ozzie: There’s no perfect solution. Security is inherently risk management. If it’s described as a "black-and-white issue," we’ll never get there. Whether on-premises or off-premises, everything is vulnerable. So, we just basically invest at different layers of the architecture. There are different aspects of that investment. Oddly enough, it starts with the lawyers and with our policy folks. We have to understand the regulatory environment in every single jurisdiction that we or our customers want to serve. The analogy that I’ll make that might resonate is that we are with cloud computing right now where we were with encryption with mass market products and exports controls in the early 1990s — which is that everybody had their own export and import restrictions, which prevented a software developer from writing something with crypto in it and getting it shipped.

Ozzie: パーフェクトなソリューションなど有りません。 セキュリティとは、本質的にリスク・マネージメントのことです。 もし、それが ”黒と白つけるという問題" だとすれば、決して正解は得られないでしょう。 オンプレミスであっても、オフプレミスであっても、すべてが攻撃の対象です。 したがって、基本的には、アーキテクチャの各層に対して投資していきます。 それらの投資には、各種の局面があります。 とても奇妙に思えるでしょうが、それは弁護士とポリシー担当者との議論から始まります。 私たちが理解すべきことは、私たち自身や私たちの顧客が所属する、すべての司法権において、規制された環境があることです。1990年代の初めに登場した、マス・マーケット製品と輸出のコントロールと一体となる場所で、クラウド・コンピューティングも暗号化を施すような方式に、私は共鳴したいと考えます。それは、すべての人々にとっての輸出入の制約であり、何らかを暗号化し出荷するという行為に基づいて、ソフトウェア開発者を制御するものになります。

The No. 1 priority is understanding the environment. The No. 2 priority is making sure that, at the infrastructure level, we understand the roles of the various human beings involved who might touch the hardware, and understand what is on that hardware that is in the clear and encrypted. Understand what is on the wire that is in the clear and encrypted. Moving up the stack to the keys that we manage, we need to understand those keys and their flow. You have to understand the threat models. We have threat models for certain applications that we have to guard against, such as someone coming in and physically taking the computer or gaining physical access. The customer is less concerned with an oscilloscope on the circuit board on a live system, but we are.

第一に優先すべきことは、環境を理解することです。 第二に優先すべきことは、インフラストラクチャレベルにおいて、そこに関連する人的要因を理解することです。そして、明示と暗号においてハードウェア上で理解されるべきことに、それらの人々は触れることになります。 つまり、明示化され暗号化され、送信されるものを理解します。 私たちが管理する主要なタックを上に動かすことで、それらの要点と、その流れを理解する必要があります。そのためには、脅威のモデルを理解しなければなりません。私たちは、特定アプリケーションにおける脅威のモデルを持っています。そこでガードすべきことは、 誰かが物理的にコンピュータへ侵入すること、そして、物理的なアクセスを得てしまうことです。 顧客は回路基盤上でオシロスコープを用いるほど、そこに注意を払うことはありませんが、私たちは、それを行います。

Ultimately, what’s going to make customers trust the cloud is if we put their most valuable data in there, and others put their most valuable data in there — and, thus, prove over time that we are trustworthy. The same will be true of our competitors. Thank goodness we went through HailStorm and Passport, because we learned a lot, and I would argue that we are the most trustworthy — and the Federal Trade Commission has made sure that we understand privacy practices and that we understand how to handle personally identifiable information within our infrastructure. The European Union (EU) is making sure that we understand how to deal with privacy in a way that reflects its laws and its regulatory environment, which is different from the U.S.

究極的に、クラウドに顧客の貴重なデータを置かせることができれば、信頼させる何ものかが生じます。それに続いて、さらに貴重なデータが置かれるようになるでしょう。そのようにして、長い時間をかけて、信頼できることを証明していきます。私たちのコンペティタにおいても、同じこと言えるでしょう。HailStorm と Passport での出来事について神に感謝するのは、そこで多くのことを学んだからです。そして、私たちが、最もに足る存在だと主張したいと思います。つまり、インフラストラクチャにおいて、どのようにして個人情報を処理すべきかという点で、プライバシー・プラクティスへの私たちの理解を、 Federal Trade Commission が確認しました。European Union(EU)は、その法律と規制の環境を反映した方向性において、私たちが理解しているプライバシーの取り扱い方式を、確認している最中です。それは、アメリカとは異なるものです。

Gartner: With the encryption export controls, ultimately we relaxed the export controls. For cloud computing, do you think that the answer is that Canada, the U.S. and the EU should relax some of these constraints?

Gartner: 暗号化の輸出において、私たちは最終的に、その規制を緩めました。 クラウド・コンピューティングのために、カナダ/アメリカ/ヨーロッパが、それぞれの制約を少し緩和すべきだと考えますか?

Ozzie: I think things will ultimately get relaxed. I’ll give you an example of something that probably should be relaxed. I was talking to a customer who was looking at cloud computing and who deals with health information in the U.K. A citizen in Ireland and a citizen in England cannot store their records in the other country, even within one health service that services both. They can’t even have replica copies for redundant backup. Therefore, you have to spend the money to have all the redundancy within one jurisdiction. I think there are things where we just haven’t been educated yet to understand what Larry Lessig [professor at Stanford Law School] means by "the code is the law." The architectural possibilities have to come together with the law in some way, shape or form, and that will take time. It isn’t that all these things will be repealed. Encryption keys are more important than the physical location of the data.

Ozzie: 最終的に緩和へ向かうだろうと思います。おそらく、こんな感じの緩和が行われるという例を示しましょう。 クラウド・コンピューティングに注目している、U.K でヘルス情報を取り扱う顧客と話したことがあります。 Ireland と England の双方へサービスを提供する医療サービスであっても、それぞれの国の人々は、他国に情報を置くことが出来ません。冗長性のためのバックアップでさえ、レプリカ・コピーを相互に持つことができません。そのため、1 つの司法権の中で、すべての冗長性を持つための費用を負担しなければなりません。 Larry Lessig [professor at Stanford Law School]が "the code is the law" で説明していることを、理解するだけの教養を、まだ、私たちが身につけていないということです。 アーキテクチャ上の可能性は、いずれかの方式や、形状、形式において、法律を伴う必要があり、それは時間がかかることになります。そして、それら全ての事柄は、繰り返されることではありません。 暗号化のカギは、データの物理的なロケーションと比べて、さらに重要な事柄です。

I don’t see legislation that says that the keys must be in this or that country. They say the data must be in this or that country. There are a lot of nuances that we have going on between developers/architects and lawyers trying to get around the laws based on architecture. Cooler heads must prevail, and that only happens with time. It happens when it’s driven by customers. The customers will want to do things that they can’t do. The vendors can spend money on lawyers and lobbyists to help. But, ultimately, it’s going to be the customers who come back, apply pressure and make these things happen.

そのカギが、この国や、あの国にあるべきだと主張する、立法行為を見たことがありません。法学者たちは、データが、この国や、あの国にあるべきだと言います。 アーキテクチャをベースにして法的な問題を回避するために、デベロッパー/アーキテクトと弁護士の間で、私たちが行うべきことががあります。 もっと冷静な思考が広まる必要があり、また、そこでも時間がかかります。 それは顧客の行為により、引き起こされます。 顧客は、出来ないことを、可能にしたいと望むでしょう。 ベンダーは、そこに手を貸すべき弁護士とロビイストに対価を提供できます。しかし、究極的には、顧客による反論と圧力を引き起こすことになるでしょう。

Gartner: Do you think that this is a decade off?

Gartner: これからの 10年で、何らかの変化があると思いますか?

Ozzie: I’m more optimistic because the economic value of what we are talking about is so huge and because there are environmental issues.

Ozzie: ここで話している経済の価値がきわめて大きく、また、環境の問題もあるため、私は楽観視しています。

We’ll begin to see progress locally and jurisdictionally in the three- to five-year time frame. Ten years from now, we’ll look back and say, "I remember when… ." Universally, things will be pretty clear in 10 or more years.

3年から 5年の間に、地域的あるいは法律的な進歩が見え始めるでしょう。 今から10年後には、”あの時を思い出せ” と、私たちは振り返るでしょう。 世界的なスコープで、10 数年で、ものごとはクリアになるでしょう。

Gartner: Is this a scenario where you, Google and Amazon collectively work to get the regulations changed?

Gartner: あなたの言うシナリオは、Google や Amazon と協調できるようにするための、法規制の変更でしょうか?

Ozzie: Consider the crypto analogy. We had the BSA [Business Software Alliance] and all the competitors, such as Microsoft and Lotus, give a common voice. We went on a roadshow to all the senators to force change.

Ozzie: 暗号化における類似性を考えてください。私たちには BSA[ Business Software Alliance ]がありますが、Microsoft や Lotus のような、すべての競合関係が、そこでは協調の声をあげます。私たちは、変化を促進するために、すべての上院議員に働きかけてきました。

Gartner: Is there a similar initiative for cloud computing?

Gartner: クラウド・コンピューティングのための、同様のイニシアチブが存在すますか?

Ozzie: I don’t think it is as formal as the BSA right now, but I’m sure these things will happen. There are places where competitors get together and make these changes happen. A lot of it is just education. Everybody needs to know what this cloud thing is. For reasons that you said, the industry is not helping.

Ozzie: 現時点では、BSA のようにフォーマルなものとなるとは思いませんが、そのような動きが起こると確信しています。 競合する各社が集まり、そのような変化を引き起こしていく場が形成されます。 そこで必要とされる多くの事柄は、まさに教育です。 クラウドが何であるかと、誰もが知る必要があります。 あなたが言った理由では、つまり国レベルの問題を解決するために、この業界が動くことはないでしょう。

Gartner : Ray Ozzie – Interview 0
Gartner : Ray Ozzie – Interview_1
Gartner : Ray Ozzie – Interview_2
Gartner : Ray Ozzie – Interview_3
Gartner : Ray Ozzie – Interview_4
Gartner : Ray Ozzie – Interview_5
Gartner : Ray Ozzie – Interview_6

Comments Off on Gartner : Ray Ozzie – Interview_4

%d bloggers like this: