1 年前に公表しましたビデオ「マイクロソフトの法務コンプライアンス対応とサービス品質へのこだわり」が大変な好評をいただきましたため、このたび、Microsoft Conference 2014 にあわせて内容を最新のものにアップデートしました。

※ Microsoft Conference 2014 では満足度 1 位を獲得したセッションです。

マイクロソフトでは、世界規模のクラウドサービスを安心安全に提供するためのデータセンターへの投資や、お客様がクラウドを導入する上での課題解決の取り組みを継続的に行っています。この活動を通して、マイクロソフトはお客様の中にはクラウドサービスを利用する際の不安を取り除いていきます。今回のアップデートでは、特に Office 365 が 2014 年内に日本データセンターからサービスを提供することになったことを受けまして、日本で Office 365 を利用することも意識した内容となっています。(Office 365 の日本データセンター発表前ですので、Azure を例にした説明になっていますが、Office 365 も同じデータセンターから提供されます。)

 

クラウドと法対応

  

総務省の平成 25 年通信利用動向調査でクラウド利用動向について調査した資料を見ると、 クラウドのセキュリティが不安という層が一定層いる。マイクロソフトでは、これらの層に対して不安を払しょくしていく。

 

クラウドをめぐる法的論点

1. 政府機関によるデータアクセス

データの帰属先: マイクロソフトでは、オンラインサービス条件の中でデータがお客様に帰属し、目的外でMSが二次利用することはない、と明記されている。政府機関からの任意要求に対して任意に開示することはない。強制開示命令については、お客様にリダイレクトするようになっている。マイクロソフトから開示する必要がある場合でもお客様に通知してから開示することになっている。

情報開示状況の公開: Web上で公開している。日本では 2014 年 1~6 月で 369 件の情報開示リクエストが来たが、ほとんどは個人向けサービスに対しての物であり、電子メールコンテンツなどのデータの開示に至ったものは一つもなかった。グローバルでは約 34,000件が来ているが、やはりほとんどは個人向けサービスについてであり、企業向けはグローバルでも 5 件しかなかった。最終的にマイクロソフトから開示はなかった。

暗号化の推進、技術開示センターの開設: バックドアがないことの確認のための仕組みも用意している。

法的要求: 不当な開示要求が来た場合には会社として政府にでも裁判を���こして対抗する

2. 個人情報保護法

法令とガイドライン: パブリッククラウドの利用は海外での利用も含め、個人情報保護法には抵触しない。

標準回答の文書: 安全対策の管理措置、個人情報の外部委託先の監督など、典型的なものに関して回答している。

セキュリティセンターによる開示より詳細な情報開示をしている。データセンターの場所に関して、保管される国と地域を回答している。下請け業者の一覧もわかる。

3. 契約の中で気になる条項

準拠法と裁判管轄: 外資のサービスだと海外になっていることが多いが、マイクロソフトは日本法、東京地裁となっている。

契約終了時の扱い: データの削除も契約内に記載、移行のための保持は 180 日以内と、比較的長く取られている。

法令順守: 日本、および各国での関連する法規制への対応、契約の中でのマイクロソフトのクラウドサービス提供に適用されるすべての法規制を順守することを明記している。

 

マイクロソフトのデータセンター運用

1. グローバルなデータセンターの管理と運用

マイクロソフトでは、Global Foundation Services (GFS) によるクラウド インフラのグローバル一括管理をしている。世界に 80 拠点を超えるデータセンターが存在、日本でも 2014 年 2 月に Azure 用に開設されて、10 月に拡張もされた。300PB ものデータを扱っており、この量は毎月飛躍的に増えている。200 以上のサービスを 24x7 で提供。5年連続でインフラ投資を倍増、マイクロソフト社員のうち 3 万人以上がクラウド関連エンジニアであり、世界有数の規模で取り組んでいる。

  

2. データセンター運用に関する課題

マイクロソフトのような大規模なデータセンターでは、想像を超える課題が出てくる。障害の発生原因は、人為的ミス、ハードウェア障害、ネットワーク切断、に分けられる。これに対してどう対応していくかが問われている。それに対するアプローチは以下の通り。

  1. 人事施策: 厳しい評価制度も米国のみでやっている。緊張感のある評価制度により、人為的なミスは 1/3 になった。
  2. プロセス改善: なるべく設定を自動化し、人を介さないようにすることで障害数を減少。Office 365 でも一年前は 700 以上あったマニュアルプロセスを 200 以下に抑え、自動化とお客様による PowerShell 設定で対応。
  3. ハードウェア障害: シカゴのデータセンターでは 40 万台を超えるサーバーがあり (日本での一年間のサーバー出荷台数に匹敵)、たとえサーバーが 20 年に一度しか壊れなくてもこれだけあると一時間に一台ずつ壊れる計算となってしまう。施設の倍増投資をしていくと、障害比率を半分にしても障害発生回数は変わらないという問題に直面する。これに対しては、モニタリングによる監視、ソフトウェアパワーによる事前検知、レジリエントネットワーク、つまり、弾力性のあるネットワークを提供。何か問題があっても自動的に復旧する仕組みで対策を行う。

一般的にサーバーの冗長構成を組むときによく使われている「フェイルオーバー」も、大規模なシステムでは、フェイルオーバーは日本でも多くの障害を引き起こした。フェイルオーバーには、アクティブが動かなかった時にスタンバイに火を入れて本当に動くのか、その時データが本当に引き継がれるのか、切り替えが短時間で行われない、といった課題がある。

 

3. マイクロソフトの解決アプローチ

マイクロソフトが現在 Office 365 で取っている構成は、これらの課題を克服した構成となっており、Exchange の DAG により、コピーをリアルタイムで 4 拠点で取っている。何かあればルーティングの切り替えのみで対応が完了、フェイルオーバーをする必要がない。これにより、99.99% にせまる可用性を実現している。

マイクロソフトでは 300 を超えるモニタリング システムを導入しており、システムの各種監視をしている。通常のシステムは閾値が超えたらアラートが上がり、切り替える。しかし、これでは問題が起きてしまっているので遅い。マイクロソフトでは、過去の障害パターンに関するビッグデータの解析からあらかじめ予防できる Azure マシンラーニングによるモニタリングシステムの採用を始めている。問題が起きそうなときはあらかじめ切り替えてしまう。

このように、マイクロソフトでは障害が起こることが前提で対策が組まれている。

 

まとめ

マイクロソフトは日本市場に対して継続的に投資を行っていく。日本データセンターは Azure 用に 2014 年 2 月に開設、10 月には拡張もした。データセンターは日本のみで冗長構成が可能。

クラウドサービスの法的論点についても、グローバルな法務部門が 1,000人体制で組織としてしっかりやっている。多くの案件で法務も後方支援をしながら進める体制を取っている。

クラウドサービスを選択する際には、継続的な投資、財務基盤、お客様のデータを本当に長期的に管理できる会社なのかを見ることも重要である。会社としてどれくらい皆様に近づいて情報提供できるかが、クラウドビジネスにとって重要である。