9

［コンピュータワールド］2009年9月号
月刊

　
発行・発売 （株） IDGジャパン 〒113-0033 東京都文京区本郷3-4-6
TEL:03-5800-2661（販売推進部） © 株式会社 アイ・ディ ・ジー・ジャパン
世界各国のComputerworldと提携

TM
contents
September 2009 Vol.6 No.70

Features 特集＆特別企画

単なる
“幻想”
か？ それとも
“究極のIT活用術”
か？ いま、あらためて問う

クラウド は
どこまで現実的な
特集 28

選択肢か
Part 1 30 FAQで「クラウド」
を解き明かす
クラウド・コンピューティングの本質とは？ そしてこの技術はどこまで信頼できるのか？
！
ジョン・ブロドキン

Part 2 35 クラウドの
「ここがすばらしい」vs.
「ここが不安」
ユーザー企業と専門家が提示するパブリック・クラウドに対する肯定理由と否定理由
ベス・シュルツ

Part 3 37 導入企業に学ぶパブリック・クラウド・サービスの選び方
クラウド・プロバイダーと契約するときに確認すべき「5つのポイント」
ベス・シュルツ

検証！Googleの
特別企画 41
個人情報の
安全度
あなたのプライバシーは万全に管理・保護されているか？
！
ロバート・ミッチェル

Event Report イベント・リポート

18 STORAGE STRATEGY 2009 開催リポート

投資最適化と効率向上を両立するストレージ戦略のポイントを探る

September 2009 Computerworld 7

 contents
9

Hot Topics ホット・トピックス

10 Gmailさえも脅かす？！「Google Wave」の衝撃
自社サービスと競合するグーグルの野心的プロジェクトが発進
ホアン・カルロス・ペレス

マイクロソフトの「Bing」に続け！ フェースブック、クラウドアイ、
12
そして王者グーグルが検索新技術を猛アピール
ヒートアップする検索イノベーションの次のターゲットは、SNSとTwitter 向けの検索サービス
シャロン・ゴーダン

Running Articles 連載
追跡! ネットワーク・セキュリティ24（第8 回）
50 業務スタイル変革に立ちはだかった
Webウイルスの脅威
山羽 六

アタッカーズ・ファイル──ネットに潜む脅威（第9 回）
62 入力ミスを攻撃につなげる
タイポ・スクワッティングの
“悪知恵”
ベンジャミン・エデルマン

レビュー（第9 回）
「フリーソフト＆サービス」
68 デスクトップPC向け仮想化ソフトウェア
「Sun xVM VirtualBox」
杉山貴章

ギョーカイ人のための IT 法律講座（第9 回）
ネット・オークション事業者の法的責任
72
森 亮二

Information インフォメーション
67 今月の ──注目のホワイトペーパー
77 バックナンバーのご案内
78 おすすめBOOKS
79 読者プレゼント
80 次号予告／AD.INDEX

September 2009 Computerworld 9

 Gmailさえも脅かす？ ！
「Google Wave」
の衝撃
自社サービスと競合するグーグルの野心的プロジェクトが発進

グーグルは今年 5月、電子メールやインスタント・メッセージング、ドキュメント共有などの機能を統合
するWebプラットフォームを発表した。
「Google Wave」
と呼ばれるこのコラボレーション／コミュニケ
ーション基盤は、その機能もさることながら、
「Gmail」のようなグーグル自身のサービスからユーザー
を奪う可能性をはらんでいるという点で、非常に興味深い。リスキーかつ野心的な同プロジェクトが、

1 この先どう発展していくのか注目される。

ホワン・カルロス・ペレス
IDG News Service マイアミ支局

リスキーで野心的な 「Gmail」や「Google Docs」などの自社サービスからも

Waveプロジェクト
　Google Waveは、電子メールやインスタント・メッセー
ジング
（IM）
をはじめ、ブログ、Wiki、マルチメディア管
理、
ドキュメント共有といった機能を統合する、コラボレ
ーション／コミュニケーションのためのツールである。5月
末に公開されたWaveは初期バージョンで、今のところ
アプリケーション開発者向けという扱いになっている。
　Waveが衝撃的だったのは、優れた機能もさることな
がら、グーグルが取り組んでいるプロジェクトの中で最も
リスキーかつ野心的なものであったからだ。約 2年の歳
月をかけて開発されたWaveは、ヤフーやマイクロソフト、
A O Lといったライバル企 業のサービスだけでなく、
ユーザーを奪う可能性を秘めているのだ。
　グーグルのねらいは、自社の一連の既存オンライン・
サービスを統合する代わりに、コミュニケーション・ニーズ
とコンテンツ作成ニーズに総合的にこたえる新しいWeb
アプリケーション・プラットフォームを提供することにある。
　むろん、グーグルが手がけるからといって、この野心
的な試みが成功するとはかぎらない。グーグルがWave
の利便性をユーザーや開発者にうまくアピールできなか
ったとしたら、あるいはIMなどのオンライン・サービスをば
らばらに使い続けることを多くのユーザーが選択したとし
たら、この新ツールが鳴かず飛ばずで終わりを迎えるこ
とも十分にありうる。
初期版バージョンを早期に公開
開発者に広く意見を求める

デモを交えながらGoogle Waveについて説明するラーズ・ラ
スムセン氏
　Waveのお披露目の場に選ばれたのは、5月28日と
29日にサンフランシスコで開催された、グーグル主催の
開発者向けコンファレンス
「Google I/O 2009」
だった。
このことからも、Waveがグーグル社内で高い優先順位
を与えられていることがうかがえる。
　コンファレンス初日の基調講演はWaveの紹介にまる
まる費やされた。Waveのプロジェクト・リーダーを務める
ラーズ・ラスムセン氏が、デモを交えながらWaveの特徴
を詳しく説明。Waveのインパクトが非常に大きいことか

10 Computerworld September 2009

ら、初期バージョンとはいえ早期に公開して、説明に多
くの時間を充てることにしたという。
　「Waveは大胆な発想を基にしたツールであり、エンド
ユーザーから見ればとっつきにくい面を含んでいる。そ
のため、われわれとしては、一般向けリリースの何カ月
も前から、このサービスについて開発者と意見を交わす
ことを強く望んでいる」
（ラスムセン氏）
　確かに、Waveのデモは驚きの連続だった。とりわ
け、電子メールとIMを組み合わせたようなコラボレーシ
ョンが実演されたときには、会場のあちこちから歓声が
上がった。まるでチャットのようなリアルタイム性でメッセ
ージがやり取りされるのである。これを見せられたあとで Google Waveベースのアプリケーションの一例

は、Gmailのユーザーが奪われることをグーグルが心配
するのも無理からぬ話だと思えてくるほどだ。
　ガートナーのアナリスト、ケン・デュラニー氏も、Waveを
「インターネット・コミュニケーションの進化を体現したもの」
と評し、驚きを隠さない。同氏は、これからさらに成長
が見込めるコミュニケーション／コラボレーション市場で、
グーグルが一人勝ちする可能性を示唆する。
　「競合するWebメールや IMサービスのベンダーは、
Waveと同様のサービスで対抗する必要に迫られるは
ずだ。さもないと、ユーザーの多くはWaveに乗り換えて
しまうだろう」
（デュラニー氏）
　しかも、こうした電子メールや IMにとどまらず、Wave
にはブログや Wiki、写真管理、
ドキュメント・コラボレー
ションなども用意されることになる。Waveのプロトコル
は、このツールの相互運用性を確保するという観点か
ら、
「オープン・フェデレーション」
を考慮して設計されて
いる。Waveのコードについても、いずれオープンソース
として公開される予定だ。
　Waveのユーザーは、作成した
「wave」
という
ドキュメン
トに別のユーザーを追加する。これらユーザー同士は、
IMなどでやり取りしながら、waveにリッチ・テキスト、マ
ルチメディア、ガジェット・アプリケーション、フィードなどを
追加することができる。
　グーグルが得意とするオープンなAPIを活用すれ
ば、こうした機能をサードパーティ側が独自に拡張するこ
とも可能だ。
「クールなアプリケーションの開発にすぐに
でも取りかかっていただきたい」
（ラムスセン氏）
というよう
に、多くのWaveアプリケーションが開発されることをグー
グルは望んでいるのである。
Gmailとの競合は
重要な問題ではない
　Waveプロジェクトの「生みの親」であるラスムセン氏
は、兄弟のジェンス・ラスムセン氏とともに、2004年にグ
ーグルに入社した。彼らが設立した地図サービス企業
がグーグルに買収されたためである。この地図サービス
は、のちに「Google Maps」へと形を変え、数あるグー
グルのサービスの中でも3本の指に入るほどの人気アプ
リケーションに成長した。
　WaveとGoogle Mapsとの共通点を問われたラスム
セン氏は
「イノベーションであること」
を挙げている。Google
MapsもWaveも、より新しく、より良いものを生み出すこ
とに挑戦し続けたところから生まれたというのだ。そのこ
とからすれば、
「イノベーティブであること自体が重要な
のであり、その結果としてWaveがGmailなどの自社サ
ービスからユーザーを奪うことになったとしてもさほど問
題ではない」
（同氏）
というのである。
　少なくとも今後数カ月は、Waveは開発者向けプレビ
ュー版という扱いになる。5月末の時点では、Waveに
アクセスできるのは、Google I/O 2009に参加した開
発者に限られている。そのため、近いうちに、より多く
の開発者がアクセスできるようにするという。
　「Waveのコードはまだ粗削りの状態だ。新し物好き
で、サービスが進化するのを見届けることを好む、冒険
心の旺盛な開発者が数多く参加してくれることを期待
している」
（ラスムセン氏）

September 2009 Computerworld 11

 マイクロソフトの に続け！
「Bing」
フェースブック、クラウドアイ、 そして王者
グーグルが検索新技術を猛アピール
ヒートアップする検索イノベーションの次のターゲットは、SNSとTwitter向けの検索サービス

新顔の検索エンジンである米国ウルフラム・リサーチの「WolframAlpha」と米国マイクロソフトの
「Bing」が最近、メディアに大きく取り上げられるなど、ここにきて検索分野で新たな試みに乗り出す

2 企業が注目を集めている。6月には米国フェースブックなどから検索に関する発表が続いたほか、王
座に君臨する米国グーグルも、ここにきてソーシャル・ネットワーキング・サービス
（SNS）向けの新し
い検索技術の開発に力を注いでいるようだ。

シャロン・ゴーダン
Computerworld米国版

Facebookの新バージョンは 　「私はイランの選挙の余波を巡る最新の更新に興味

リアルタイム検索に重点
　米国フェースブックはこの 6月に、検索エンジンの新
バージョンをテスト中であることを発表した。一方、新興
企業の米国クラウドアイも6月中旬、リアルタイム・ソーシ
ャル検索サイ
トを開設した。また、検索最大手の米国グ
ーグルも、マイクロブログ検索技術を新たに開発中だと
言われる。
　米国 IDCのアナリスト、ハドリー・レイノルズ氏によれ
ば、検索がこれほど脚光を浴びているのは、
「検索が、
人々が情報を手に入れるための中心的なインタフェース
になっている」
ためであるという。
　「この分野の勢いには目覚しいものがある。現在、検
索サービスをわれわれのさまざまなニーズに適合させよ
うという動きが進んでおり、今後、われわれは検索のイ
ノベーションをいっそう目にすることになるはずだ」
（レイノ
ルズ氏）
　一方、フェースブックのエンジニア、カリ・リー氏は先
日、ブログへの投稿で、同社が少数のユーザーの協力
を得て、Facebook検索サービスの新バージョンのテスト
を開始したことを明らかにした
（画面1）
。リー氏はその中
で、
「新バージョンではリアルタイム検索に重点を置いて
おり、ユーザーはこの機能によって、ニュース・フィードの
投稿、画像、動画、リンクなどを検索できるようになる」
ことを明らかにしたうえで、次のように述べている。
があるが、フェースブックでは全ページの右上隅に検索
フィールドがあり、そこに
『Iran』
と打ち込むことで、検索
結果として数分前の更新まで返ってくる。それは私のフ
レンドや、私が気に入っているFacebookページ、そして
プロフィールとコンテンツを完全に公開している人たちに
よる更新だ。フレンドがどのブログやニュース・ソースをフ
ォローしているか、マフムド・アフマディネジャド大統領と
対立候補のミルフセイン･ムサビ氏についてフレンドが何
と言っているか、人々が全体的に選挙結果にどう反応
しているかがわかる」
　フェースブックは新ツールのリリース時期を明らかにし
ていないが、米国ガブリエル・コンサルティング・グルー
プのアナリスト、ダン・オルズ氏は、一般向けにリリースさ
れれば、新ツールは熱心なFacebookユーザーの間で
大人気を博すことになるだろうと見る。
　「動きが流動的な最新の事象についてもFacebook
コンテンツを検索することができるようになれば、ユーザ
ーが Facebookで過ごす時間が増える可能性は大き
い。フェースブックがこうしたツールを提供するのは賢い
やり方だと言える」
（オルズ氏）
グーグルも
Twitter検索サービスを提供へ
　ガブリエル・コンサルティングのオルズ氏はまた、ここ

12 Computerworld September 2009

にきて、グーグルがSNS用のリアルタイム検索ツールの 画面1：Facebook検索サービスの新バージョンのテストを開始したことを明らかにし
た、カリ・リー氏のブログ
開発に目を向けているとの観測が広まっているというこ
とも指摘する。
　 実 際 、6 月に入ってからというもの、グーグルが
Twitterメッセージの検索にフォーカスしたマイクロブロ
グ検索サービスに乗り出すのではないかとのうわさが、
ネット上を駆け巡っていたのである。
　グーグルの広報担当者は、Computerworld米国版
の問い合わせに対して、このうわさを肯定も否定もしな
かったが、その後、6月18日付けのメールで次のような
回答を寄せた。
　「今日発表することはないが、リアルタイム情報は重
要であり、われわれはこの情報を利用して、Googleサ
ービスをユーザーにとってより便利なものにするためのさ
まざまな方法に目を向けている」
　また、IDCのレイノルズ氏も、Twitter検索サービスを
提供するのは、グーグルにとって非常に理にかなった
行為だと認める。 リアルタイムTwitter検索エンジン
　「グーグルは、世界の情報へのアクセスを一元的に 「CrowdEye」
提供する窓口になろうとしているが、Twitter上の情報
もその一部であることは間違いない。もっとも、Twitter 　一方、この6月にリアルタイムTwitter検索エンジンで
自体の検索ツールについては評価がまちまちだ。グー ある
「CrowdEye」
を立ち上げたクラウドアイは、マイクロ
グルは10年も検索を手がけているが、Twitterにはそう ソフトの検索事業担当ゼネラル・マネジャーだったケン・
した蓄積はない。検索のノウハウを磨くには時間がかか モス氏が創業した会社だ。CrowdEyeサービスでは、
るだろう」
（レイノルズ氏） Twitterのツイート
（書き込み）、リンク、タグを検索する
　同時に同氏は、そうしたマイクロブログ検索ツールの ことができる。
リアルタイム要素は、開発者に大きな課題を投げかける 　こうしたツールに見られる新たな可能性は、今後もさ
ことになるとも指摘する。フェースブックのリー氏も例に らなるイノベーションが期待できることを示していると強調
挙げているように、6月には、イランの大統領選挙騒動 するのは、ガブリエル・コンサルティングのオルズ氏だ。
に関するオンライン・コンテンツがあふれていたが、こうし 同氏はまた、イノベーションが続いたことによる
「検索」
た
「展開が急な出来事」についてのコメントや情報をユ の位置づけの変化を、次のように指摘する。
ーザーがアップロードする場合、検索エンジンは、追加さ 　「検索は、インターネット上の膨大なデータを効率よく
れていく新しい投稿をすぐに検索対象に加えることがで 利用するための唯一の手段だ。1990 年代から2000
きなければならない。 年代初めにかけては、だれもがインターネットへの入り口
　そして、
「次々とアップロードされる投稿を処理するた はポータルだと思っていた。実際、そのころはそうだった
めには、膨大なコンピューティング・パワーと高パフォーマ かもしれないが、今やポータルに代わって検索が本当
ンスのクローラ、エンジンが必要になる」
（レイノルズ氏） の入り口になった。今後も、検索が、Web開発の最も
のである。 ホットな分野の1つであり続けることは間違いない」

September 2009 Computerworld 13

 特　集

単なる“幻想”か？　それとも“究極のIT活用術”か？

「クラウ
いま、あらためて問う

どこまで現
選択肢か

28 Computerworld September 2009

ド」
は
実的な
P A R T 1  FAQ で を解き明かす p30
「クラウド」

P A R T 2  クラウドの vs.「ここが不安」 p35
「ここがすばらしい」

P A R T 3  導入企業に学ぶパブリック・クラウド・サービスの選び方 p37

「IT の所有から利用へ」という流れの中で、現在、クラウド・コンピューティングに大きな注目が
集まっている。確かに、自社の需要に応じてコンピューティング・パワーを柔軟に増減すること
ができ、使った分だけ料金を支払えばいいという「クラウド・モデル」は、時代の要請にマッチし
た「究極の IT 活用術」だと言うことができる。だが、その一方で、
「クラウドなどしょせん幻想に
すぎず、使いものにならない」という批判が聞かれるのも事実だ。はたしてクラウドはどこまで
現実的な選択肢なのだろうか。本特集では、導入企業の実例やアドバイスに基づいて、クラウ
ドの「実力」をあらためて探ってみたい。

September 2009 Computerworld 29

 PA R T 1
FAQで
「クラウド」
を解き明かす
クラウド・コンピューティングの本質とは？ そしてこの技術はどこまで信頼できるのか？
！

今や「クラウド・コンピューティング」は、IT業界で最もポピュラーな用語になった観がある。だが、その一方で、
「ク
ラウドとは何か」
「どのように利用するべきなのか」
「クラウドがもたらす問題や課題は何なのか」といったことに関し
ては、いまだに統一見解が得られていないのが実情だ。そこで、本誌では、クラウド・コンピューティング特集を組
むにあたって、まずはそうした基本概念のすりあわせを試みることにした。読者諸氏が、クラウド・コンピューティン
グについて抱いておられる疑問を解決されるためにも、まずは本パートの FAQを一読されて「頭の中の雲（クラウ
ド）」を晴らしていただきたい。

ジョン・ブロドキン
NETWORKWORLD 米国版

「クラウド・コンピューティング」
と 「ユーティリティ」「オンデマンド」
Q1
は、結局何なのか
A1：米国の調査会社ガートナーは、クラウド・コンピュー
ティングを
「インターネット・テクノロジーを使い、複数の社
外顧客に対して非常にスケーラブルなIT関連の機能を
“サービスとして
（as a Service）”提供するコンピューテ
ィング・スタイル」
と定義している。
　さらに、多くのクラウドは、この定義に加えて「顧客が
いつでもリソースを取得でき、必要がなくなったらすぐに
解放できる、セルフサービス型の調達方式」
という特徴
も備えている。
　「クラウド」そのものは、実際には何らかの技術を指
す言葉ではない。
「クラウド」
とは、多数のサーバを巨
大なコンピューティング・プールとして集約し、それを柔
軟に切り分けてユーザーの望みどおりの仮想マシンを
提供するという、ITサービス構築のためのアプローチで
あり、その実現には、急速に進化しつつあるサーバの
処理能力や仮想化技術が大きく関与している。
Q2
「グリッド・コンピューティング」
とは
どう違うのか
A2：クラウドは本質的に「オンデマンド」で提供されるも
のだ。これは、かつてユーティリティ／グリッド・モデルが
備えるとされていた特徴である。米国IBMのクラウド・コ
ンピューティング・ソフトウェア責任者、クリストフ・クルーク
ナー氏の説明によると、グリッド・コンピューティングは幾
つもの独立したコンピュータ・リソースを利用して大規模
なタスクを実行するというアプローチであり、一方、ユー
ティリティ・コンピューティングは従量制に基づいてITサ
ービスを提供するというアプローチである。両者の性質
を併せ持つことにより、クラウドは「今日最もエキサイティ
ングなITデリバリーのパラダイムとなっている」
とクルーク
ナー氏は語る。
　これに対し、
『クラウド化する世界（原題：The Big
Switch）』、
『ITにお金を使うのは、もうおやめなさい
（原題：Does IT Matter?）』
の著者であるニコラス・カー

30 Computerworld September 2009

 「クラウド」は
特　集

選択肢か
どこまで現実的な
氏は、クラウド・コンピューティングというフレーズは、基
「プライベート・クラウド」
本的にユーティ
リティ・コンピューティングに置き換えること Q4
とは何か
ができると主張する。問題は、
「ユーティリティ」
という言
葉が、一応はユーティ
リティ・コンピューティングが意味す A4：プライベート・クラウドとは、パブリック・クラウドのデリ
るものに値するアナロジーであるのに対し、
「クラウド」
と バリー・モデルに準じているが、サービス提供のための
いう言葉は、クラウド・コンピューティングとは何かというこ ITインフラをすべて自社内で所有／管理しているモデ
とについてはあまり説明してくれていないことである。 ルである。つまり、ITデリバリーはすべてファイアウォー
　「私は“グリッド”
“ユーティリティ”
“クラウド”は、皆、あ ルの内側で完結するわけであり、これが大きなメリットと
る1つのコンピューティング・
トレンドの部分的な要素にす なる。
ぎないと考えている」
（カー氏） 　パブリック・クラウドと同じように、プライベート・クラウド
　Webベースの ITデリバリー・モデルという現在の動 のサービス・デリバリーはWebインタフェース経由で行わ
向を表すのに、クラウドという言葉が必ずしも最適では れる。また、
「セルフサービス」や「チャージバック」
といっ
ないと考えているのは、カー氏だけではない。例えば、 たサービスの性質もパブリック・クラウドと同じである。
米国の調査会社 IDCのアナリスト、フランク・ジェンス氏 　「プライベート・クラウドでは、クラウド・コンピューティン
は、企業はクラウド・コンピューティングを
「オンライン・ビ グがもたらす多くのメリットを享受することができる。ただ
ジネス・サービス」の一種と考えておけばよいのではない し、プライベートに所有／管理されるものであるため、ア
かと指摘している。 クセスは企業内もしくは企業のバリュー・チェーンの一部
に限定されることになる。プライベート・クラウドは事業効
「クラウド化する世界」の著者、
ニコラス・カー氏 率を押し上げ、標準化とベスト・プラクティスを実践する
のに貢献する」
（IBMのクルークナー氏）
　また、カー氏によれば、巨大企業は特にプライベート
・
クラウドに興味を引かれることが多いという。なぜなら、
パブリック・クラウドはまだ、企業の保有するITリソース
をすべて移行するに足るスケーラビリティや信頼性を備
えていないからだ。そのため、多くの場合、
「“規模”
こ
そが
（プライベート・クラウドの）
目的となる」
（カー氏）
わけ
である。
　「GE
（ゼネラル・エレクトリック）
の場合を想定してみよ
う。同社はおそらく膨大な量と規模のITリソースを社内
に保有しているはずだ。現時点で GEがとるべき賢い
行動は、社内の ITリソースをクラウド・アーキテクチャを
「パブリック・クラウド」
Q3 ベースに再構築することではないか。今のところパブリ
とは何か
ック・クラウドにはスケーラビリティも信頼性もなく、とても
A3：パブリック・クラウドとは、ネットワーク接続とクレジット
・ GEが
『当社のデータセンターをすべて閉鎖して、クラウ
カードがあればだれでも利用できるクラウド・サービスだ。 ドへ移行する』
と言えるような代物ではないからだ」
（カ
米国フォレスター・リサーチのアナリスト、ジェームズ・スタ ー氏）
ーテン氏は、今年 4月に発行したリポートの中で、
「パブ
リック・クラウドは従量課金制の共有インフラである」
と
説明している。
クラウド・コンピューティングと
　「パブリック・クラウドは、容易にアクセス可能で、セル Q5
SaaSは同じものか
フサービス型ポータルを通して管理される、マルチテナン
ト型の
（雑居ビルのような）
仮想インフラである」
（スターテ A5：SaaS
（Software as a Service）
によってITサー
ン氏） ビスがWeb経由で簡単に利用できることが実証され、

September 2009 Computerworld 31

 クラウド・コンピューティング全体が注目されるきっかけに 追加料金が必要となる。
もなったという見方が、現在では一般的だ。ただし、
SaaSベンダーは、自らが提供するサービスを表現する
のに、もともと
「クラウド」
という言葉を使っていたわけで
クラウド環境では、どんなアプリ
はない。それが今では、アナリストはSaaSをクラウド・コ Q8
ケーションが動作するのか
ンピューティング市場を構成する要素の1つだと見なす
ようにまでなった。 A8：技術的には、あらゆるアプリケーションをクラウド上
に置くことができる。だが、クラウドに不向きなアプリケー
ションもないわけではない。パンドITのアナリスト、チャー
ルズ・キング氏は、
「レイテンシー
（遅延）
がほとんどない
どんなタイプのサービスが利用で
Q6 環境で実行すべきアプリケーション──例えば、デスクト
きるのか
ップ PC用のディスク・デフラグやシステム分析などのツ
A6：パブリック・クラウド・サービスは、SaaS、IaaS ール──をクラウド上で走らせるのは無意味だ」
と指摘
（Infrastructure as a Service）
、PaaS
（Platform as する。
a Service）
という3つの大きなカテゴリーに分類される。 　また、顧客情報など特に機密性の高いデータを取り
よく知られているSaaSは、
「Web経由で提供されるソフ 扱うアプリケーションも、法規制やコンプライアンス面の
トウェア・アプリケーション」
と定義することができる。また、 問題からクラウドに配置するのは難しいケースが多い。
IaaSはリモートからアクセス可能なサーバやストレージ・ 　IDCの調査によると、クラウドの利用目的として目立
キャパシティ、PaaSは開発者がホスティング型インフラ つのは、ITマネジメント、コラボレーション、パーソナル／
上でWebアプリケーションを構築／デリバリーするため ビジネス・アプリケーション、アプリケーション開発／配布、
の、コンピューティング能力とソフトウェア機能を提供す サーバ／ストレージ・キャパシティの拡張などだという。
るプラットフォームである。

画面1：
「Open Cloud Manifesto（オープン・クラウド宣言）」は、ク
ラウド・ベンダーが順守すべき6つの原則が掲げられた8ページの文書
ベンダーは、どのような課金モデ だ。クラウド・ベンダーやハードウェア・ベンダーなど、230社を超える
Q7
ルを採用しているのか 企業が署名している （2009年6月現在）

A7：SaaSベンダーは、使用実績に応じて利用料を支
払う
（pay-as-you-go）
従量制課金によるソフトウェア販
売を売りものにしている。これは、オンプレミス
（自社導
入型）
ソフトウェアの長期ライセンス契約に付きもののロ
ックインを回避するのにも有効である。SaaSに限らず、
アマゾンなどのクラウド・インフラストラクチャ・プロバイダー
も同様の課金方式を採用している。例えば、アマゾンの
「EC2
（Elastic Compute Cloud）」では、仮想サーバ・
リソースの使用時間に応じて課金がなされるようになっ
ている。小型のLinuxサーバの場合は1時間当たり10
セント、最も大型の Windowsサーバの場合には1時間
当たり1ドル20セントである。
　ストレージ・クラウドでも同様の料金設定がなされてい
る。例えば、ニルバニクスのクラウド・ストレージ・プラット
フォームでは、利用料金は1ギガバイ
ト当たり月額25ドル
からと設定されており、アップロード／ダウンロードごとに

32 Computerworld September 2009

 「クラウド」は
特　集

選択肢か
どこまで現実的な
払いを要求し、たとえ顧客がソフトウェアの機能／能力
異なるクラウド間でアプリケーショ
Q9 の25％〜50％しか利用していなくても、100％分の料金
ンを移動させることは可能か
を徴収してきた。だが、このようなライセンス・モデルで
A9：可能だが、簡単ではない。そのため、現在、あるク は、クラウド・サービスの柔軟性は生かしきれない。
ラウド・プラットフォームから別のプラットフォームへ（例え 　オラクルやIBMは、自社のソフトウェアをアマゾンのク
ば AmazonからGoGridへ）、あるいは社内のデータセ ラウド環境で実行する場合に適用するライセンスを、従
ンターからクラウドへとアプリケーションを移動させるため 来のソフトウェア・ライセンスに換算するかたちで公開し
のサービスが登場している。 （画面 2）。それでも多くの識者は、クラウド環境
ている
　ただし、いくつかの業界団体は、完全な相互運用性 におけるライセンスの扱いについては、ほとんどのソフト
を実現するために、将来的には各クラウド・ベンダーが ウェア・ベンダーが十分な説明を行っていないと指摘し
標準技術に基づいたサービスを提供していく必要があ ている。
ると提言している。例えば、今年 3月、多数のクラウド・ 　金融サービス企業の INGは、数多くのクラウド・サー
ベンダーが連名で発表した
「Open Cloud Manifesto」 ビスについて調査した結果、ライセンスの適用が最大
（画面 1）
は、データとアプリケーションの相互運用性の の課題であるという結論に達した。同社の上級副社長
確立を目指した声明である。また、2008年 2月に発足 兼IT戦略／エンタープライズ・アーキテクチャ最高幹部
したOCC（Open Cloud Consortium）
は、運営母体 であるアラン・ボエム氏は、
「クラウド・プロバイダー側は、
の異なるクラウド・サービス同士を結びつけるオープンな ライセンスに関して柔軟な姿勢を見せているが、ソフトウ
フレームワークを整備するための組織だ。いずれも、あ ェア・ベンダー側の姿勢は、柔軟さとはほど遠い」
と、あ
るクラウドから別のクラウドへ、プログラムを書き換えるこ きらめ顔だ。
となくアプリケーションを移植できるようにすることを目的 　「（ソフトウェア・ベンダーにとっては）
ビジネス・モデル
としている。 の変化を強いられる大問題であるがゆえに、対応が非
常に難しいのだ。そのため、解決までにはかなりの時
間がかかるだろう」
（ボエム氏）

クラウド環境におけるソフトウェア・
Q10
ライセンスの扱いは？
プロバイダーはどのような SLAを
A10：ベンダーも顧客も、クラウド環境においてソフトウェ Q11
提供しているのか
ア・ライセンシング・ポリシーがどう適用されるべきである
かについては、頭を悩ませている。これまでのパッケー A11：クラウド・ベンダーは通常、SLA
（サービス・レベル
ジ・ソフトウェアでは、ソフトウェア・ベンダーは料金の前 契約）
において最低でも99％のアップタイムを保証して
いるが、ベンダーによってその計算方法や実現性には
画面2：オラクルでは、Amazon EC2/S3上でのライセンスの取り扱 大きな差がある。Amazon EC2は99.95％のアップタイ
いについて公開している。それによると、例えば、EC2の 1サーバ・イ
ンスタンス（8仮想コア）上でOracle Database Enterprise Edition ムを保証するために「商慣行上妥当だと考えられる範
を実行する場合には、4プロセッサ（物理コア） ライセンスが必要にな
るとされる 囲の努力」
を行うと約束している。ただし、このアップタ
イムは年間ベースの計算に基づくものであり、週間ベー
スもしくは月間ベースで99.95％未満のアップタイムであ
ったとしても、アマゾン側にペナルティや賠償義務は発
生しない。
　一方、GoGridはSLAにおいて100％のアップタイム
を約束している。だが、多くの弁護士が指摘するよう
に、法的文書の言い回しには注意が必要だ。実際、
GoGridのSLAには、次のような非常に解釈の難しい
文言が含まれているのである。

September 2009 Computerworld 33

 　「 個々のサーバは、GoGridのネットワーク内で、 画面 3：Amazon Web Servicesでは、各サービスの稼働状況を
Webページや RSS経由でリアルタイムに公表している。過去にさか
GoGridのモニタリング・システムによってモニターされ のぼって障害発生履歴を確認することも可能だ

ているときに限って 100％のアップタイムを保証する。
個々のサーバを構成するハードウェア・レイヤまたはハイ
パーバイザ・レイヤにおいて、GoGrid側に原因があると
理解される問題に起因する障害のみを障害と見なし、
それ以外はこのSLAの対象とは見なさない」
（GoGrid
のSLAより）
　弁護士のデビッド・スニード氏は、最近ニューヨークで
開催された「Cloud Computing Conference &
Expo」で行ったクラウド・コンピューティングの法的課題
に関する講演の中で、
「アマゾンは重大なダウンタイム
を発生させておきながら、顧客への賠償を回避しようと
している。同社は、自社のサービスに対して責任を取ろ
うという意識に欠ける。実質的には何の保証もしてい
ない」
（スニード氏）
との批判を展開した。

クラウド上にあるデータの安全性
Q12
は？

A12：クラウド環境におけるデータの安全性は重大な問
題だ。例えば、オンライン・ストレージ・ベンダーのザ・リン
クアップやカーボナイ
トは顧客のデータを消失させ、それ
を復旧することができなかった。また、機密データが犯
罪者の手に渡る危険性もある。顧客はクラウド・ベンダ
ーと契約する前に、必ずデータの保護対策について
説明を求め、SLAを精査し、転送や保存を行う際に
データを暗号化する手段があるかどうかを確認すべき
である。
既存のアプリケーションで同程度
Q13
のパフォーマンスが見込めるか
A13：クラウド・ベンダーを選択するにあたっては、相当
な注意を払ってSLAを調査し、ベンダーが何を保証し
ているか、何を保証していないかを理解するべきであ
る。また、公開されている可用性に関するデータを徹
底的に調べる必要もある。例えば、アマゾンは、さまざ
まなサービスの現在の稼働状況とアップタイムの履歴を
表示する
「Service Health Dashboard」
を提供してい
る
（画面3）
。 主張なのである。
　クラウド・サービスでは、常にある程度ネットワークのレ
イテンシーが発生し、場合によってはローカルのデータセ
ンターで動作させるよりもアプリケーションの動作が遅く
なることがある。だが、ライ
トスケールをはじめとする新し
いサードパーティ・ベンダーは、アプリケーションを拡大・
縮小したり、パフォーマンスを改善したりすることのでき
るサービスをクラウド上で構築している。
　全般的に見て、レイテンシーによるパフォーマンスへ
の影響は「最近ではほとんど取るに足らないレベルに
なっている」
と、ライ
トスケールの CTO（最高技術責任
者）
、トルシュテン・フォン・アイケン氏は説明する。現在、
大企業の活動は、全米あるいは全世界といった規模
で行われているため、アプリケーションがクラウドで動作
していようと、企業のデータセンターで動作していよう
と、ユーザーはどのみちレイテンシーに起因するパフォー
マンスの低下を経験することになるというのが、同氏の

34 Computerworld September 2009

 「クラウド」は
特　集

選択肢か
どこまで現実的な
PA R T 2
クラウドの
「  ここがすばらしい」
vs.「  ここが不安」
ユーザー企業と専門家が提示するパブリック・クラウドに対する肯定理由と否定理由

「クラウドは本当に使いものになるのか」——これは、クラウド・コンピューティング・サービスの活用を検討するうえ
で、だれもが一度は抱く疑問だろう。そして、その疑問に対する答えは、回答者側の立場や経験などによって大き
く違ってくるはずだ。そこでここでは、実際にクラウドを導入している企業の担当者や専門家に、クラウドのメリット
とデメリットを提示していただき、それをそれぞれ5項目に整理して紹介することにしたい。

ベス・シュルツ
フリーランス IT ライター（NETWORKWORLD 米国版特約）

画面1：クラウド活用の成功事例として知られる新興企業のアニモトは、ユーザー
5 つの「肯定論」 がアップロードした写真と音楽を組み合わせ、 「映画の予告編のような」印象的
なオリジナル・ムービーを生成するサービスを提供している

1
ビジネス立ち上げのスピード
　ニューヨークに拠点を置くアニモトは、ユーザーが選
んだ写真や音楽を使って印象的なビデオを作成する
（画面 1）。同社の CEO（最高
サービスを提供している
経営責任者）
ブラッド・ジェファーソン氏は、クラウドのメリ
ットを次のように訴える。
　「クラウド・コンピューティングを利用すれば、少ない
予算でも迅速にビジネスを立ち上げることができる。新
規ビジネスを計画している企業、あるいは企業内部門
は、事業計画の中にクラウドをどう活用するのかも織り
込むべきだ。クラウドは起業のスタイルそのものを大きく
変える──最もすばらしい変化は、ビジネスを立ち上げ
たその瞬間から、もう世界とつながっていることだ」 ウトソースするようにしたほうがコストを抑えられることにな

2 る」
（ノール氏）
スケーラビリティ
3
　ハイテク・コンサルティング企業CIMIのCEO、
トム・ノ 変化への俊敏な対応
ール氏は、クラウド・サービスの導入を決定する前に、ま 　クラウドの管理とサポート・サービスを提供するライ
トス
ずは自社がITリソースをどのように利用しているのかを ケールのCEO、マイケル・クランデル氏は、
「クラウド・サ
あらゆる面から再確認すべきだと主張する。 ービスは、長期契約の必要もなく、ITリソースを必要な
　「仮に業務の繁忙期と閑散期の落差が激しい場 ときに必要なだけ手に入れることができる。ごくわずか
合、繁忙期に合わせてITリソースを準備しなければな なコストで、あらゆる面でアジリティを高めることができる」
らないため、
（少なくとも）
繁忙期に必要になる部分はア と評価する。

September 2009 Computerworld 35

 4 2
製品開発のスピードアップ
　インディアナポリスに本部を置く製薬会社、イーライ・リ
リーでは昨年 4月、一部のアプリケーションとデータをア
マゾンのクラウドに移行した。同社のアソシエイツ・インフ
ォメーション・コンサルタント、デーブ・パワーズ氏は、クラ
ウドに移行して以来、プロビジョニングに要する時間が
「週単位」から
「分単位」にまで短縮されたと証言する。
　「これまで
（プロビジョニングに）費やしていた8 週間
を研究開発に充てられるというのは、非常に大きな進
歩だ。クラウドによって研究開発サイクルの短縮が可能
になり、我々のビジネス・スタイルも変わりつつある。クラ
ウドのテクノロジーは、科学界にも少しずつ波及効果を
もたらしつつあると言える」
（パワーズ氏）
5 　イーライ・リリーのパワーズ氏は、
設備投資が不要
　「データセンターに空きスペースがない」
「アプリケーシ
ョン数がインフラの許容範囲を超えている」──クラウド
はこうした課題をも解決する。ハイテク・コンサルティン
グ企業、ハイパーストラタスでCEOを務めるベルナード・
ゴールデン氏は、
「クラウド・コンピューティング・サービス
によって、ITインフラを固定資産から運用コストへと転
換することが可能になる」
と強調する。
5 つの「否定論」
1 次のように指摘する。
予想以上のネットワーク帯域が必要
　カリフォルニア州カルバーシティに本社を置くソニー・
ピクチャーズ・イメージワークスのシニア・システム・エンジ
ニア、ニック・バリ氏は、かつて「ストレージのスケーラビリ
ティの問題を解決するために」、外部のクラウド・サービ
スを利用することを決めた。
　だが、同社のアニメーターたちがアクセスしたり、新た
に生成したりするデータの量は毎日4〜12TBにも達す
る。そのため、最近では同氏も、
「このような膨大な量
のデータを社外のクラウドとやり取りするとなると、非常
に大きなネットワーク帯域が必要になる。ネットワーク・コ
ストを考えると、自社でストレージをそろえたほうが安上が
りかもしれない」
と考えるようになった。
　現在同社では、パラスケールのクラウド・ストレージ・ソ
フトウェアを用いて、プライベート・ストレージ・クラウドの構
築を試みているところだ。
36 Computerworld September 2009
アプリケーション・パフォーマンスに難
　次世代 ITインフラ専門のコンサルティング会社、アダ
プティビティでCEOを務めるトニー・ビショップ氏は、プラ
イベート・クラウドならばともかく、パブリック・クラウドでは、
ネットワークのレイテンシー
（遅延）
を考慮せずして、アプ
リケーション・パフォーマンスを向上させることなど不可能
だと主張する。
　また、ネットQoSの副社長、スティーブ・ハリマン氏は、
「ある投資銀行は、レイテンシーに敏感なアプリケーショ
ンをパブリック・クラウド上で運用していたが、その意味
が私にはまったく理解できない」
と、疑問を投げかける。
3
取り扱うデータには制約が
「クラウドを導入した
当初は、利用したいアプリケーションが8から10はあっ
た。だが、保有するデータの種類を調べ、
（だれが利
用するか）分析してみた結果、その多くは内部で管理
するほうが適切だと判断した」
と説明する。
　アダプティビティのビショップ氏も、競合他社に知られ
たら困るような機密情報や顧客の個人情報などを扱う
アプリケーションは、決してパブリック・クラウドに置いて
はならないと警告する。
4
大企業ではメリットが薄い可能性も
　 CIMIのノール氏は、企業規模に関する注意点を、
　「組織の規模が大きいほど、ITリソースのプールも大
きい。そしてITリソースのプールが大きいほど、パブリッ
ク・クラウドにアウトソースする場合の金銭的メリットは小
さくなる。クラウド・コンピューティングは
『リソースの有効
利用』
をうたってはいるが、クラウドのメリットが最大限に
発揮されるのは、リソースの消費量が少ない状態から
一気に増加するときだ。そのため、大企業の場合に
は、アウトソースするよりもプライベート・クラウドを構築す
るほうが経済的かもしれない」
5
“冒険的精神”にあふれた人材が必須？
　ハイパーストラタスのゴールデン氏は、
「次世代の IT
モデルの探求には、冒険的精神と技術的機敏さが不
可欠だ。新しいことに興味を持って学ぶ人がいなけれ
ば、クラウド・コンピューティングに手をつけてもストレスを
生むだけに終わるかもしれない」
と憂う。　　　　　
 「クラウド」は
特　集

選択肢か
どこまで現実的な
導入企業に
PA R T 3 学ぶ

パブリック・クラウド・サービスの
選び方
クラウド・プロバイダーと契約するときに確認すべき
「5つのポイント」

現在、大きな注目を集めている「クラウド」だが、ユーザー企業が実際に利用することを決め、クラウド・サービス・
プロバイダーと契約する段になると、わからないことや不安なことがたくさん出てくるはずだ。そこで本パートでは、
実際にクラウドを導入している企業や専門家へのインタビューを通して、クラウド・プロバイダーと契約するときに
必ず確認しておくべきポイントを5つにまとめ、読者の便に供することにしたい。

ベス・シュルツ
フリーランス IT ライター（NETWORKWORLD 米国版特約）

　データセンターの処理能力やストレージ容量が不足気
味だが、新たな設備投資は難しいという場合、まず頭
に浮かぶのは、外部のクラウド・コンピューティング・サー
ビス
（パブリック・クラウド）
を利用するという方法だろう。
ITリソースを必要な時に、必要なだけ利用することがで
き、しかも料金は利用した分だけ払えばよいというのだ
から、パブリック・クラウドは、上のような悩みを持つ企
業にとって、まさにうってつけの手法だと言える。
　だが、エンタープライズ・アプリケーションをパブリック・
クラウドで稼働させるのは、一部のクラウド・サービス・プ
ロバイダーが言うほど簡単なことではない。
　「クラウド・サービスを利用するのは、コンピュータやス
トレージを買い足すというような単純な話ではない」
と忠
告するのは、米国の製薬会社、イーライ・リリーのアソシ
エイツ・インフォメーション・コンサルタント、デーブ・パワー
ズ氏だ。イーライ・リリーでは、2008年4月から
「Amazon
Web Services（ AWS）」
を利用しているが、それは
「大量のコンピューティング能力とストレージ容量を簡単
にくっつけたり切り離したりすることができるクラウドの上
で、あらゆるWebサービスや Web機能を構築するとい
う作業」
（パワーズ氏）
であるという。
　IT部門の責任者は、クラウド・プロバイダーと契約を
交わす前に、パワーズ氏が言うように、既存の社内リソ
ースと導入するパブリック・クラウドのサービス内容を把
握し、クラウドへの移行によって生じるであろうアプリケ
ーションやビジネス・プロセスへの影響を正確に見極め
なくてはならないのである。
　次世代 ITインフラ専門のコンサルティング会社、アダ
プティビティでCEO
（最高経営責任者）
を務めるトニー・
ビショップ氏は、その理由を次のように説明する。
　「クラウドは、従来のインフラが持っていた限界を取り
払ってくれるが、その一方で、これまで以上に厳密なプ
ランニングや明確なIT統合指針を必要とするからだ」
　ここまで読み進まれた読者は、きっと、
「もっと実践
的なガイ
ドラインを提示してくれると思っていたのに」
と、
不満を感じておられるに違いない。そこで、以降のペー
ジを読み飛ばされる前に、そろそろクラウド・プロバイダー
と契約する際に必ず確認しておくべき具体的なチェッ
ク・ポイントの紹介に入ることにしたい。
確認
その1
現在利用している
アプリケーションは使えるか
　現在利用しているアプリケーションが、部分的に修正
すればクラウド環境でも使えるものなのか、それとも完

September 2009 Computerworld 37

 全に作り直さなければならないものなのかを見極めるの
がいちばん大切だ──そう語るのは、先進IT専門のコ
ンサルティング会社、ハイパーストラタスのCEO、ベルナ
ード・ゴールデン氏だ。氏は、
「アプリケーションのアーキ
テクチャによっては、利用できるクラウド・サービスが制
限されるケースもありうる」
と注意を促す。
　「Alphaアーキテクチャのコンピュータ上で稼働するア
プリケーションを使いたいと思っていても、Alphaバイナ
リのアプリケーションを実行できるクラウドはたぶん見つ
からないだろう」
（ゴールデン氏）
　一方、イーライ・リリーのパワーズ氏は、アプリケーショ
ンの見直しは慎重の上にも慎重に行わないと、クラウド
を利用する意味を失ってしまうと警告する。これは、イ
ーライ・リリーがAWSユーザーになったとき、最初に学
んだ教訓でもあるという。
　「イーライ・リリーでは当初、社内のグリッド環境のワー
ク・フローをそっくりそのままクラウド環境へ移行した。だ
が、実際に使ってみると、クラウド環境では制約がある
ことがわかった。クラウド上には無限のリソースが用意さ
れているが、われわれのアプリケーションは社内の画一
的なコンピュータ環境に基づいて設計されていたため、
クラウドでは十分に運用することができなかったのだ」
と、パワーズ氏は当時を振り返る。
　パワーズ氏によれば、現在 イーライ・リリーのシステム
部門では、アプリケーションを分割すること、クラウドとや
り取りするデータをより軽量化すること、もしくは一部の
データをクラウド上に保存して、アプリケーションが社内
データセンターからデータを引き出さずに済むようにする
ことなどを検討しているという。
　さらにパワーズ氏は、クラウド対応のすべてのアプリケ
ーションをフォールト・トレランス構成にすることで、耐障
害性も持たせた。
　「IaaS
（Infrastructure as a Service）
を利用する
場合は、マシンがダウンする可能性を考慮してアプリケ
ーションを設計する必要がある」
（パワーズ氏）
　一方、ハイテク・コンサルティング会社CIMIのCEO、
トム・ノール氏は、クラウドにアプリケーションを移行する
前に、開発者側で実装プロセスをひととおり確認して
おくべきだとアドバイスする。
　「全体像を理解するには、簡単なフローチャートを作
成するのがよいだろう。クラウドに乗せるためのアプリケ
ーションの要件確認、要件を満たすデータ・ソース、そし
てデータの流れや動作などをチャートに書き出してみる
38 Computerworld September 2009
と、全体的なデータの流れが見渡せるようになり、ネット
ワーク上での脆弱性を把握して対応策を立てることが
可能になるはずだ」
（ノール氏）
　また、パワーズ氏によれば、ネットワークのレイテンシー
（遅延）
、応答時間、スループットにも注意が必要になる
という。
　「イーライ・リリーの社内ネットワークでは、研究者たち
が常時テラバイ
ト級のデータを送受信している。そのた
め、クラウド環境では、社内ネットワークと同等のレスポン
ス・タイムを得ることは難しい」
（パワーズ氏）
確認
その2
データの
“地理的な”
保管場所はどこか
　クラウド・プロバイダーは、基本的に、サービスを提供
するネットワークの詳細情報を公開することはない。他
方、専門家によれば、ユーザー側もまた、クラウドの細
かな構成まで把握する必要はないという。
　しかしながら、アダプティビティのビショップ氏は、
「プ
ロバイダーは、正確なデータセンターの所在地やシステ
ム／ネットワークの詳細な構成情報については公表し
たがらないだろう」
と、業界のこうした慣行を追認する
一方で、
「ユーザーには、少なくともシステム間通信に
必要な情報、仲介のメカニズムなどについては正確に
教えてもらう権利がある」
とも主張する。
　言いかえれば、ユーザーは最低限、自分のデータが
保管されているクラウド上の「論理的な」場所ぐらいは
把握しておかなければならないのである。
　これに対し、論理的な場所だけでなく、
「地理的な」
データの保管場所も教えてくれるクラウド・プロバイダー
とつきあうのが望ましい、と主張するのはCIMIのノール
氏だ。
　例えば、アマゾンのクラウド・サービスでは、データの
地理的な保管場所をユーザーが自ら指定することがで
きる。ヨーロッパあるいはアメリカの複数のエリアから場
所を選択することが可能であり、自社で利用している
ISPとアマゾンのその地域におけるピアリング
（接続）
関
係とを掌握することが可能になっているのである。
　「つまり、クラウドが利用しているIPネットワーク・リソー
スを大まかに把握できていれば、そのクラウドへのアク
セスに最適なISPをユーザー自身で選択することが可
能なわけだ。そこまでは無理だとしても、少なくともだれ

にパフォーマンスの保証を求めればよいのかを知ること
はできる」
（ノール氏）
確認
その3
データ保護のための対策は
備わっているか
　データ保管場所を地理的に指定できるクラウド・プロ
バイダーと契約することは、セキュリティの面だけでなく、
コンプライアンスの面からも有益である。イーライ・リリー
のパワーズ氏は、コンプライアンスを巡って、次のような
問題点があることを明かす。
　「法規制によってデータの保管が認められない地域
が定められているため、当社ではデータの地理的な所
在を把握しておかなければならない」
　同氏はまた、
「製薬業界において最も重視されるの
は、プライバシーと法規制要件だ。セキュリティはその次
に来る要件だ」
としたうえで、
「2点とも、クラウドへのサ
ービス実装を検討する際の大きな懸念事項になる。事
実、われわれもいまだにクラウド上に保管できるデータと
そうでないデータの区分作業に追われており、希望す
るデータをすべてクラウド上に移行できているわけでは
ない」
と打ち明ける。
　これに対し、専門家の意見は、
「クラウド環境におい
てセキュリティ要件を満たすためには、データの転送や
保管の際にセキュア・プロトコルを用いた暗号化を適用
したり、クラウド・プロバイダーが提供するアクセス制御
機構を入念にチェックしたりする必要がある」
という点
で一致している。
　アダプティビティのビショップ氏は、さらにそれに加え
て、
「データを保管するマシンに物理的にアクセスでき
るプロバイダー側の担当者を把握しておく必要もある。
データの変更、更新、閲覧といったデータ操作のアクセ
ス権限を持つ人、あるいは監査証跡にアクセスできる
人についても同様だ」
と主張する。
　他方、セキュリティ要件の1つに「ディザスタ・リカバリ」
も加えるべきだと説くのは、フォレスター・リサーチのシニ
ア・アナリスト、ジム・コビーラス氏だ。
　「クラウド・プロバイダーは、データのバックアップ頻度
や保管場所、セキュリティに関する保護手段のほか、メ
イン・システムがダウンした場合に、どのくらいの時間で
フェールオーバー・システムに切り替わるのかといったこ
ともユーザー側に説明すべきだ」
（コビーラス氏）
「クラウド」は
特　集
選択肢か
どこまで現実的な
確認
その4
どんなサポート・メニューを
用意しているか
　「クラウドへの移行時には多くの問題が発生する。だ
が、大半の IT部門にはそのすべてに対処している時
間はないだろう。そこで、外部の手助けが必要になる」
（フォレスターのコビーラス氏）
　ここで言う
「手助け」
とは、例えば、あらかじめパッケ
ージ化されたアプリケーション・スイートかもしれないし、デ
ータやアプリケーションの移行をサポートしてくれるサービ
スかもしれない。
　あるクラウド・プロバイダーが、CRMアプリケーション・
スイートを提供しているとしよう。だがユーザーは、そのア
プリケーションではなく、自社で運用しているオンプレミス
型のCRMシステムをクラウドに移行して使いたいと希望
したとする。この場合、そのプロバイダーは、このユーザ
ーの要望に対応してくれるだろうか。
　これは、もう少し一般的な表現をすれば、
「クラウド・
プロバイダーは、自社のクラウド・プラットフォームでアプリ
ケーションをうまく動作させるために、最適化やネットワー
ク設計、あるいは Javaコードのカスタマイズといった細
かなサポートを行ってくれるだろうか」
（コビーラス氏）
とい
う問いかけになる。
　ニューヨークに拠点を置くオンデマンド・ビデオ制作の
新興企業アニモトの創業者、ブラッド・ジェファーソン氏
は、自社運用のプラットフォームをクラウドに移行する
際、移行作業への支援が受けられるかどうかが最大
の焦点になったと振り返る。
　「クラウド環境へのアプリケーションの実装は、決して
容易なものではなかった。非常に時間のかかる作業で
あり、われわれだけでやるのは大変だと考えていた」
（ジェファーソン氏）
　アニモトの大規模な移行を担当したのは、アマゾン
のパートナーで、クラウド・コンピューティングの管理やサ
ポートを行うことを目的に起業したライトスケールであっ
た。ジェファーソン氏は、
「この移行作業は大成功だっ
た」
と胸を張る。アニモトは「Amazon EC2（ Elastic
Compute Cloud）」クラウドへの移行後、SNSの
「Facebook」上でアプリケーションの提供を始めた。こ
のアプリケーションは世界中で爆発的な人気を博した
が、同時に、クラウドのスケーラビリティを証明する格好
の事例ともなった。
September 2009 Computerworld 39
 　昨年 4月、アニモトはFacebookの利用者向けに無 ツ氏は、
「トラブル発生時の対処手順についても確認
料でオンデマンド・ビデオ制作ツールを公開した。最初 しておく必要がある」
と指摘する。同氏自身は、クラウ
の1カ月の間こそ、ダウンロード件数は合計で2万5,000 ド・プロバイダーのテレマーク・ワールドワイ
ドと契約を結
件程度でしかなかったが、ブレイクした途端、4日間で ぶ際、
「トラブル発生時の緊急連絡先」、
「トラブル発
75 万件ものダウンロードがあった。アニモトでは利用者 生時に受けられるサポートの内容」、
「24時間 365日対
の急増に対処するため、EC2クラウド上で稼働するバ 応のサポート体制が敷かれているか」について確認した
ックエンドのビデオ処理サーバを一時的に 100 台から という。
5,000台に増強し、その後、需要の落ち着きとともに元
の台数に戻していった。その間、
「EC2は一瞬たりとも 確認
その5
サービスをダウンさせなかった」
と、ジェファーソン氏は
サービスを解約したあとは
今、満足げに語る。
どうなるのか
　こうしたことを踏まえて、ハイパーストラタスのゴールデ
ン氏は、
「プロバイダーと契約をする前に、クラウド・イン 　プリフィールド・ホテルのシュワルツ氏は、
「契約を解
フラのスケーラビリティを必ずテストしておく必要がある」 除した場合はどうなるのか」
という質問も大切だと指摘
と指摘する。
「たとえインフラの柔軟性やレスポンス性能 する。プリフィールド・ホテルの契約書には、期限前に
が優れていたとしても、サーバの増強に丸一日もかかっ サービスを解約した場合、同社のデータやアプリケーシ
てしまうようでは意味がない。
『それでも既存の環境よ ョンを他のプロバイダーに移行するための作業をテレマ
りはましだ』
と思うかもしれないが、求めるレベルは、本 ークがサポートすることが明記されている。
来はもっと高いはずだ」
（同氏） 　コンサルティング会社シンクストラテジーズの取締役、
　アダプティビティのビショップ氏も、ゴールデン氏と同 ジェフ・カプラン氏によれば、クラウド導入を検討する際
意見だ。 には、アプリケーションのポータビリティ
（移植性）
も考慮
　「プロバイダーのサービスを精査したうえで、次のよう に入れておくべきであるという。
な質問をしてみるとよい。
『貴社が主張しているサービ 　「データをクラウドに置く場合、それを
“取り戻す”方
ス・レベルをどのようなかたちで証明してくれるのか』、 法についてもあらかじめ検討しておく必要がある。その
『われわれの要求の本質を理解してくれているか』、 プロバイダー専用の開発言語で書かれたアプリケーショ
『どんな種類のリポートが、どんなリポート・ツールを使っ ンの場合はなおさらだ。これは、自分を窮地に追い込
て提供されるのか』、
『違約金については規約で定め まないための自衛策だとも言える」
（カプラン氏）

られているのか』──ちなみに、こうした質問の大半
は、アウトソーシング契約の中で明記されているものだ」
「クラウド」は
（ビショップ氏）
　ビショップ氏はまた、リアルタイムのパフォーマンス監 特　集
選択肢か
どこまで現実的な

視やパフォーマンス統計、
トレンド分析といったリポート類
を提供していないようなプロバイダーとは契約しないほ
うがよいと断言する。もっともその一方で、リポート・ツー
ルがプロバイダーから提供されるとしても、それに頼り切
るのは考え物だとくぎを刺すのも忘れない。
　「アプリケーション、ネットワーク、
トランザクション向けの
モニタリング・ツールを、自社内でも用意すべきだ。そう
すれば、契約どおりのパフォーマンスが得られているか
どうかを正確に確認することができる」
（ビショップ氏）
　また、シカゴのプリフィールド・ホテル・グループの IT
運用部門でシニア・マネジャーを務めるチャド・シュワル

40 Computerworld September 2009

 ！
［特別企画］

検 証

Google
個人情報の
「安全度」
の

あなたのプライバシーは
万全に管理・保護されているか？
！
グーグルが提供する製品やサービスは、日々増強され続けている。
それに伴って、製品やサービスを利用することによって生み出される
プライバシー情報の量も膨らむ一方であり、その利用形態もまた複雑化の一途をたどっている。
その結果、もはや従来のプライバシー・ポリシーの枠組みでは、
プライバシー情報を保護したり利用ルールの透明性を確保したりすることは難しくなってきている。
では、われわれは、自らのプライバシーをどうやって守り、またグーグルに何を要求していけばよいのだろうか。
本特別企画では、グーグルのプライバシー管理の現状をあらためて検証するとともに、
そのあるべき姿を探ってみたい。

ロバート・ミッチェル
Computerworld米国版

September 2009 Computerworld 41

 」
報 の「安全度
人情
og leの個
検証！Go

膨らみ続ける個人情報 　「グーグルは、いまだかつてだれも実現したことのな
い、頭の中を映し出せるような仕組みを世の中に送り出
　「自分のプライバシーについては、母親よりもグーグ し、消費者の信頼を得ようとしている」
（バンクストン氏）
ルのほうがよく知っている可能性がある」――これは、 　グーグルでグローバル・プライバシー担当顧問を務め
最近、米国EFF
（Electronic Frontier Foundation： るピーター・フレイシャー氏によると、同社は個人情報を
電子フロンティア財団）
の上級弁護士、ケビン・バンクス 取り扱う際に、次の3点に集約される
「基本原則」に従
トン氏が筆者に語った言葉である。 っているという。
　数年前なら、そんなことを言えば、
「何を馬鹿げたこ ●個人情報を売らない
とを」
と、一笑に付されたに違いない。だが、次々と発 ●個人情報を許可なく収集しない
表されるグーグルの製品を片っ端から使用しているユ ●個人情報を許可なく広告表示のために使用しない
ーザーであれば、バンクストン氏の発言は大いに気にな 　ただし、
「個人情報」の定義については、いまだに
るところであろう
（かく言う筆者も、グーグル製品を大量 統一見解が存在しない。そして現実には、
「グーグル
に使用している1人である）
。 に限らず、同社と同様のビジネス・モデルを採用してい
　プライバシー擁護団体や政策担当者が、一般的な る企業であれば、決して、オンライン・ツールを無償で
オンライン・プライバシーに関してグーグルを名指しで警 提供することはない。まず間違いなく、その対価として
戒するのは、ごく簡単な理由による。それは、グーグル “個人情報”
を切り売りしているはずだ」
（ 米国陸軍士
の検索エンジンを使用すると、グーグルの広告サービス 官学校の教授、グレッグ・コンティ氏）
というのが実情の
を利用しているパートナーの Webサイ
ト上でのユーザー ようだ。ちなみに、コンティ氏は
『Googling Security:
の行動とともに、その検索内容もグーグルに筒抜けに How Much Does Google Know About You?
（グーグ
なるからだ。 ルはユーザーについてどれだけ知っているのか？）』の
　例えば、Chromeブラウザの利用者は、アドレス・バー 著者としても知られる。
「Omnibox」に入力したWebサイ
ト情報のすべてをグー 　いずれにしても、グーグルは、ユーザー・コンテンツや
グル側に把握されている。 オンライン上のユーザーの行動に関して、最もたくさん
　さらに、グーグルは、ユーザーのメール
（Gmail）、予 個人データを収集している。
定表
（Google Calendar）
、居所
（Google Latitude） 　次々に登場する製品やサービスによって生成される
なども把握することができる。それどころか、視聴の内容 グーグル管理下のデータは、いまや驚異的な量に膨れ
（YouTube）
から電話の相手、果ては電話のメッセージ 上がり、その結果、グーグルはオンライン・プライバシー
内容
（Google Voice）
に至るまで取得することが可能 論争の中心的存在と化した。
なのだ。 　ワールド・プライバシー・フォーラム
（WPF）
でエグゼク
　Picasa Web Albumに写真を保存している場合に ティブ・ディレクターを務めるパム・ディクソン氏は、
「この
は、顔認識技術によって新しい写真に含まれている本 ように大量の消費者データを持つ企業は、これまで存
人や友人の顔まで自動認識され、Google Booksで 在したことがなかった」
と眉をひそめる。
は、読んだ本、コメント、読書時間なども把握される。
　もちろん、厳密に言えば、グーグルがユーザーそのも 情報管理の“透明性”
のを知っているわけではないが、作成したコンテンツ
や、実行した検索、訪れたWebサイ
ト、クリックした広 　WPFのディクソン氏など業界専門家筋は、収集デ
告など、サーバ上でのユーザーの行動や個人情報に ータの使用法、サービスや広告における情報の共有方
ついては、とてつもない量のデータを保有しているので 法、捜査機関などからのデータの保護、個別ユーザー
ある。 を特定できないように削除あるいは「匿名化」するまで

42 Computerworld September 2009

のデータ保管期間などについて、これまでのグーグル 画像 1：オンライン・ビジネスに対する取り締まり
の強化を盛り込んだFTCのリポート
側の説明はあまりにもあいまいだったと指摘する。
　「グーグルにおいては、データの扱い方が不透明で
あるばかりか、情報に関してユーザーの基本的権利の
概念がないことが、プライバシー問題を難しくしている」
（ディクソン氏）
　もっとも、プライバシー・ポリシーにあいまいな部分があ
るのは、グーグルに限った話ではなく、業界のベンダー
すべてに共通した問題である。それを裏づけるかのよ
うに、米国連邦取引委員会
（FTC）
は2009年2月、企
業が収集するデータの内容や、ユーザーがデータの収
集を拒否する方法などについて、
「簡潔明瞭で、消費
者にわかりやすく、しかも目立つように」説明することを
求め、オンライン・ビジネスの取り締まりを強化する旨を
業界に通告した
（画像1）
。
　これに対してグーグルは、
（同社が行っている）
デー されていないが、ユーザーがグーグルとの間で行ったさ
タの収集やデータへの関与に対して、周囲は過剰に まざまなサービスのやりとりが詳細に記録されている。
反応しているようだと反論する。 その中には、Webページのリクエスト
（日付、時間、リク
　「グーグルが保有するデータがユーザーのプライバシ エスト内容）
、クエリ履歴、IPアドレス、ユーザーのブラウ
ーを脅かしているという誤った見解は正さなくてはならな ザを特定できるクッキーID、そのほかのメタデータなど
い」
と力説するのは、グーグルの法務部でプロダクト・カ が含まれる。
ウンセルを務めるマイク・ヤン氏だ。グーグルは
（データ 　このサーバ・ログ・データに関して、グーグル側は、
の扱い方について）十分な透明性を確保しており、そ 複数のサービスをそれぞれ一元化されたサーバ・ログ
の管理もユーザーにゆだねている──というのが同氏 では管理していないということを明らかにしただけで、サ
の主張なのである。 ーバ・ログの構成に関する詳細な説明は拒んだままだ。
　「アカウントにはユーザーに見えない情報がたくさん含 　グーグルによれば、検索クエリ・ログやそのほかのサ
まれていると思われているようだが、それは間違いだ。 ーバ・ログ・データは、個人やGoogleアカウント名ではな
大部分の製品では、サービスを通じてグーグルが保持 く、物理的なコンピュータのブラウザか IPアドレスに関
しているユーザーの情報はユーザーに開示されている」 連づけられたものであり、その内容を公開する予定は
（ヤン氏） ないという。そして、
「仮にそのようなデータを公開する
　しかし、実際には、グーグルは2種類のユーザー・デ ようなことにでもなれば、新たなプライバシー問題が発
ータを蓄積している。 生することにもなりかねない」
（ヤン氏）
と主張するので
　1つはユーザー生成コンテンツ
（User-Generated ある。
Content：UGC）
だが、これはユーザー自身が管理し、 　いずれにしろ、データは、ユーザー側でこれまで以上
ユーザー・アカウントに関連づけられている。 に詳細に管理できるようになってきている。
　もう1つは、サーバ・ログ・データであり、こちらはユー 　また、グーグルによれば、多くの製品のユーザー生
ザーのコンピュータ上に保持されている1つ以上のブラ 成コンテンツは、
（ユーザー自身が削除処理を行った
ウザ・クッキーIDに関連づけられる。このサーバ・ログ・ 後）14日以内に削除されることになっている。ただし、
データはユーザーからは見えず、また個人情報とも見な 製品によっては削除されるまでの期間がそれよりも長

September 2009 Computerworld 43

 」
報 の「安全度
人情
og leの個
検証！Go

い場合もあるが
（Gmailの場合は60日）
。 なっている
（画面2）
。
　グーグルは、
「利用者の合理的な理由および業界 　Doubleclickクッキーとは、ターゲティング広告の配
の慣行から外れる」データ保持ポリシーについては、プ 信に際して、グーグルが保持するユーザー・データとユ
ライバシー・ポリシーまたは個別の製品ごとに告知するこ ーザーのブラウザとを関連づけるものだ。
とにしているという
（画面1）
。 　グーグルのトラスト・アンド・セーフティ部門でビジネス製
　一方、配信される広告は、グーグルの A d s P r e 品マネジャーを務めるシューマン・ゴーセマジャムダー氏
ferences Managerでカテゴリーを追加／削除するか、 は、グーグルがこうした対応をとっている限り、
（プライバ
グーグルのDoubleclickクッキーをオプトアウト
（拒否）
す シーに関しては）
ユーザーは心配無用だと断言する。
ることによって、ユーザー側から管理することが可能に 　実際、グーグルのアプリケーションはすべて別個のサ
ーバで稼働しており、どのようなかたちでも連動すること
画面1：グーグルのプライバシー・ポリシー はない。
「未加工のログ以外、すべてのログはそれぞ
http://www.google.co.jp/intl/ja/privacypolicy.htm
れ別個のリポジトリに存在している」
（ゴーセマジャムダー
氏）
のである。
　とはいえ、ある特定の状況下でいくつかの情報が共
有される可能性も皆無ではなく、グーグルのプライバシ
ー・ポリシーには変更の余地も残されている。
　ヤン氏は、この点について、Google Healthを例に
とってこう説明する。
　「ユーザーが主治医とメールで連絡を取り合うときに
はGmailを使用し、予約はGoogle Calendarに自動
的に表示されるようにしているが、それは
（ユーザーにと
って）
そうしたほうが便利だからだ」
　そこには、プライバシー・ポリシーではカバーしきれな
い透明性は、提供サービスの透明性を確保することに
よって補えばよいというグーグルの意図が感じられる。
画面2：Doubleclickクッキーのオプトアウト画面 　だが、医療プライバシーの問題にも詳しいWPFのデ
ィクソン氏は、グーグルのサービスの透明性は不十分だ
と断ずる。上の例で言えば、医療記録がGoogle Heal
thに転送された時点で、HIPAA
（Health Insurance
Portability and Accountability Act of 1996：医療
保険の相互運用性と説明責任に関する法律）
や医師
の守秘義務の保護範囲からは外れてしまうからだ。
　また、グーグルは、Google Healthへの広告展開も
否定しているが、ディクソン氏は、複数のサービスでデ
ータを共有するようになれば、その点もあいまいになっ
てしまうと指摘する。
　例えば、健康上の問題を抱えたユーザーがGoogle
Healthを利用する場合には、グーグルの検索エンジン
で病気を調べ、Gmailで医師と連絡をとり、予約の詳

44 Computerworld September 2009

細をGoogle Calendarへリンクし、Google Latitude
で現在位置や病院の場所などを表示させようとするは
ずだ。
　そうした状況にあるにもかかわらず、
「広告主が何を
知ることができるのか。法的な対応措置は万全か。訴
訟になっていないか。そして、どこに行けばそうしたこと
を確認することができるのか──といった情報が存在
しないことが問題なのだ」
と、ディクソン氏は主張するの
である。
行動ターゲティング広告のリスク
　グーグルは最近、より効果的なターゲティング広告を
行うためにユーザー情報の使用方法を変更する決定
を下したが、これによって新たな懸念が持ち上がること
になった。
　同社はこれまで、
「文脈ターゲティング」に基づいて
広告を配信していた。同ターゲティングにおいては、検
索のテーマや、ユーザーが読むGmailメッセージのキー
ワードから抽出した文脈がベースとなる。
　その場合、ターゲティング広告によって人々に不快
感を与えないようにするために、人種、信仰、性別、
健康、政党もしくは組合への加入状況、詳細な金融カ
テゴリーなどによるターゲティングは避けられていた。
　 しかしながら、情報を自由に扱えるGoogleでは、詳
細なユーザー・プロファイルを収集することができるため、
Web上での行動履歴に応じて、個人向けの
（ユーザ
ー・プロファイルに応じた）効果的なターゲティング広告
を表示することも可能である。ただし、この手法は、行
動ターゲティング広告として物議を醸したことがあるた
め、グーグルでも最近までは手を出していなかった。
　ところが、同社の製品マネジメント担当副社長スーザ
ン・ヴォイチスキー氏は、今年3月、この手法を使用する
という方針をグーグルのオフィシャル・ブログ上で発表し
たのだ。
「興味／関心に基づく広告
（Interest-Based
Advertising）」
と呼ばれる行動ターゲティング広告を開
始することにより、グーグルは文脈ターゲティング広告だ
けでなく、過去に閲覧したことのあるWebページに基づ
くターゲティング広告にも乗り出すことにしたのである。
　興味／関心に基づく広告では、Webページの閲覧
履歴は、クッキーIDでリンクされたログから取得すること
になるが、このIDはユーザーではなくブラウザに結び付
けられているため、コンピュータを共有する配偶者やほ
かの人が閲覧したことのあるWebページに対応した広
告が表示される可能性もある。
　プライバシー擁護団体は、興味／関心に基づく広告
は、より高度なターゲティング広告への第一歩にすぎ
ず、さらに進めば、グーグルが把握しているすべてのユ
ーザー情報の使用に道を開きかねないことを危惧して
いる。
　 ACLU
（アメリカ自由人権協会）
で技術および市民
自由ポリシー担当ディレクターを務めるニコール・オゼー
氏も、
「これは大問題だ。グーグルはユーザーに関する
すべての情報を長期にわたって収集してきたが、その
情報については使用することはないと説明してきたの
だから」
と憤る。
　ただ、その ACLUをはじめとする人権擁護団体も、
オンライン・プライバシー・センターを開設して提供サービ
スの管理方法を
（一部だけでも）説明しようと努めてい
るグーグルの対応については、適切な取り組みだとし
て評価している。
　とはいえ、行動に基づく広告の採用を決めたのはグ
ーグルだけではない。同社の方針転換に、多くの企業
が待ってましたとばかりに追随しつつあるのだ。
　インターネット広告協議会でパブリック・ポリシー副委員
長を務めるマイク・ザネイズ氏は、そんなターゲティング広
告の氾濫に不快感を隠さない。もっとも、その一方で同
氏は、その立場もあってか「不快感自体は消費者に危
害を与えるものではないが……」
とも断ってはいるが。
　結局、この傾向に歯止めをかける方法は、ユーザー
自身がこの手法を使用したサービスの利用を中止する
以外にない。しかしながら、効果的なターゲティング広
告はターゲット化されていない「スパム広告」
とは違っ
て、ユーザーの興味を引く可能があるため、ことはそう
簡単に運びそうもない。
　グーグルに対する懸念材料は、これまでに述べたこ
と以外にもある。例えば、ユーザー・コンテンツを同社が
どれだけきちんと保護できるかといったことも、不安要
September 2009 Computerworld 45
 」
報 の「安全度
人情
og leの個
検証！Go

Column
Google上でプライバシーを守る「6つの方法」
グーグルのサービスを利用するにあたって、ユーザー自身の手でプライバシーを守るにはどうすればよいのだろうか。
Googleサイト内を探せば、オンライン上でプライバシーを守る方法がたくさん用意されていることがわかる。
ここでは、その中から、重要なものを厳選して6つ紹介する。

1│プライバシーにかかわる利用者の権利を知る
　プライバシーにかかわる利用者の権利を知るためには、Google
プライバシー・センターを利用するとよい。このサイトでは、グーグ
ルのすべてのプライバシー・ポリシーと、各製品間でのプライバシ
ーに関するベスト・プラクティスが説明されている。
　プライバシー・ポリシーの「法律用語」を理解するのは厄介だが、
YouTube内に設けられた「The Google Privacy Channel」には、グー
グルの製品やサービスを利用するにあたってプライバシー保護に
役立つヒントを紹介した「Google Search Privacy」や「Google
Privacy Tips」などのビデオ・ライブラリ （ただし、英語版のみ）が用
意されている。

画面1：Googleプライバシー・センター
http://www.google.com/privacy.html 2│利用サービスのコンテンツを保護する
　Picasa Web Albumsにアップロードする写真データ
など、グーグルに蓄積されることになるコンテンツは、
初期設定で「一般公開」になっていることが多い。その
ため、写真などをアップする際には、適切なチェック・
ボックスを選択することによってプライバシーを保護す
る必要がある。
　Picasa Web Albumsにコンテンツをアップロードす
る際には「一般公開」 （初期設定）のほか、「限定公開」や
「閲覧するにはログインが必要」を選択できる。
　対照的に、GPSが使える携帯電話を用いて居場所を
追跡するGoogle Latitudeの場合は、初期設定では位
置データが公開されないため、他人に見せるためには
権限を与える必要がある。また、Latitudeでは最新の
位置情報が保存されるだけで、履歴データは保存され
ない。

画面2：Picasa Web Albumsのデータ・アップロード画面

46 Computerworld September 2009

 画面3：Chromeの候補提案機能
3│Chromeブラウザの提案機能をオフにする
　Chromeでは、Googleサジェスト機能を使って、検索エ
ンジンのクエリ・バーを兼ねた Chromeのアドレス・バー
「Omnibox」に文字をタイプする際、どのURLを打ち込もう
としているかを自動的に推測してくれる。
　著名な Webサイトや検索結果と、タイプされたテキスト
画面4：Chromeのプライバシー設定画面
とを照合してURL候補を提案するわけだが、その際、入力
したテキストがグーグルのサーバに転送されて記録される
ことがあるので注意が必要だ。
　このサービスは初期設定でオンになっている。そのた
め、利用を中止するには、 「設定」
「オプション」
と進み、「高
度な設定」 タブの「プライバシー」内にある「検索キーワー
ドの候補を表示して入力をオートコンプリートする」のチェ
ックボックスをオフにしなければならない。
　そのほか、Web履歴、クッキー、ダウンロード履歴がセ
ッション終了時にコンピュータ本体に残らないように利用
することが可能な「シークレット・モード」などのプライバシ
ー・オプションも用意されている。

4│Web履歴を停止する
　最初に Googleアカウントを作成した際に、
Personalized Searchと呼ばれるWeb履歴のオ
プションをオンにしている場合がある。だが、
その状態だと、グーグル側に「個別の」検索履歴
が残される可能性がある。
　グーグル側では、このデータをターゲティン
グ広告に使用することはない。ターゲティング
広告に使用されるのは、グーグル側に蓄積され
たサーバ・ログかブラウザのクッキーに関連づ
けられた検索履歴だが、そのデータも9カ月後
には「匿名化」 される。
　しかしながら、Web履歴は、オフにするかコ
ンテンツを削除しないかぎりそのまま保持され
るので注意が必要だ。なお、Googleアカウント
管理の「ウェブ履歴」の右メニューから操作する
ことで、Web履歴を削除したり、一時停止した
りすることができる。
5│「興味／関心に基づく広告」
を拒否する
　記事執筆時点では、グーグルとAdSenseネットワークのサードパーテ
ィは、
（検索時の）文脈情報のみならず過去に閲覧された Webページの
履歴を利用して、ターゲティング広告を配信している。これは、ユーザ
ーの興味により合致した広告を配信するための手法である。
　だが、この広告は、Googleでの通常設定や Ads Preferencesページ
で別途登録した興味のあるカテゴリーを削除することによって拒否でき
るし、オプトアウトの状態にすることも可能だ。オプトアウトを設定した
状態を常時保つには、利用しているブラウザにプラグインをインストー
ルする必要がある。プラグインは、IE、Firefox、Chrome、Safariで利用
できる。
画面5：Ads Preferencesのページ
http://www.google.com/ads/
preferences/

6│GmailにSSLを追加する 画面6：広告クッキー・オプトアウト・プラグインのダウンロード・ページ
http://www.google.com/ads/preferences/plugin/
　Gmailに SSLを追加することによって、Gmail
で送受信するメールを暗号化することができ
る。ログイン・データは、SSL暗号化機能によっ
てデフォルトで暗号化されるが、メールの送受
信時にはパフォーマンスの低下を避けるため、
SSLはオフになっている。
　Gmailの設定ページの「全般」 タブを開き、ス
クリーンの最下部までスクロールし、 「ブラウザ
接続」の「常に httpsを使用する」をチェックす
る。

September 2009 Computerworld 47

 」
報 の「安全度
人情
og leの個
検証！Go
素になりうる。実際、グーグルはこれまで、G o o g l e
Docsのユーザー文書の共有を、閲覧を許可されてい
ないユーザーに対して許可してしまうといった事故を、
いくつか起こしてきた。
　もっとも、この事故の影響を受けたユーザーは全体
の 1％にも満たず、2006年にAOLが起こした65万件
のユーザー・ログ・データ流出事件のような、ライバル会
社による類似ケースと比べれば、大した規模とは言え
ないかもしれないが。
　 グーグルのゴーセマジャムダー氏は、同社ではユー
ザー・データのプライバシーは厳格に管理されていると
強調し、
「他人がユーザーの個人データにアクセスでき
ないように、あらゆる手段を講じている。また、グーグル
が提供しているサービスに加入していないユーザーが、
そこに含まれているデータにアクセスできないように内
部管理も強化してきた」
と力説する。
匿名化の有効性
　グーグルは周囲の要望にこたえるかたちで、これま
で、さまざまなプライバシー対策を打ち出してきた。
　例えば、サーバ・ログ・データを削除しない代わりに、
ある一定の期間が経過したら匿名化し、ログから特定
のクッキーIDや IPアドレスを関連づけないようにしたの
も、その1つの表れだ。
　その決定に基づいて、同社は 2007 年、サーバ・ロ
グのユーザーIPアドレスとそのほかのデータを18カ月後
に匿名化すると発表し、さらに2008年 9月には、クッキ
ーを除いて、匿名化までの期間を9カ月に短縮すると
発表した。クッキーの匿名化については、引き続き18
カ月間後に実施されることになっているが、現在「グー
グルのすべてのサービスが、この匿名化ポリシーに従っ
ている」
（ゴーセマジャムダー氏）
点は、評価に値しよう。
　だが、一部には、グーグルの個人情報データの匿名
化の不完全さを指摘する関係者もいる。例えば、グー
グルは、32ビットのIPアドレスの下位 8ビットをゼロで埋
めているが、これでは、ユーザー情報を256台のコンピ
ュータのグループの物理的な位置にまで絞り込めてしま
う──そうしたことを、彼らは問題にしているわけだ。
48 Computerworld September 2009
　個別のIPアドレスを振られた企業がこの手法を適用
されれば、Web上のユーザーの行動を、
（個人のIDで
はないにせよ）IDと簡単に結び付けることも可能にな
る。これをほかのデータと組み合わせれば、匿名デー
タによって個人を特定することもできるわけだ。人権擁
護団体が危惧するのは、まさにその点なのである。
　グーグルのライバル会社も、もちろんグーグルと同様
の批判にさらされているが、この状況は彼らにとってグ
ーグルの先手を打つチャンスでもある。そこで、ライバル
会社は、現在さまざまな戦略を実行に移している。
　例えば、マイクロソフトは、IPアドレスを匿名化する代
わりに18カ月後にIPアドレスを削除するようにしている
が、現在、業界に対して、すべての検索ログを6カ月
後に匿名化することを提案している。
　またヤフーは、検索クエリとそのほかのログ・データを
6カ月後に匿名化しているが、それ以前に、Ixquick検
索エンジンがユーザーのIPアドレスをまったく蓄積してい
ないことをアピールしている。
　プライバシー擁護団体の最大の懸念は、もちろんグ
ーグルが持っている膨大なユーザー・データが「ほかの
だれか」の手に渡ることである。
「ほかのだれか」には、
犯罪者やマーケティング会社はもちろん、捜査当局など
も含まれる。EFFのバンクストン氏は、
「豊富で詳細な
機密情報は、捜査当局や訴訟弁護士など、ユーザー
の行動を知りたがっている人にとっては、ワンストップ・
ショッピングのようにすべてが手に入る便利な存在に映
るだろう」
と指摘する。
　プライバシー法はこうした点をほとんど保護していな
い。そして、グーグルのポリシーも含む多くの企業のポリ
シーが、裁判所命令や令状によってユーザー・データ
の提出を求められた場合に、ユーザーに通知するとい
うことを、明確には定めていないのである。
　現在、業界が基準にしているのは、1986年に制定
された電気通信プライバシー法
（Electronic Communi
cations Privacy Act）
だが、この法律は制定からすで
に22年もの歳月を経ており、政府でさえオンライン・デー
タには適用できないことを認めているのである。こうした
状況から、グーグルも、
「ユーザーの検索ログの法的保
護について明確な見解を出していない」
（ バンクストン
 氏）
のが現実だ。 画像2：
『Privacy and Free Speech Primer』

　プライバシー権利団体は、グーグルに対して、企業
からではなく訴訟弁護士や法執行機関から依頼され
た情報開示請求とそれに対する回答の件数だけでも
公開するよう求めているが、いまだに公開されていない
（この状況については、競合他社も同じだ）
。
　グーグルは、この件については、回答件数を明らか
にしない理由を説明することさえ拒否しているが、同社
次席法務顧問のニコル・ウォン氏は、グーグルは法的
要請に対して「厳格に、的確に、法に従って」対応し
ていると言明している。
　確かに、少なくとも1回は、グーグルが加入者のプラ
イバシーを守るために強力な手段を講じたことがあるの
は事実だ。バイアコムが著作権侵害を巡って、グーグル
傘下のYouTubeの加入者に関する記録の閲覧を求め こと、そしてその情報について、共有される部分や、ア
た際に、グーグルはそれに抵抗して個別のユーザーを クセス者に関する制限をユーザーが選択できるようにす
特定できないよう匿名データのみを引き渡したのである。 ることが重要」
（グーグルのフレイシャー氏）
なのである。
　しかしながら、プライバシーの専門家たちは、より小 　しかしながら、プライバシーをより厳格に保護すること
規模な個人レベルのものを含む記録に対する数千のリ を求めるユーザー側の要求と、ユーザー・データをより
クエストについては、これまでどのように扱われてきたか 自由に取り扱えるようにすることを求めるグーグル側の
疑問に思っているようだ。 要求とは、当分の間、平行線をたどることになりそうだ。
　ACLUのオゼー氏は、ACLUオブ・ノーザン・カリフ 「グーグルのビジネスは、ユーザーから集めた情報で成
ォルニアが発行したプライバシーとビジネスの入門書 り立っている。常に持ちつ持たれつの関係にある」
（バ
『Privacy and Free Speech Primer』
の44ページに ンクストン氏）
にもかかわらず、である。
おいて、
「収集データをより少なくし、保存期間を短縮 　だが、最終的にはプライバシー法が改正されることに
すべきだ」
と提言している
（画像2）
。 よって、受け入れるものと拒否するものとをユーザー側
　世界不況の真っ只中にある現在、政治家は経済問 で自由に選択できるようになるはずだ。
題を優先しているため、プライバシー法の改正は当面 　グーグルがこれまで信頼に値する対応をとってきたこ
行われそうにない。そこで、プライバシー権利団体と監 とは、バンクストン氏も認めるところである。だが、今後
視機関は、グーグルに、リーダーシップを発揮して模範 はそれ以上に、情報管理の透明性の確保と管理権
を示すよう圧力をかけている。 限のユーザーへの譲渡が求められることになろう。バン
　WPFのディクソン氏は、
「あれほど大量のデータを クストンは言う。
保有している企業であれば、プライバシー分野におい 　「グーグルが引き続き革新的なビジネスを展開するこ
ても、先進的かつ先見的な立場に立って、利用者を とを望んでいる。われわれが必要としているのは、法
重視した戦略をとるべき責任がある」
と強調する。 律がきちんと整備され、データの安全性が確保されると
　Webベースの無料ソフトウェアやサービスと引き換え いう、ごく当たり前のことだけなのだから」
に、ユーザーはサインアップ時に一部の個人情報に関 　つまり、グーグルにとっては、ビジネスの革新的な進
する権利を放棄している。だからこそ、
「収集される情 展とユーザーとの信頼関係の確保を両立させることこ
報の内容と情報の使い道をユーザーに見えるようにする そが、最重要課題というわけである。

September 2009 Computerworld 49

 今回の登場人物
●山下：健康食品メーカーA社のシステム部門担当部長
●石垣田：A社の専務執行役員企画本部長
●池：中堅システム開発会社のトップ・コンサルタント

ワークスタイル変革のために
奮闘するシステム担当部長

2 0 0 8 年 9 月某日

　「──いや、山下さん、簡単に
『在宅勤務環境』
と
第8回
おっしゃいますけどね。セキュリティ面でクリアしなけれ
Webウイルスの脅威
業務スタイル変革に立ちはだかった
海外出張先からのウイルス侵入を即座に撃退した健康食品メーカー

ばならない課題が幾つもありますから、少し慎重に考え
生
インシデント発 られたほうがよろしいかと……」
　「池さんが懸念されていることは理解してます。シン・
社では、在宅 勤
カーである A
健 康食 品メー を念 頭に置 クライアント方式にして、自宅やリモートのPCにはデータ
外 出 先 に お ける業 務 支 援
務や ・ア プリケーシ を保存しないような環境にすれば、たとえPCが物理
ースのオフィス
いて、We b ベ ていた 。テ 的に盗まれたとしてもセキュアですからね。でも、そん
の 全 面 的 な 移 行を計 画し
ョンへ ることが 証明 な安直な方法では駄目なんですよ！」
分 実用に堪え
スト導 入では十 いた 新シ
業 員 か ら も称 賛を浴 び て 　A社は 5 年前、社内にシン・クライアント・システムを
され 、従
イルスの 侵 入
テム だ が 、あ る日、We b ウ 導入した。それを担当したのは山下自身だった。導入
ス
。 当初は回線容量やサーバのパフォーマンスなど多くの
を許してしまう
問題が噴出し、一時は凍結にまで追い込まれたことも
あった。だが、山下はベンダーやSIerを巻き込み、そう
した問題を根気強く解決していった。山下の努力のか
いあって、シン・クライアントは現在、本社機能を支える
スタッフの80％以上が利用するまでになっている。そし
て山下は、A社の業務システムに関してさらに新たな
筆者は、セキュリティ・コンサルタントとして、これ
試みを始めようと企んでいた。
まで数々のインシデントを目の当たりにしてきた。
　「シン・クライアントの利用が定着している御社だから
本連載は、そんな筆者が経験したことのあるイン
こそ、シン・クライアント方式で始めるのが妥当だと思う
シデントを基に、事件発生から解決に至るまでの
んです。何が駄目なんでしょうか」
過程を“迫真のストーリー”で紹介するものだ。
もっとも、取り扱う事柄の性質上、事実をありの 　「単純な話です。商品企画や営業は、みな当社の
ままの姿で公開することはできない。そのため、こ アイデンティティを大事にして業務にいそしんでいるの
こで紹介する内容は、あくまでもフィクションの形 です。それがなくなった時点で、われわれはわれわれ
態をとっているが、インシデント対応に関しては可 ではなくなるのですよ。それはシステム業務に携わるわ
能なかぎりリアリティを追求したつもりである。どう れわれも同じなのです。いや、もしかすると、最も創造
か、その辺りの事情をご理解の上、ご愛読いただ 性が求められるのはわれわれかもしれません。ユーザ
ければ幸いである。
ーの立場、視点から考えてみることが大事なんです」
山羽　六 　「ええ、それはわかるのですが……。しかしですね、

50 Computerworld September 2009

御社の業務を支えるシステムですから、何よりも盤石
であることが第1だと私は思うのです」
　「セキュリティの観点からだけ見るとそうかもしれませ
ん。でもね池さん、企業のシステムというのは、そこで
働く人間のワークスタイル、いや意識にまで変革をもた
らす重要な要素の 1つなんですよ。われわれが編み
出す新たなシステムが、これまでとはまったく違う商品
やターゲット顧客を生み出すかもしれないんです。その
ためにはやはり、チャレンジが必要なんですよ！
（※1）」
　山下の「情熱家」ぶりはA社内でも有名だった。シ
ステム部門のミッションは、山下が熱く語る構想をうまく
形にすることだと言っても過言ではないほどだった。山
下自身も、役員や経営幹部の座に着くのを固辞して、
現場で陣頭指揮が執れる担当部長の職に居続けるこ
とを希望していた。
　「は、はあ……。お気持ちはわかりますが……」
　「池さんには、われわれが考えるアイデアにセキュリ
ティ・リスクが潜在していないかどうかを精査してもらっ
て、未然に是正していただきたいんです。的確なコン
サルテーションに期待してます」
　「も、もちろんです。それは任せてください」
　「で、現在私が考えているのは……」
　山下が構想している新しいシステムは、すべての業
務をWebベースのアプリケーションで実現するというも
のだった。すでに業務アプリケーションのほうは大半が
Web化されているため、あとはメール、表計算、ワープ
ロ、プレゼンテーションといった主要なデスクトップ・アプ
リケーションをブラウザ上に移行できれば、業務がすべ
てWebアプリケーション・ベースで実現することになる
のだ。
　その実現のために、山下はさまざまなベンダーと協議
を重ねてきていた。その過程で、オープンソース系の
Webアプリケーションを使った仕組みによって実現でき
ることがわかり、仕様変更への対応力や臨機応変な
サポート力を評価して、池が所属するB社に開発を委
託するつもりになっていた。
　「山下さんのお考えになっているWebアプリケーショ
ンなんですが、実は当社でも社内で展開しているんで
す。ただ、まだまだ試験的なところがありますし、もちろ
ん社内 LANでしか動かしていません。インターネット経
由となるとリスクやトラブルの懸念も格段に増えますの
で……」
　「ええ、わかりますよ。でも、それを乗り越える努力を
するだけの価値はあるじゃないですか。商品企画の人
間が、カフェでささっと資料を作る。自分の PCじゃなく
て、店舗備え付けの端末でもかまわないわけです。あ
るいは、消費者の意識調査で訪問したお宅で、PCを
お借りして社内のデータを引っ張ってくる。さらに言え
ば、携帯サイ
トを公開して、女子高生に社内の企画書
を直接公開する……。いろんな可能性があるわけで
すよ！」
　「うーん、最後の携帯サイ
トは関係ないような気もし
ますが……。山下さんの狙いはよくわかりました」
　「まあ細かい話は追って詰めることにして、とりあえず
リスク・アセスメントは先行しておいてください」
　「はい、かしこまりました……」
　こうして、いつものパターンどおり、山下の強引な依
頼に周囲が振り回されることになったのだった。
「意外な味方」が
新システムの導入を支持
2 0 0 8 年 12 月 15 日 10 : 0 0
　山下のチームでは、池のコンサルテーションを受けな
がら、約3カ月かけて要件定義を進めた。この時点で、
調査案件としての予算を消化してしまったため、要件
定義フェーズの結果を基に、あらゆる調査結果を取り
まとめて、施策の実行フェーズに移そうとしていた。
　この日、経営会議では、山下が1年以上も前から練
ってきた新システム基盤について、決裁を与えるかどう
かの審議が行われていた。
　「──このように、私はこのシステム基盤を活用して
会社のワークスタイルに変革をもたらしたい、そう考えて
います。健康食品や女性向けの美容関連商品が主 ※ 1 　システムの基 盤に
は、やはり 「盤石」と言える
力商品である当社だからこそ、女性のワークスタイルに ものを選択するのが妥当で
あろう。そういう意味では、
より自由な風を吹かせたいと思っているのです」 筆者も山下の考え方には
不安を抱かざるをえない。た
　「なるほど。ところで山下君、最近はホームページが だし、その一方で、例えば
iPodの開発思想のように、
ウイルスに冒されていて、ページを開いただけでそれが 既存の固定観念にとらわれ
ない考え方も必要であるの
感染するような事件が頻発しているらしいじゃないか。 は事実だ。PCが仕事に使
われるようになって久しい
キミの提案してくれたシステムも、やはりそのリスクがあ が、あるときを境に大きなパ
ラダイムシフトが起きる可能
るんじゃないのかね」 性もあるのだ。
September 2009 Computerworld 51
第8回 業 務 ス タ イル変 革 に 立 ち は だ かった Web ウ イルス の 脅 威

　「社長、リスクを極小化する策はもちろん講じますの 　「承知しました。異存ありません」
でご安心ください。具体的には、お手もとの資料にあり 　「ありがとうございます！」
ます……」 　A社内で影響力の大きい石垣田の発言に、反対す
　山下は、新システムの導入によって得られると考え る役員はいなかった。石垣田は、従来からシン・クライ
られる具体的な効果や可能性を熱く語った。山下の アント基盤によるノートPCの管理に煩雑さを感じてお
話など聞いていない役員も何人かいたが、それはいつ り、またクライアントの機種が限定されることにも不満を
ものことだ。山下は特に、導入によってワークスタイル 抱いていた。石垣田は決してシステムに詳しいわけで
が大きく変わるであろう営業や商品企画、人事の役員 はないが、クリエイティブな仕事を効果的に支援する
にターゲットを絞って熱弁をふるい、質問や意見、要 環境を提供するためにも、多彩なワークスタイルを社内
望を引き出そうと努めていた。 に提供したいという思いがあった。特に、企画部門に
　やがて、役員からの質問や意見はひととおり出尽く は20代後半から30代後半までの女性社員が多いた
したが、場の雰囲気はあまり山下の提案に肯定的で め、彼女たちが働きやすい環境の創造には興味があ
はなかった。正直なところ、ほとんどの役員は山下の ったのだ。
提案する新システムのメリットも具体像もはっきりとは理
解できておらず、何となく余分な予算を消費すること 2 0 0 8 年 12 月 17 日 14 : 0 0
ははばかられるという気分から、消極的な姿勢をとっ
ていたのだった。 　山下は早速、石垣田とミーティングの場を持った。
　そんななか、ふだんはめったに発言しない寡黙な石 新システム基盤に対する詳細な要件や仕様を固める
垣田専務執行役員が口を開いた。石垣田は企画本 必要があったからだ。
部の本部長でもある。 　「石垣田さん、早速ですが、企画部門ではだれがど
　「えー……、ウチがやっている商品企画や開発にお んな場所で、どのようにWebアプリケーションを利用す
いては、常に『鮮度の高い』消費者ニーズの収集が ることをイメージされているのかお聞かせ願えませんか。
至上命題となっているわけだ。だが、市場のリサーチ われわれとしては、企画部門の部員全員が自宅のパ
は、必ずしも対象者数が多ければいいというものでは ソコンから会社のシステムにアクセスし、社内にいるとき
ない。たとえたった1人の消費者の声をかたちにしただ と同等の作業をセキュアに実現できるというのを、第 1
けでも、たくさんのお客様に喜ばれる商品が生まれるこ の目標として考えているのですが……」
ともある。で、山下君の考えるシステムは、そのどちらな 　「そうだな。それでいいんじゃないかな」
んだろうか」 　「は、はあ。では、えーっと、例えば外出先の環境、
　「は、はい、石垣田さんのおっしゃるとおり、今回の 空港やホテルで自由に使える端末を使って業務を行
システムはなかなか理解を得られにくいものだとは思い える、そういうのはどうでしょうか」
ます。ですが、私自身は、営業や企画部門の方々に 　「うん、それもシーンとしては想定できるだろうね」
は喜んでいただけるものであるという信念を持って進め 　「えっ、はい……。えーと、あとはデータの保管なん
ています」 ですが、データ自体は基本的に会社側、サーバ側に
　「ふむ、そこに賭けてみようというわけだね」 保管されます。持ち運ぶ必要がなくなり、紛失や盗難
　「は、はい。利用者のワークスタイル……、いえ、石 のリスクも下がるわけですが、それはどうでしょうか」
垣田さんの仕事のスタイルすら変えてみせます！」 　「ふーむ、山下君には申し訳ないが、言っている意
　「わっはっは、それは面白い。じゃあ、私は山下君 味がよくわからん。とにかく、企画の部員が外出先や
の味方をすることにしよう。社長、ご意見はいかがでし 自宅で、そこにあるパソコンを使って会社にいるのと同
ょうか」 じ作業ができるわけだな？」
　「そうか。では、手始めに石垣田君のところで試験 　「はっ、はい」
的に導入してみるということでどうだろう」 　「それから、その作業をするときに特別な制約、例え

52 Computerworld September 2009

ばICカードをかざしたり、USBのキーをつないだり……
よくわからんが、とにかくそういう特別な操作も必要な
いようにできるのかな」
　「ええ、もちろんです。社内システムにログインするの
と同じログイン・アカウント── IDやパスワードが使えま
す。作業するデータも、社内のものに直接アクセスする
ことができるわけです」
　「よし、わかった。ウチとしては、これ以上の要件は
ない。基本設計が終わったら、またその段階で一度
確認させてくれないか。よろしく頼むよ」
　「か、かしこまりました！」
　石垣田からの要求があまりに単純だったため拍子
抜けしてしまった山下だったが、
「お墨付き」
を得たこと
は間違いないため、多少ホッとした気持ちで会議室を
後にした。
　一方、自席に戻った石垣田は「小一時間ほど外出
する」
と秘書に告げて、出かけていった。
2 0 0 8 年 12 月 17 日 17: 0 0
　山下は部下を集め、石垣田とのミーティング内容を
基に設計作業に取りかかろうとしていた。そこへ、B社
を訪問していたスタッフが帰ってきた。
　「ふーっ、寒い寒い。ただいま戻りましたー」
　「おっ、お疲れさん！　どうだった？　デモのシステム
はちゃんと動いていたか？」
　「ええ、もちろん、何の問題もなく。プレゼンで池さん
が張り切っちゃってましたよ」
　「がははは、あの人も何だかんだ言いながらやる気
になってるんだよなあ」
　「期待されると張り切っちゃうタイプなんでしょうね。
……あっ、そうそう、戻ってくる途中で石垣田さんを見
かけましたよ」
　「えっ、社外でか。さっきまで石垣田さんと要件定義
のミーティングをしていたところなんだが」
　「それがですね、あのお堅いイメージの石垣田さん
が、なんとスタバでコーヒーを飲んでたんですよ！」
　「おいおい、いくらカタブツの石垣田さんでも、スタバ
くらいは行くだろうよ」
　「それが、1人じゃなくて、若い女性と一緒だったん
ですよ！」
　「ほほう、それは興味深いね」
　「毛皮を着た女性と2 人で、何だか真剣な表情で
話をされていました。石垣田さん、少し困ってる様子で
したよ」
　「ははは、お前は探偵か。石垣田さんだって、飲み
屋のお姉ちゃんとコーヒーを飲むことくらいあるだろうさ。
専務執行役員だぜ。……ま、それはさておき、池さん
のプレゼン内容をフィードバックしてくれ」
　山下は、池のプレゼン内容が気になってしかたなか
った。本当は自分が出席していろいろと確認したいとこ
ろだったが、石垣田とのミーティングと予定が重なった
ため、部下に出席するよう頼んだのだった。部下から
のフィードバックはほぼ想像どおりであり、ひとまず安心
はしたものの、やはり実際のシステムを触ってみないこ
とには完全に納得することはできなかった。
2 0 0 8 年 12 月 17 日 19 :30
　山下は、部下たちとのミーティングで、設計に関する
作業分担を済ませた。山下個人は企画本部内での
運用を来年 5月の連休前に開始したいと考えていた
が、来年度予算の獲得も視野に入れると、あと3カ月
で本番運用まで持っていかなければならなかった。そ
こから逆算すると、何とか年内には基本設計のドラフト
を作成し、石垣田の承認を受け、社長や主要役員の
同意も取り付けておきたいところだった。
　そんなスケジュールを考えながら山下がトイレに向か
っていると、廊下の向こうから帰宅を急ぐ様子の石垣
田が現れた。
　「あっ、石垣田さん。今日はどうもありがとうございま
した。お疲れさまでした」
　「ああ、例の新システムの件、よろしくな。B社もやる
気満々らしいからな。じゃ、お疲れさん」
　山下は軽く一礼してトイレに向かった。そこでふと、
石垣田と若い女性がカフェで会っていたという部下の
話を思い出した。
　「石垣田さん、ずいぶん急いでいたけど……。女性
と待ち合わせて
『同伴出勤』
でもするのかな。ちょっと
意外だけど、ま、そんな一面もあるんだな」
　社内では「堅物」で通っている石垣田のそんな姿を
想像して、山下は少しニヤついてしまった。次に、先
September 2009 Computerworld 53
第8回 業 務 ス タ イル変 革 に 立 ち は だ かった Web ウ イルス の 脅 威
程の石垣田の言葉を思い出した山下は、少し不思議
な感じがした。
　「あれ？　そういえば、さっき
『B社もやる気満々だ』
っ ないでしょうか。私のほうも、本件は何としてでも継続
て言ってたよな。石垣田さんとB社を引き合わせたこと
はないし……。B社と何か関係があったんだっけ？」
　トイレで手を洗いながらそんなことを考えていた山下
だったが、ちょうどそのとき胸ポケットの携帯が鳴ったこ
とで、浮かんでいた疑問も消え去ってしまった。
システム・コンサルタントの
ひそかな悩み
2 0 0 8 年 12 月 19 日 10 : 0 0
　この日は、B社の池が山下のもとを訪れていた。先
日のプレゼンに対する反応を探りがてら、新たな要望
や仕様変更依頼などを聞きに来ていたのだ。
　一方、A社側では、すでに石垣田からヒアリングし
た要望をベースに、基本的なユーザー要件を固めてい
た。こうした状況にあって、目下の関心事は、今後ほ
かの部門にも展開していくにあたって想定される仕様
の変更や追加の要望に、B社がどの程度対応できる
か──にあった。
　また山下は、システムの安定性やセキュリティに関す
る対策をB社がどう考えているのかも気になっていた。
今回のシステムによって利便性が大幅に向上するの
は確かだが、一方で、ネットワークやサーバのキャパシ
ティと、Webアプリケーションの処理負荷が可用性に与
える影響とが懸念されていたのだ。さらに、IDとパスワ
ードだけでログインを許可し、どこからでも社内の機密
情報を閲覧／編集できるという点について、少なから
ぬ不安感を抱いていた
（※2）
。 　「ははは、それは皮肉ですか」
　山下は、今後基本設計を進めていくにあたって、こ
れらの点について、あらためて B社に事前の確約な
り、安心に足る証跡の提示なりを求めるつもりでいた。
　「山下さん、お忙しいところ恐縮です。本日は、新シ
ステム導入についてのご相談にお伺いしました」
　「ええ、承知してます。当社でも調査フェーズを終え
て本格的にシステム化案件として決裁を取ったところ
で、これから予算確保に動こうとしているところなんで
す。スケジュールを考えると、ゆっくりとはしていられま
54 Computerworld September 2009
せん」
　「差し支えなければ、現在の状況を教えていただけ
受注しろと上からうるさく言われておりまして……」
　「ははは、お互いに板挟みというわけですね。こちら
では、何とか今月中に予算審議を通過させたいと考え
ています。というのも、企画本部で先行導入するとい
う案件ですが、今年度中に完了したいと考えているん
です」
　「こ、今年度中ですか?!　……3月末までに現場に
展開しなければならない、ということですか」
　「ええ、そうです。結構逼迫しているんですよ」
　「いや……、それは何とも……、アレですね……」
　「ん、厳しいですか？　B社さんにお願いする場合、
このスケジュールが絶対の条件です。実現可能かどう
か、その確認が今日の私の目的です」
　「うーん……。そうですね、本当は一概には言えな
いところなのですが、わかりました。何とかいたしましょ
う。ただし、遅くとも来月、1月から開発に入らせてくだ
さい。それから、詳細設計はプロトタイピングでやらせて
ください。あと、
ドキュメントに関しては4月以降の作業と
して、別納品でお願いできればと思います。いかがで
しょうか」
　「ええ、OKです。われわれの要件は、3月までにシ
ステムが企画本部で本番稼働できる状態にあることで
す。もちろん、システム改修の可能性があることを前提
にした展開でもかまいません。その場合は、今回の見
積もりとは別見積もりにさせていただきます。よろしい
ですか」
　「承知いたしました。いつもながら、やりがいのあるご
要件をいただきありがとうございます」
　「いえいえ、とんでもございません！　ほかのお客様と
違って、いつもギリギリのラインをズバッと突いてこられ
るので勉強になります」
　「それは恐れ入ります！　はっはっは！」
　実は、池のほうでは年内に契約手続きに入り、3月
末までに設計フェーズを終わらせ、開発やテスト、リリー
スは年度明けの4月以降というつもりでいたのだ。それ
からすると、スケジュールはいきなり半分に短縮された
ことになる。ただ、今回はまったく新規のシステムという
わけではなく、すでにB社内で稼働しているシステムを 案件もそちらの案件も、頑張ってくださいよ！」
流用することができ、基本的なユーザー要件も固まっ 　「あはは、恐れ入ります」
ている。そのため、3月中に本番稼働というのも、スケ 　予定していた時間が終わりに近づいたので、2人は
ジュールをやりくりすれば、無理な注文というわけでは 脱線した話を元に戻した。今回、システム納品とドキュ
なかった。いずれにせよ、3月上旬にはシステムを稼働 メント納品を分けることが決まったため、その内容に沿
させなくては話にならないと踏んだため、
ドキュメント作 った見積もり書類を改めてB社から提出することにな
成を後回しにするなどして少しでも作業負荷や手戻り った。池はすぐに修正した見積書を提出することを約
要素を減らしておくことにしたのだった。 束して、ミーティングを終えた。
　一方、山下のほうは、どうしてもスケジュールを年度
内に収めなければならない特別の理由はなかった。た 2 0 0 8 年 12 月 22 日 10 : 0 0
だ、ダラダラと開発に時間をかけるのは避けたかった。
さらに、企画本部が率先して協力してくれるという話を 　山下は、金曜日に池から送られてきた修正分の見
逃したくもなかった。そこで、ここで一気に予算を通し 積書を添付し、予算の決裁を経営会議にかけた。予
ておきたいと考えたのである
（※3）
。 算は問題なく承認され、本日から早速取りかかること
　「そういえば、こないだの池さんのプレゼンはかなり と、定期的に状況を報告することが指示された。
熱が入っていたそうですね。部下から聞きましたよ」 　山下はその結果を持って、再び石垣田のもとを訪
　「あはは、お恥ずかしい限りです。とにかく隅から隅 れた。
まで、みっちりご説明させていただきました」 　「おかげさまで予算が取れました。早速 B社と詳細
　「なるほど……。あれっ？　池さんってご結婚されて を詰めて進めてまいります。企画本部側でもどなたか
ましたっけ？」 責任者と担当者を立てていただきたいのですが、どな
　「えっ？　ああ、この指輪のことですか」 たにご相談すればよろしいでしょうか」
　「ええ、以前はつけていらっしゃらなかったですよね」 　「ああ、基本的には商品企画課にやってもらうことに
　「そうなんです。実は結婚したいと考えている女性が してあるから。あとで当たってみてくれるかな」
いまして」 　「了解しました。では、これから最後の要件を固め
　「ほー、なるほど。だから仕事にも気合いが入ってい て、来年の 2月中には試験的に導入できるようにいた
るとか？」 します。その際には石垣田さんにも使っていただきます
　「あはは、そうかもしれませんね。ただ、実は結婚の ので、よろしくお願いします」
話が難航していまして、2人の決意を表明するために 　「ああ、わかったよ」
※2　これは筆者も同感で
2人で結婚指輪をつけることにしたんです」 　山下はその足で商品企画課を訪れ、石垣田からの ある。社外（インターネット）
から、IDとパスワードだけで
　「ふーん。
『難航』
と言うと、ご両親の反対とか？」 伝言を課長に伝えた。 社内の機密情報にアクセ
スできてしまうというのは、い
　「さすが山下さん、鋭いですね。知り合ってもう1年 　「いやあ、石垣田さんから突然言われちゃいまして ささか脆弱ではないだろう
か。せめて、オンライン・バ
になるんですが、彼女のご両親になかなか会っていた ね。僕のほうもかなり戸惑っているんですよ」 ンキングで利用されているよ
うな乱数表やワンタイム・パ
だけなくて……」 　「ああ、そうですか。それは申し訳ないことを……」 スワードぐらいは使ってもら
いたいところだ。
　「うっかり
『結婚の決意が固まったからごあいさつを 　「いやいや、山下さんが謝ることじゃないですよ。だ
※3　Webアプリケーショ
……』
なんて言っちゃったんじゃないですか。そりゃあ けど、急に、来年の3月から今使ってる業務用のソフト ンのプロトタイピング開発だ
からといって、ドキュメントを
駄目ですよ、特に父親ってやつは」 を使うなと来たもんだから。ホントに新しいシステムが使 後から納品するというアイデ
アには賛成できない。相手
　「はあ、まったくそのとおりなんです。お会いできる機 い物になるかどうか確認できるまで、並行して使うのが との関係が密であればある
ほど、ドキュメント
（またはそ
会が取れそうだったんですが、つい電話で、彼女と結 筋ってもんでしょうに……」 れに代わる設計書） の形で、
きちんと記録を残しておくべ
婚したいということを話してしまいまして……。それが 　「ええ。その辺りはわれわれシステムのほうで並行し きだ。今回のケースであれ
ば、A社側はプロトタイピン
敗因です」 て利用できる環境を用意しますので、ご安心ください」 グ画面に対する変更要求
等を記録として残すことが
　「ほらほら、簡単にあきらめちゃ駄目ですよ！　ウチの 　「よろしくお願いします。もちろん、ウチとしても人事 肝要である。

September 2009 Computerworld 55

第8回 業 務 ス タ イル変 革 に 立 ち は だ かった Web ウ イルス の 脅 威
が勤務時間さえきちんと調整してくれれば、非常にうれ
しい取り組みなんですよ。惜しみなく協力させていただ
きます」
　「助かります。ところで、在宅勤務の場合の勤務時
間の取り扱いは、やはり難しいですか」
　「いや、ウチの場合は基本的にフレックス・タイムを
導入していますから、そんなに問題があるわけではあり
ません。ただ、勤続年数が少ないとフレックスを選択で
きないじゃないですか。不公平感というか、そういう不
満が出てくるかもしれないな、と……」
　「なるほど。まあ出勤して仕事をすることができなくな
るわけではないですから、その辺りは人事の施策とし
てきちんと整備してもらいましょう。それも私のほうから
働きかけておきますよ」
　山下は、人事に相談する内容をメモした。すると、
商品企画課長が思い出したように口を開いた。
　「あっ、そうだ。山下さん、いちばん心配なのが社内
からの機密データの漏洩なんですが……。その辺りは
大丈夫なんでしょうか」
　「ええ、もちろんその辺りのことは十分に考慮してあり
ます。新しいシステムでは、Webブラウザでログインし
て書類を閲覧したり編集したりすることができるんです
が、そのデータをPCには保存できないような制限をか
けます。それから、印刷やデータのコピー＆ペーストも
特定の PC、つまり社内にあるPCでしかできないよう
にするつもりです
（※4）」
　「そうですか……。うーん、印刷ができないのはとも
かく、文章をコピペできないというのはちょっと微妙で
すねえ。メールやドキュメントを作るときに不便だとクレー
ムが出そうな気もするなあ」
　「確かにそうですね。その点は、法務部門なんかと
見解を見直してみましょう」
　「あとは、アプリケーションの動作速度が気になるとこ
ろですけど」
　「ええ。デモを見た部下からは、回線速度さえ十分
ならば問題はなさそうだとの報告を受けています。今は
どんな家庭でも光ファイバや ADSLのブロードバンド回
線が接続されていますから、気にしないでいいと思い
ますよ」
　山下は商品企画課を後にした。おおむね山下たち
が想定していた範囲内の要件にとどまったため、シス
56 Computerworld September 2009
テム部門では早速、池らとともに設計作業に入った。
ユーザーから好評を得た
「プロトタイプ」
2 0 0 9 年 1 月 14 日 17: 0 0
　この日は、池が新システムのプロトタイプを披露しに
A社に来ていた。以前からB社が社内で展開していた
システムと基本的には同じ要件だったため、プロトタイ
プもさほど時間をかけることなく作り上げることができて
いた。
　この新システムでは、社内ポータルやメーラー、スケ
ジューラー、
ドキュメント管理といった基本機能に加え、
ワープロ、表計算、プレゼンテーション、
ドローといった
オフィス・アプリケーションが利用できるようになっていた。
また、安全面での懸念があったユーザー認証機構に
は、IDとパスワードに加えて、ユーザーに配布される乱
数表から指定された位置の数字を入力させる多要素
認証の仕組みが取り入れられていた。
　「いやあ、さすがですね。思っていたよりサクサク動
くじゃないですか！」
　「ありがとうございます。今、このPCはデータ通信カ
ードを使ってダイヤルアップ接続しているんですが、こ
れなら外出先からでも実用に堪えるくらいの動作感は
ありますよね？」
　「大丈夫です！　自宅のブロードバンド回線だったらさ
らに快適になるでしょうから、まったく問題ないですよ。
よし、さっそくウチのユーザーに見せましょう
！」
　「ええーっ？　もういいんですか？
！」
　「はいはい、大丈夫です。もちろん、プロトタイプとい
うことで、ほかに欲しい機能があるかどうかを調べると
いう名目でレビューしましょう。で、あわよくば、そのレビ
ューで、ユーザーから実質的なOKをもらってしまいまし
ょう」
　「は、はい、かしこまりました。で、皆さんにはいつご
ろお見せすることにしましょうか」
　「は？　今からですよ」
　「えっ、今から、ですか」
　「もうー、池さん、いったい何年僕と付き合ってるん
ですか。えーっと、ちょっと待ってくださいね……、いま
商品企画に内線をかけて、付き合ってくれるかどうか 　「そうですね。ただ展開前に、弊社が指定するセキ
聞いてみますから。あ、もしもし山下です！　実はです ュリティ・ベンダーで、サイ
トの脆弱性検査をやっておき
ね……」 たいんですが。よろしいですか」
　山下が商品企画課に電話したところ、夜に新年会 　「Webアプリケーションの脆弱性検査ですよね。もち
が予定されていることもあって、ちょうど課員全員がそろ ろん問題ないです。検査元の IPアドレスさえ事前にお
っているとのことだった。山下は渡りに船とばかりに、 知らせいただければ、実施するのはいつでもかまいま
これからプロトタイプを見せに行くと宣言して電話を切 せん
（※5）」
った。 　「では、あとでメールしときます。……あ、そういえば、
　「池さん、ツイてますね……。全員いますって！　つ 池さんって、弊社の石垣田とはまだお会いになってい
いでに石垣田にも連絡してみますが、石垣田はきっと ないんですよね？」
いないと思います」 　「あ、えーと、商品企画部長さん、でしたっけ」
　「はい？　あの、い、石垣田さんというのは？」 　「いえいえ、企画本部の本部長で、専務執行役員
　「えっ？　ウチの企画本部長ですが……、ご存じな になりますから、わが社内では上から数えて5 本の指
んですか」 に入る大物幹部ですよ」
　「いえいえ、変わったお名前なので少しビックリした 　「そっ、そうなんですか？
！　いやー、参ったな……」
だけです！　さあ、じゃあ早速参りましょうか」 　「あれ、どうされました？」
　「おっと、池さんもやる気になってきましたね」 　「あー、いえいえ、何でもないです。いやー、そういう
　山下と池は連れ立って商品企画課を訪れ、ざっと 偉い立場の方に、今回の案件を直接見ていただける
新しいシステムを実演してみせた。派手さに欠けるた のは光栄だなあと思いまして」
めか当初の反応は今ひとつだったが、Webブラウザ上 　「まあ、確かにそうですね。ふだんの石垣田は寡黙
で動作し、外出先や自宅からも同じように操作できるこ な人間なんですが、経営会議の席上、突然この案件
とがわかると、一同から拍手喝采と絶賛の声がわき起 に協力すると言い出したんですよ。さすがに私も驚きま
こった。しかも、山下が商品企画課に要件を聞きに来 した。でも、石垣田の発言力は社内でもかなりのもの
てからまだ1カ月もたっていないにもかかわらず、ほぼシ ですから、それまで否定的な態度だったほかの役員た
ステムが出来上がっていることに対して、課員たちは ちも反対できなかったようです」
一様に驚きを示した。山下と池は、この反応に非常に 　「そ、そうでしたか……。すごい方なんですね」
満足していた。 　「まあ、そんな理由で、一度石垣田にもプレゼンをし
※4　いくらクリップボード
ておきたいと思っているんです。池さんのご都合が悪く へのコピーや印刷を禁止し
たところで、やろうと思えば
コンサルタントが なければ、ぜひご同席いただきたいのですが、よろし 画面をデジタル・カメラで撮
影するだけでデータを盗み
動揺する理由 いですよね？」 出すことは可能だ。このあ
たりの対策は、考えだすとき
　「あ、えー、そうですね。が、が、頑張りましょう
！」 りがない。そんなことよりも、
従業員が個人で管理してい
2 0 0 9 年 1 月 23 日 19 :30 　「あははは、そんなに緊張しなくても大丈夫ですよ」 る自宅 PCにはボットやパス
ワード・スティーラー、キーロ
　山下は、かなり動揺している池の態度が気になった ガーなどが侵入している可
能性が高いということに注
　商品企画課で好評を博して以来、山下と池はそれ が、単に「大物幹部」
などと聞かされて緊張しているの 意を払ったほうがよさそうだ
が……。
ぞれの仕事を懸命にこなし、ほぼ完成版と言えるバー だろうと思い、あまり深くは考えなかった。
※5　脆弱性検査はプロト
ジョンにまでこぎ着けていた。当初の予定では2月中に 　石垣田の秘書にスケジュールを確認したところ、あ タイプやベータ版の段階で
実施しておきたかったところ
商品企画課へ試験的に導入することになっていたが、 いにく2月中は海外出張が立て続けに入っており、2 だ。完成版に近づけば近づ
くほど、検査で指摘事項が
2月の頭からでも導入できそうな雲行きだった。 月下旬までは国内での打ち合わせは難しいとのことだ 発見されたときの対処が困
難になるからだ。しかも、も
　「山下さん、大急ぎでしたけど、何とか完成間近とい った。そこで山下は、新システムを2月初頭から商品 ともとの開発方針やコーデ
ィング・ルールに問題点が
うところまで来ましたね。これならとりあえず、商品企画 企画課に展開することにし、石垣田には出張先の海 あった場合は、修正が 1カ
所だけではなく広範囲に及
課さんに展開できる状態だと思います」 外のホテルから試用してもらうことにした。そのうえで、 ぶ場合もある。

September 2009 Computerworld 57

第8回 業 務 ス タ イル変 革 に 立 ち は だ かった Web ウ イルス の 脅 威
山下と池による石垣田へのプレゼンは2月26日に行う
ことに決めた。プレゼンの日程は少し遅くなってしまう
が、海外からのアクセスでも実用上問題ないということ
を確認してもらうにはちょうどよい機会だ、と山下は考
えていた。
2009 年 2 月3 日 13: 0 0
　この日、商品企画課への新システムの試験導入が
開始された。山下は商品企画課へ出向き、ログインに
必要な乱数表を課員に配布したうえで、基本的な画
面構成や操作方法の説明などを行った。
　使ってみた課員のほとんどは、操作には多少の慣
れが必要だが、総じて実用には十分に堪えうるという
意見だった。さらに、商品企画課だけでなく、総勢 40
名ほどの商品企画部の部員全員が試験的に使うこと
になり、2月9日からは自宅や外出先からログインできる
ようにすることが決まった。
2009 年 2 月9 日 16 : 0 0
　「山下さん、社長から内線です」
　「はい、了解。……もしもし、山下です」
　「ああ、山下君。新しいシステムの具合はどうかね？」
　「はい、現在までのところは順調です。システム課の
ほうで稼働状況を監視してもらっていますが、社内か
らのアクセスが日を追って増えています。一応、古いア
プリケーション類も使えるようにしているのですが、皆さ
ん、積極的に新システムを使ってくれているようです。
それと、今日からは、社外からのアクセスも解禁しまし
た。早速、何人かは外出先からアクセスしてきているよ
うです」
　「そうか。そういえば、石垣田が出張先からアクセス
できるようにもしてくれたんだってな？」
　「ええ、海外からのアクセス・テストなんて、めったに
できませんから。絶好のタイミングだと思いまして」
　「はっはっは、山下君は石垣田もしっかり
“活用”
し 　「んーと、そのココロは？」
ているわけだな」
　「いやー、勘弁してください。テスト運用の結果次第
ですが、今後、社長や役員の皆さんのアカウントも順
次セットアップしていく予定です。今月の最終週あたり
58 Computerworld September 2009
にはご利用いただけるようになりますので、もうしばらく
お待ちいただけますでしょうか」
　「ああ、楽しみにしてるよ。で、テストのほうはどうだ。
何かトラブルは起きていないか」
　「ええ、非常に安定して稼働しています。すでに B
社内で運用実績のあるシステムをベースにしています
から、障害などの心配はあまりないかと」
　「なるほど。では、セキュリティのほうはどうだ。以前
経営会議でも指摘したが、ウイルス感染の防止対策な
んかはどうだろう？」
　「はい。明日からなんですが、セキュリティ専門の業
者に、ウイルスが侵入してくるような穴がないかどうかを
チェックする検査をやってもらう手はずになっていま
す。あと、仮にそういうことがあったら、即座に通知さ
れるような仕組みも、もともと当社のサイ
トには入ってい
ますから」
　「じゃあ、万全というわけだな。わかった。あとはユー
ザーの声をしっかり集めて、本番への完全移行前に
解決しておくように。よろしく頼むよ」
　いつもは豪胆な山下も、社長から直々の電話とあっ
て、多少は緊張したようだった。だが、ここまでテスト導
入は順調に進んでおり、このあとにも大きな不安要素
はないと言えた。
攻撃の予兆か？
不審なアクセスを検知
2 0 0 9 年 2 月 13 日 19 :30
　「──山下さん、ちょっといいですか」
　「ん？　どうした？」
　「はい、最近の監視リポートにちょっと気になるところ
がありまして。9日から新システムを社外ネットワークにも
解放した影響なのかどうか確証はないんですが、特定
のサイ
トからのアクセス・エラーが微妙に増えているよう
に見えるんです」
　「そうですね……。この IPアドレス自体は以前から
外部に公開されていたものですので、IPアドレスに総
当たりをかけるような攻撃ならば目立って増加しないは
ずなんです。しかし、2月9日の新システム公開以降、
特定のIPレンジから送信される調査パケットっぽいもの
が、ちょっとずつ増えてるんです。何だか気になっちゃ
いまして……」
　「うーん、なるほど。確かに少しずつ増加しているな
あ。新システムへの攻撃準備なんだろうか」
　「これは勝手な想像にすぎませんが、だれかが新シ
ステムへのアクセスに使ったPCにボットかマルウェアが
潜んでいて、アクセスしたWebサイ
ト、つまりウチの新
システムの情報が収集されたのではないでしょうか。そ
して、ウイルスの注入対象としてウチの新システムがタ
ーゲットに選ばれてしまった、とか」
　「ほほう、なるほどね。ありうる話だな」
　「ですよね。ひとまずは引き続き監視を続けます」
　「よろしく頼む。あと、新しい脆弱性や攻撃手法の
情報にも注意しておいてくれ」
　「了解です」
　山下は、少し不安を覚えていた。乱数表を用いた
ユーザー認証については大丈夫だとの自信があった
が、Webアプリケーションそのものの脆弱性テストはまだ
完了しておらず、知らないうちに侵入されてしまってい
る可能性もなくはなかった。ただ、その可能性は極め
て低く、順調に進んでいるテスト導入をいったんストップ
させて対策を取らなければならないほど切迫した事態
にはなっていないと判断したのだった。
2 0 0 9 年 2 月 19 日 12:30
　現在出張中の石垣田は、3日前に合流した自分の
娘と、会社が用意したホテルとは別のホテルで食事を
していた。1カ月弱も続く出張の間、基本的には会社
の用意したホテルに宿泊していた石垣田だが、妻と娘
を3泊だけ呼び寄せ、少しだけ旅行気分を味わうこと
にしたのだった。
　「ねえ、お父さん。前からお願いしてた件、もういい
でしょ？　いいかげん会ってくれるわよね」
　「ん？　何の話だ」
　「もう、とぼけないで！　池さんのことに決まってるじゃ
ない！　彼はとてもマジメで実直な男性よ。私も真剣に
おつきあいしてるんだから」
　「ああ、それはわかっているつもりだ」
　「じゃあ、どうして会ってくれないのよ！」
　「そうだな……、
『仕事の関係』
とでも言っておこう
か。おそらくは、彼もそのことに気づいてると思うがな」
　「よくわからないけど……。じゃあ、その仕事が片づ
いたら彼に会ってくれるってことよね？」
　「はっはっは、相変わらず強引な娘だなあ」
　「ええ、その性格は父親譲りですから」
　「ふふふ、確かにそうかもな。ならば、仕事がきちん
と一段落したら、一度食事でもすることにしよう」
　「本当？　うれしい！　じゃあ、早く仕事を片づけちゃ
ってよね！」
　「そうだな、彼にも頑張ってもらわなくちゃな。はっは
っは」
　石垣田の娘は、実は池が以前、山下に「結婚した
い彼女がいる」
と漏らした、まさにその「彼女」であっ
た。山下はまったく気づかなかったが、池は山下との
打ち合わせの中でA社の企画本部長が「石垣田」
と
いう珍しい姓であり、さらに今回の案件にも深くかかわ
っていることを知って、かなり動揺していた。何とかミー
ティングの日程を先延ばしにしようと試みた池だったが、
石垣田に会うことなくこの案件を進めることは不可能
であり、結局 2月26日のプレゼンで対面することになっ
てしまっていたのだった。
海外出張先のノートPCから
攻撃が発生
2 0 0 9 年 2 月 21 日 10 : 0 0
　出張中の石垣田は、A社にテスト導入されている新
システムを使ってみるよう秘書に命じた。出発前、山
下から
「海外からアクセスした場合でも実用に堪えうる
かどうか、ぜひ試してみてほしい」
と頼まれていたこと
を思い出したからだ。
　ちょうど取引先からUSBメモリで受け取った書類が
あったので、石垣田はそれを秘書に渡し、Webアプリ
ケーションで開いてみてほしいと依頼した。秘書は
USBメモリをPCに挿入し、中にあった文書ファイルを
アップロードした。このとき、PCの画面にはウイルス駆
除エラーのメッセージが表示されたのだが、秘書はそ
の重大さに気づかず、メッセージ・ウィンドウを閉じてしま
った。
September 2009 Computerworld 59
第8回 業 務 ス タ イル変 革 に 立 ち は だ かった Web ウ イルス の 脅 威
　その瞬間、A社では山下たちのシステム監視端末
に接続されたパトロール・ランプが勢いよく光り出した。
　「山下さん、パトランプが回ってます！　侵入された
可能性があります！」
　「おいっ！　全員緊急配置についてくれ！　公開系
のサイ
トで攻撃か何かが起こったようだ！」
　「山下さん、B社の池さんからお電話です！」
　「もしもし、山下です！　今ちょっと取り込み中ですの
で……」
　「その件、こちらでも検知してます！」
　「あっ、そうか！　これは何が起きているんでしょうか」
　「Webサイ
トにウイルスが侵入したんです！　侵入先
は──テスト導入中の新システムです！　ビヘイビア検
知に引っかかったので、パターン・ファイルにはまだ登
録されていない、新手のものだと思われます！」
　「新システムがやられたですって？!　で、被害の内
容は？」
　「システム・ダウンです！　現在、新システムはログイ
ン画面も表示できない状態です！
（※6）」
　山下はすかさず部下に指示を与えた。
　「おい、新システムだ！　ログイン画面を
『メンテナンス
中』
の画面に差し替えろ！　すぐにやれ！」
　「もしもし山下さん、こちらでもすぐに新システムのほ
うの解析に取りかかります。弊社からリモート調査する
ことを許可してください」
　「ああ、わかりました。えーっと、管理アカウントはお
持ちだと思うので、そうですね、乱数表の『Cの 8 番』
を使ってください」
　「了解しました。2分後にログインします」
　「おーい、B社からリモート・ログインだ！　Cの8番だ！」
　部下に指示を与え、少し落ち着きを取り戻した山下
は、おそるおそる池に尋ねた。
　「池さん、これで新システムはアウトですか。それと
も、今日中に復旧しますかね？」
　「そんなの決まってるじゃないですか！　15分後には
復旧させてみせますよ。いいですか、山下さん。侵入
元の特定を急いでください。復旧したあと、また同じ手
口で侵入されるのがいちばん格好悪い事態ですから
ね」
　「そうですね、わかりました。……えっと、部下からの
報告なんですが、感染源になったPCとIPアドレスが
60 Computerworld September 2009
洗い出せました」
　「じゃあ、とにかくその感染源からのアクセスをすぐに
ブロックしてください！　われわれはリモート・ログインし
て、新システムを速攻で復旧させます！」
　電話を介して山下と池の壮絶なやり取りが続いた。
そして、新システムは 10 分強のダウンタイムで見事に
復旧した。サイ
トの改竄ポイントも修復されており、また、
ダウン時に編集／閲覧されていたデータも、すべてダ
ウンする前の状態に戻すことができていた。
2 0 0 9 年 2 月 21 日 10 :35
　「ふーっ。何とか乗り切りましたね！」
　「池さんの的確なアドバイスのおかげで、短時間で復
旧することができました。本当にありがとうございました」
　「いえいえ、山下さんのチームも非常にすばらしい動
きをされていましたよ。ちょっと驚きました」
　「ところで、今回の感染源なんですが……」
　「さっき、海外の IPレンジとおっしゃってましたよね。
心当たりはありますか」
　「ええ。海外に出張している石垣田、いや、正確に
は石垣田の秘書のPCだと思われます。その直前に、
秘書のアカウントで新システムにログインしたログが残っ
ていますし」
　「なるほど。こちらではウイルスの正体を探ってみまし
たが、どうやらUSBウイルスの亜種のようです。きっと
現地で、USBメモリを使ってデータを授受した際に感
染したのではないかと」
　「それにしても、一瞬でWebサイ
トが改竄されてしま
うとは……」
　「私の推測ですが、新しい攻撃方法を利用する、
新型の亜種だったのではないでしょうか。ビヘイビア検
知に引っかかったのが不幸中の幸いでしたね
（※7）
」
　さすがの山下も、ほっとしたのか、大きなため息をつ
いた。
　「はーっ、疲れたな……。あ、石垣田さんにも連絡し
とかないと。国際電話つながるかなあ」
　「最近は海外でも携帯電話が使えますから、きっと
平気ですよ。あの、ところで……」
　「ん？　何でしょう？」
　「あ、いや、やっぱりいいです。石垣田さんにお電
話されるのが先ですよね。私の話はまた後ほど……」
　「そうですか。では後ほど」
　池は、もしかすると石垣田が恋人の父親、自分と会
うことを拒んでいる当人ではないかということを、山下
に相談しようと思ったのだった。だが、結局相談するま
でには至らず、週明けのA社への訪問日を迎えたのだ
った。
災い転じて福となす
2009 年 2 月26 日 16 : 0 0
　「失礼いたします！　B社の池と申します！」
　「石垣田です。では早速ですが、始めてください」
　「はい！」
　池は A社の役員会議室を訪れていた。山下と共
に、石垣田向けに新システムの内容を説明する会議
だった。まず山下が新システムの概要を説明し、詳細
な操作方法をデモンストレーションする段になって、池
とバトンタッチしたところだった。
　「……以上のような操作になり、動作自体も、十分
実用に堪えるものであるとのご評価をいただいておりま
す。えー、つ、続きまして、これまでの利用状況につい
て、ですが」
　「ちょっといいかな、山下君」
　「えっ、ええ、もちろんです。ご質問でしょうか」
　「質問ではないんだが、黙っているのに耐えかねて
きたというか、ね。今日のプレゼン内容は、大体わかっ
ている。要するに、テスト導入では問題なく稼働してい
る、そういうことだろう？」
　「はい、おっしゃるとおりです」
　「だろうな。それなら、少し脱線しても構わんかね？」
　「は、はあ。石垣田さんが脱線とは、珍しいですね」
　「ははは、まあな。えーと、池君、だったね。私は石
垣田の父親です。キミにとっては
『目の上のたんこぶ』
であり、
『わからず屋の頑固おやじ』
ということになろ
うか」
　「いえっ！　とんでもございません！」
　「あれ？　石垣田さん、何のお話をされているのでし
ょうか……」
　「まあ、山下君は少しの間、黙って話を聞いていて
くれないか。池君。今回、出張先で改めて娘に直談
判されたんだが、今度、ウチの家族と食事でもどうかと
思っておってな。このプレゼンの予定はなかなか合わ
なかったが、休日の予定ならばスムーズに調整できるだ
ろうか」
　「は、はいっ！　もちろんです！　あ、ありがとうござい
ますっ！」
　「いやいや、こちらこそ、池君にわびなければならな
い。これまで頑固に拒み続けてきて済まなかった。今
回、私の指示で秘書が操作したPCがウイルスの事故
を起こしたと聞いたときは、正直、鳥肌が立ったよ。で
も、それに的確かつ迅速に対処してくれたのが池君だ
ったと聞かされて、本当に感謝しているんだ。ありがと
う、助かりました。改めてお礼を言わせてくれ」
　「あ、あの、なんと申し上げてよいのか……」
　ここぞとばかりに、山下が会話に割って入った。
　「はいっ！　私もやっと事情が飲み込めました！　お2
人とも感激というか感謝というか、とにかく言葉になら
ないような状態だと思いますので、ここは不肖山下が
引き取りましょう。少し時間は早いですが、外に出て話
をしませんか。えーと、池さんには、すぐに彼女、ああ
いや、石垣田さんのお嬢さんに連絡を取ってもらわなく
ては。それから、石垣田さんは奥さんにお電話くださ
い。店は私がセッティングします。あっ、赤坂に四川料
理のおいしいお店が出来たんですよ、そこにしましょう。
はい、ではいったん解散！　次の集合は、17 時半、1
階ロビーで！」
　山下の強引なしきりに助けられ、石垣田と池は固く
握手を交わして会議室を後にしたのだった。そのあと、
石垣田の家族と池がそろったところで山下は会食を抜 ※6　緊迫したやり取りだ
が、一瞬の出来事である。
け出したのだが、結局、半年後の結婚式の仲人まで 普通は原因の特定までに、
もう少し無駄な時間がかか
頼まれてしまい、石垣田と池の両方に、この先もずっ るものだ。そうならないため
には、A 社のように侵入を
とかかわり続けていくことになったのであった。 自動検知する仕組みを導入
し、さらにそれが適切にチュ
ーニングされている必要が
●筆者より一言● ある。
　
山羽 六 ※7　目に見えない侵入ポ
Webサイトへの攻撃が再び激化しているようだが、読者諸氏が イントの状況を正確に予測
できている点がすばらしい。
管理しておられるサイトは大丈夫だろうか。不正スクリプトが注
監 視 中は氷 山の一角、
入されても、「見た目」だけではまったくわからない。そこで、事 「点」 にすぎない情報を起点
故として顕在化する前に、能動的なソースコード・レベルのチェ にして、集まってくるさまざま
な情報から事態の全体像を
ックを毎日実行するようにすべきだ。もちろんその場合、作業の
判断していく。今回のよう
自動化は欠かすことができない。 に一刻を争う場合には、経
験と鋭い勘が求められる。
September 2009 Computerworld 61
 URLのタイプミスを
狙った攻撃
　WebブラウザにURLを入力するときによく間違え
る人は、少なくともここしばらくの間は、間違ったス
ペルのままアクセスしてしまわないよう注意が必要
だ。というのも、現在、こうした入力ミスを狙った
「タ
イポ・スクワッティング」
と呼ばれる攻撃が増えてい
るからだ。

──【第九回】
　タイポ・スクワッティングをたくらむタイポ・スク
ワッターは、ユーザーが誤って入力するであろうドメ
イン名を予測して攻撃を仕掛ける。例えば、
「bank
ofamerica.com」
と入力するところを、kを2度打ちし
たうえ、eを抜かし、
「bankkofamrica.com」
と入力して
しまったとしよう。

入力ミスを
　通常、このような存在しないはずのURLにアクセ
スしても、Webブラウザにエラー・メッセージが表示

攻撃につなげる
され、
「バンク・オブ・アメリカ
（Bank of America）
」の
正式なサイトにアクセスするよう促されるはずであ

タイポ・スクワッティング
る。ところが、タイポ・スクワッターは、ユーザーがこ
うしたミスを犯して迷い込んでくるであろうことを

の“悪知恵”
予測して、スペルミスしそうなドメイン名や正式名
称に類似したドメイン名をあらかじめ取得しておく
のだ
（画面1）
。
タイプミスを待ち構え、 　ちなみに、従来のタイポ・スクワッターは、主にス
疑似ドメイン名で広告料金を荒稼ぎ ペルミスに焦点を絞って、1文字の挿入や削除、2文

最近は攻撃の手口が巧妙化したことで、悪意のあるバナーやアドウェ 字の入れ替えなどを行っていた。しかし最近では、
ア・バンドラなど、閲覧しようとしているWebサイトが予期せぬ被害をも 偶然のアクセスを誘うためにさまざまな手口を使う
たらすケースが増えている。しかしながら、実はいま最も注意が必要なの ようになってきている。
は、閲覧するつもりがないのに偶然たどり着いてしまったサイトなのだ。 　例えば、
「www.mcafee.com」
と入力するところを、
本稿では、そんなタイポ・スクワッティングの実態を暴き、併せてその対
wwwを区切るピリオドを忘れてしまった
「wwwmc
応策を考えてみたい。
afee.com」
というドメイン名は、すでに、あるタイポ・
ベンジャミン・エデルマン
（Benjamin Edelman） スクワッターが登録してしまっている
（画面2）
。
McAfee SiteAdvisorサービス特別顧問
（協力：マカフィー） 　また、先頭に
「http」
を付け足したり、実在するトッ

62 Computerworld September 2009

画面1：タイポ・スクワッティング・サイトの例
プレベル・ドメインに
「.com」
を付け足したりしたドメ
イン名を登録しているタイポ・スクワッターも少なく
ない。
　ユーザーがURLをタイポ
（入力ミス）
してしまう理
由はさまざまだ。
　例えば、サイトの正式なスペルを忘れてしまった
り、タイプミスしてしまったりといったことは珍しく
ない。英語を母国語としないユーザーや視力の弱い
ユーザー、キーボードに不慣れなユーザーも、タイポ
する可能性が高い。PCやインターネットの初心者で
あれば、URL中のピリオドの意味を理解していない
かもしれない。また、作業を急ぐときにも、タイプミ
スする可能性が高くなる。熟練したユーザーであっ
ても、携帯機器やタブレットPCなどいつもと違う入
【第九回】
画面2：wwwmcafee.comは、すでにタイポ・スクワッターによって登
録されていた
力装置を使ったり、揺れる車の中でキーを打ったり
しなければならないときには、入力ミスをする可能
性が高まるはずだ。
　このように、多くのユーザーがさまざまな入力ミス
を犯すため、タイポ・スクワッティングの被害は広範
囲に及んでいる。McAfee Avert Labsが2008年5月
に行った調査では、上位2,000のWebサイトにおいて
8万以上のタイポ・スクワッティングされたドメイン
名が発見された。
　なかでも子供による操作ミスは、タイポ・スクワッ
ターの格好の標的になる。例えば、上の調査では、
アニメ専門チャンネル
「cartoonnetwork.com」
のスペ
ル等を変形させた327種類のタイポ・スクワッティン
グ・サイトが登録されていることがわかった。ほかに
入力ミスを攻撃につなげるタイポ・スクワッティングの“悪知恵”
September 2009 Computerworld 63
 表 1：タイポ・スクワッティングが多いドメイン。ユーザー数の多いサイ る苦情の仲裁措置に関する手法も確立されている。
トが標的にされていることがわかる （McAfee Avert Labs 2008年5
月調査） 大手のトップレベル・ドメインにサイトを登録する場
合、登録者はまず、UDRPの権限に同意しなければ
ならない。タイポ・スクワッティング・サイトがどこに
あるかに関係なく、UDRPが適用されるわけである。
ただし、UDRPの救済策では金銭的損害に対する支
払い補償は採用されておらず、金銭が動くのは、違
反したドメインが罰金を支払うときのみである。
　もっとも、先のACPAのほうは違反者に対して多
額の罰金を課しているにもかかわらず、タイポ・スク
ワッターらは実際に徴収されることはないとたかを
くくっているようだ。厳しい制裁措置にもかかわら
も、YouTubeやWikipedia、Bank of Americaなど、さ ず、タイポ・スクワッターが我が物顔で暗躍を続けて
まざまな有名サイト／企業がターゲットにされてい いるのがその証拠だと言える。
る
（表1）
。

広告で稼ぐようになった
法律で、紛らわしいURLの タイポ・スクワッター
使用を禁止
　一方で、タイポ・スクワッターが狙うのは、もちろ
　米国では、現在、タイポ・スクワッティングは違法 ん金銭的な利益である。彼らは、タイポ・スクワッテ
行為に当たる。1999年の対サイバー・スクワッティン ィング・サイトの網にかかったユーザーから、できる
グ消費者保護法
（ACPA）
で、登録商標名や有名ドメ だけ多くの金銭をむしり取ることに知恵を絞る。
イン名と同一、もしくは混乱を招くほど酷似したドメ 　悪名高きスクワッターの1人であるジョン・ズッカ
イン名の登録、不正取引および使用が禁じられたか リーニは、数年前、スクワッティング・サイトと知ら
らだ。それだけでなく、タイポ・スクワッターが不正 ずに訪れたユーザーに、彼らが望んでもいなかった
な手段で得た利益に対する損害賠償も認められて 猥褻なサイトを閲覧させることで収入を得ていた。
いる。裁判所が正当と認めた場合には、タイポ・スク ズッカリーニは、そのために少なくとも8,000のドメ
ワッティングによる法的損害賠償として1ドメイン当 インを登録していた。だが、この悪徳商法が長続き
たり1,000 ドルから10万ドルを要求できるのである。 することはなく、2003年 9月、ズッカリーニはドメイ
　米国以外の国では、タイポ・スクワッティングの法 ン名法令
（誤解しやすいドメイン名を利用して人を
的な扱いは多少異なっているが、多くの国では商標 惑わせ、猥褻画像を閲覧させる行為を一切禁止する
権の侵害、つまり禁止事項として扱われている。 法令）
に違反したかどで逮捕された。
　米国においてはさらに、統一ドメイン名紛争処理 　これを機に、タイポ・スクワッターの収益源は
「広
方針
（UDRP）
によって、ドメイン名の侵害にかかわ 告」
へと移ったようだ。マカフィーでは、過去数年間、

64 Computerworld September 2009

タイポ・スクワッティングのドメインを調査してきた 画面3：bankkofamrica.comのトップには、当初「バンク・オブ・アメ
リカ
（Bank of America）」そのものの広告が表示されていた
が、その中では広告を表示していないサイトのほう
が稀だった。
　タイポ・スクワッティング・サイトに広告を掲載す
る場合、多くはユーザーがもともと閲覧しようとして
いたサイトに関連する広告が掲載されることになる。
前述したbankkofamrica.comの場合も、表示されて
いるのは、ほとんどが銀行に関する広告だ。
　現在は異なるが、調査時のbankkofamrica.comの
トップには、バンク・オブ・アメリカそのものの広告
（画面 3）
が表示されていたほどである 。タイプミスを
した顧客も、最終的にはバンク・オブ・アメリカにた
どり着けるのだから、ある意味、バンク・オブ・アメ
リカにとっても好都合だということなのかもしれな
い。そして、タイポ・スクワッターは、その利便性の
代償として、バンク・オブ・アメリカに広告料金の支
払いを請求するというわけである。現在、広告が削
除されているところを見ると、バンク・オブ・アメリ 告主を探してくるという仕組みをとっているのだ。
カは、その要求に応じなかったのだろう。 この広告ネットワークの大手といえば、言うまでもな
　ただし、このケースでは、タイポ・スクワッターは くグーグルである。マカフィーのSiteAdvisor技術に
間違いなくバンク・オブ・アメリカの商標権を侵害し、 よって明らかになったタイポ・スクワッティング・サ
ACPAに違反していることになる。ACPAは、
「Bank イトのうち、実に80％以上が、グーグルのドメイン製
of America」
のドメイン名に酷似したドメイン名を登 品を取り扱うAdSenceやそのほかのドメイン・シンジ
録することを禁止し、銀行が訴訟を起こした場合に ケーション製品によって広告を供給されていたので
は、違反者に高額の法定損害賠償金を支払うことを ある。
義務づけている。ところが、タイポ・スクワッターは 　2008年6月、ICANN
（Internet Corporation for
ACPAを無視し、厚かましくもバンク・オブ・アメリ Assigned Names and Numbers）
は、トップレベル・ド
カから広告スペースの使用料を取ろうとしたわけで メインを増やして、その作成プロセスを短縮するこ
ある。 とを決定した。現在、一般ユーザーに浸透している
　もっとも、もちろんタイポ・スクワッターが直接広 ドメインのほかに、使用頻度が少ない
「.info」
「.biz」
告主に広告スペースを販売しているわけではない。 「.museum」
「.travel」
などのドメインが存在するが、今
タイポ・スクワッターは、広告ネットワーク
（インター 後はさらに
「.nyc」
や「.lib」
といった新しいドメインが
ネット広告サービス）
に自分たちが持っている広告ス 登場することになるわけだ。ただし、トップレベル・
ペースを売りつけ、そのネットワークが代わりに広 ドメインが増えるということは、サイバー・スクワッ

【第九回】 入力ミスを攻撃につなげるタイポ・スクワッティングの“悪知恵”

September 2009 Computerworld 65

 ティング
（有名な商標名での登録や、有名ドメイン名 に多額の賠償金を払わせることも可能だ。その結
に類似したドメインの登録）
の機会が増えるというこ 果、これまでマイクロソフトだけでも、タイポ・スク
とをも意味するのだが……。 ワッターに200万ドルの賠償金を支払わせている。
　また、大手広告ネットワーク──とりわけグーグ

対策を講じ始めた ル──が、タイポ・スクワッターを
「見放す」
のではと

広告ネットワーク事業者 いううわさも広まっている。
　以前、商標権の所有者たちが、タイポ・スクワッタ
　ここまで述べてきたように、タイポ・スクワッター ーに資金を提供しているとしてグーグルを集団で訴
はいっそう複雑さと悪質さを増しながら、読者のミ えたことがある。そのときには筆者も弁護団の1人と
スにつけ込んで、インターネット広告の分野で荒稼 して働いたが、実際、グーグルのような広告ネットワ
ぎしようとしている。だがその一方で、ここにきてタ ークがタイポ・スクワッティングに資金を供給するの
イポ・スクワッティングが終焉を迎える可能性も出 をやめれば、タイポ・スクワッターも商標権を侵害す
てきた。その兆候の1つが、大手Webサイトの運営者 るドメインを登録しようという意欲をなくすはずだ。
が、Webサイトやユーザーをタイポ・スクワッターか 　一方、ユーザー側がタイポ・スクワッティングに対
ら守る動きを見せ始めていることである。 抗するためには、何と言っても、URLを正確に入力
　例えば、2006年には、デパート・チェーンの米国 する必要がある。まず、推測でドメイン名を入力する
ニーマン・マーカスが、ドメイン登録機関の米国ドッ のはよくない。不確かならば、検索エンジンを使うべ
トスターの告訴に踏み切った。訴訟内容は、ドットス きである。さらに、Webサイトが表示されたら、それ
ターがニーマン・マーカスの登録商標を侵害してい が自分がアクセスしたかったサイトなのかどうかを
る多数のドメイン名を登録し、タイポ・スクワッティ よく確認してから、次の操作を行うべきである。そし
ング・サイトに広告を掲載することで、多額の収入を て、リンクのポインタが通常のものであるかどうか、
得ているというものだった。 有償広告ではないのか、その政府機関サイトは「.
　ニーマン・マーカスは、ドットスターがドメイン登 com」
でよいのか、
「.gov」
が正しいのではないか──
録事業からだけでなく、自らタイポ・スクワッティン といったことを自問してみるのだ。
グのドメインを登録することによって広告事業から 　また、適切なセキュリティ・ソフトウェアを利用す
も利益を上げていたと主張した。この訴訟は、2007 ることで、タイポ・スクワッティング対策を図ること
年に極秘条件によって和解したが、その後もニーマ も可能である。例えば、マカフィーのSiteAdvisorは、
ン・マーカスはドットスター以外の大手スクワッター 多数のタイポ・スクワッティング・サイトを特定して
を告訴し続けている。筆者も、同社が起こした訴訟 おり、不要なアクセスをブロックすることができる。
のうちの何件かで、弁護士を務めた経験がある。 それに、OpenDNSのようなタイポ保護サービスを利
　このほか、ベライゾンとマイクロソフトも同様の訴 用すれば、さらに保護強度を向上させることも可能
訟を進めている。前述したように、ACPAの法定損 だ。そのほか、検索エンジンをうまく活用すれば、
害賠償額は1ドメインにつき1,000ドル以上とされて URLを直接入力する必要がなくなるし、スペルミス
おり、大規模侵害に対しては、タイポ・スクワッター を補完してくれるような機能も提供される。

66 Computerworld September 2009

 連 載 FREESOFT & SERVICE REVIEW
「 フ リ ー ソ フト & サ ー ビ ス 」 レ ビ ュ ー 9 7

デスクトップPC向け
仮想化ソフトウェア
「Sun xVM VirtualBox」
ウィザード設定中心の「お手軽操作」で仮想環境を実現

ハードウェアの性能向上に伴い、個人用のデスクトップPCでも仮想環境を構築するユーザーが増えてきた。
PC環境で利用できる仮想化ソフトウェアとしては「VMWare」や
「Xen」
「Microsoft Virtual PC」
「QEMU」などさまざまなものがあるが、
なかでも最近評価が高いのが、サン・マイクロシステムズの「Sun xVM VirtualBox」だ。
今回は、この人気上昇中の仮想化ソフトウェアのレビューを試みたい。

杉山貴章

ソフトウェアの入手先 Sun xVM VirtualBox http://jp.sun.com/products/software/virtualbox/

独ベンダーの買収により オ、シリアル・ポート、CD/DVD/フロッピー、USBデバイス
2008年2月にサンの製品に などひととおりの機能が利用可能となっている。さらには、
リモート・デスクトップ機能によって、ネットワーク上の別のマ
　サン・マイクロシステムズの「Sun xVM VirtualBox」 シンからゲストOSにアクセスできるという特徴もある。
（以下、VirtualBox）
は、サンが仮想化プラットフォーム・ソ 　以下では、このVirtualBoxのインストール方法、仮想
フトウェアのブランド
「Sun xVM」の下に提供している、デス マシンの構築方法、およびゲストOSのインストール方法に
クトップ PC向けの仮想化ソフトウェアである。同ブランドに ついて紹介することにしたい。
は、V i r t u a l B o xのほか、仮想環境の管理コンソール
「Sun xVM Ops Center」やXenベースの仮想化サーバ VirtualBoxのインストール
「Sun xVM Server」
などが含まれる。
　なお、VirtualBoxは、もともとドイツのイノテクが開発・ 　VirtualBoxは「ソフトウェアの入手先」に示したサンのサ
提供していたが、2008年 2月にサンが同社を買収したこと イ
ト、またはvirtualbox.orgサイ
トからダウンロードすることが
により、サンの製品になった。個人使用または学術・評価 できる。なお、本 稿では、ホストO Sとして x 8 6 版の
目的での使用であれば無償で利用できるほか、プロプライ Windows XPを利用することにする。
エタリな一部の機能を省いたオープンソース版がGPLv2ラ 　ダウンロードしたファイルを実行すると、画面 1のようにイ
イセンスで提供されている。 ンストーラが起動するので、指示に従ってインストールを実
　ホストOSとしてWindows、Linux、Solaris、Mac OS X 行する。
をサポートしているほか、Linux版にはUbuntuやDebian、 　画面 2では、ネットワーク・サポート機能および USBサポ
Fedora、Red Hatをはじめとする各種ディストリビューション ート機能をインストールするかどうかの選択を行う。特に理
用のバイナリが用意されるなど、幅広いプラットフォームに 由がなければデフォルトのまま
（両方ともインストール）
でかま
公式に対応している点が、VirtualBoxの最大の特徴だ。 わない。
　一方、ゲストOSのほうは、当初は32ビットOSにしか対 　実際にインストールが実行される前に、画面3のような警
応していなかったが、バージョン2.0 以降は 64ビットOSも 告が表示される。これは、VirtualBoxのネットワーク設定
利用できるようになった。 を行うためにホストOSのネットワーク機能を再起動するとい
　また、ハードウェア機能としては、ネットワーク、オーディ う警告である。バックグラウンドでネットワーク接続を必要と

68 Computerworld September 2009

画面 1：基本的にインストーラの指示に従って操作し 画面 3：インストール中にネットワークの再起動が行
ていくだけでインストールが完了する 画面2：インストールする機能の選択 われる旨の警告

画面4：インストールの最終確認画面。[Install]をク 画面 5：何度かこのような警告が表示されるが、問題
リックするとインストールが実行される ないので、 ［続行］を押す 画面6：インストール直後の状態

画面 7：新規仮想マシン作成ウィザードで仮想マ 画面 9：仮想マシンに割り当てるメモリ容量を指
シンを作成する 画面8：仮想マシン名とゲストOSの種類を指定 定

する作業を行っている場合は注意が必要だ。 左上の[新規 ]ボタンをクリックすると、画面 7のように新規

　最終確認で[Install]ボタンをクリックすると、インストール 仮想マシン作成ウィザードが起動する。
が実行される
（画面4）
。途中で何度か画面5のような警告 　[次へ ]をクリックすると画面 8のように表示されるので、
が表示されるが、[続行]を押し続けても特に問題はない。 任意の仮想マシン名と、この仮想マシンにインストールする
　インストールは 5～1 0 分 程 度で終了する。その後 、 ゲストOSの種類を入力する。この画面は、Ubuntuをインス
VirtualBoxを起動すると画面6のような管理画面が表示 トールする場合の設定例である。
される。 　次に、仮想マシンに割り当てるメモリ容量を指定する。
画面 9の例では256MBに設定している。この値は後から
仮想マシンの構築 管理画面で変更できる。
　次ページの画面 10では、この仮想マシンで起動ディスク
　続いてゲストOSを使うための仮想マシンを構築する。 として使用する仮想ハードディスクを選択する。VirtualBox

September 2009 Computerworld 69

 連 載 FREESOFT & SERVICE REVIEW
「 フ リ ー ソ フト & サ ー ビ ス 」 レ ビ ュ ー 9 7

画面 10：起動ディスクとして使用する仮想ハー 画面 11：新規仮想ディスク作成ウィザード 画面 12：可変サイズか固定サイズかを選

ドディスクの選択 で仮想ディスクを作成する 択

画面14：仮想ディスク作成の最終確認画面。
画面 13：仮想ディスクの保存先とディスク・ ここで[完了 ]をクリックすると仮想ディスクが 画面 15：仮想マシン作成の最終確認画面。ここ
サイズを指定 作成される で[完了]をクリックすると仮想マシンが構築される

の仮想ディスクはVirtual Disk Imagesと呼ばれるフォー リックすれば、指定された設定で仮想マシンが構築される

マットであり、これはVMWareなど他の仮想化ソフトウェア ことになる。
用のフォーマットとは互換性がない
（ただし、変換してインポ 　VirtualBoxの管理画面には、画面 16のように、いま
ートすることはできる）。したがって、最初は新規に作成す 構築した仮想マシンの概要が表示されるはずだ。
る必要がある。
　[新規ハードディスクの作成 ]を選択して[次へ ]をクリック Ubuntuのインストール
すると、画面11のように新規仮想ディスク作成ウィザードが
起動する。 　次に、構築した仮想マシンにゲストOSとしてUbuntuをイ
　まず、ハードディスクのタイプとして可変サイズか固定サイ ンストールしてみる。今回はUbuntu 9.04の日本語デスクト
（画面 12）。可変サイズにした場合、パフ
ズかを選択する ップ・パッケージである
「Ubuntu Desktop 日本語 Remix
ォーマンスは若干落ちるが、ハードディスク容量を
（仮想マ CD」
を利用した。なお、同パッケージのISOイメージ・ファ
シンの）
必要に応じて増減できるため、リソースを有効に活 イルは、http://www.ubuntulinux.jp/からダウンロードする
用することができる。 ことができる。
　次に、仮想ディスクのファイルの保存先（またはファイル 　まず、管理画面において対象の仮想マシンを選択した
名） （画面 13）。デフォルト
と、ディスクのサイズを指定する 状態で[設定 ]ボタンをクリックして設定ダイアログを表示さ
では、ファイル名は仮想マシンと同じ名前になる。ディスク せる。次に、画面 17 のように左の項目一覧で [ C D /
のタイプを可変サイズにした場合は、ここで指定するサイズ DVD-ROM]をクリックし、[CD/DVDドライブのマウント]に
は仮想ディスクの最大サイズとして扱われる。 チェックを入れたうえで、[ISOイメージファイル ]を選択す
　画面 14の最終確認画面で[完了]をクリックすれば、仮 る。そして、使用するISOイメージ・ファイルとしてUbuntu
想ディスクが作成されて、画面 15のように元の仮想マシン Desktop 日本語 Remix CDを指定すると、仮想マシンの
作成ウィザードが再度表示される。ここで、さらに[完了]をク 起動時にCD/DVD-ROMとしてマウントされる。

70 Computerworld September 2009

 画面 17：ISOイメージは仮想マシン起動時に 画面 18：これから先は通常の Ubuntuのインストール
画面16：構築した仮想マシンが表示される CD/DVD-ROMとしてマウントされる 方法と同じ

画面19：キー入力の対象をホストOSに戻すには右[Ctrl]キ
ーを押す
画面 21：ホスト・キーの設定を変更。デフォルトで
画面20：[ファイル]メニューから[環境設定]ダ
[Right Control]となっている部分をマウスでクリッ
イアログを開く
クし、続いて割り当てたいキーを押せば変更できる

画面22：VirtualBoxを用いて、Windows XP上でUbuntuを起動した様子
　この状態で、管理画面に戻って[起動 ]ボタンをクリック
すれば仮想マシンが起動し、Ubuntuのインストール・ディス
（画面 18）。これから先は、通常の
クが読み込まれる
Ubuntuのインストール方法と同じだ。
　なお、仮想マシンの起動時には画面19のようなメッセー
ジが表示される。ここに書かれているとおり、キー／マウス
入力の対象をゲストOSからホストOSに戻したいときには、
キーボード右側の[Ctrl]キーを押せばよい。
　このキー割り当てを変えるには、VirtualBoxの管理画
面の [ファイル ]メニューから画面 20のように[環境設定 ]を
（画面 21）
選択し、設定ダイアログの[入力 ]メニュー からホ
スト・キーを変更すればよい。一部、右 Ctrlキーがないキ
ーボードも存在するが、その場合には、前もって別のキー
に変更しておく。
　画面22は、Ubuntuのインストールが完了した仮想マシン
を起動した様子である。 非常に手軽な仮想化ソフトウェアである。仮想化を実現す
　以上のように、VirtualBoxはインストールから仮想マシ るソフトウェアは多数あり、用途に応じて使い分けるのがい
ンの構築、ゲストOSのインストールに至るまで、ほぼすべ ちばんだが、VirtualBoxがその有力な選択肢の1つであ
ての操作をウィザードによる設定だけで行うことができる、 ることは間違いない。

September 2009 Computerworld 71

 わかっている“つもり”では済まされない！

第 9 回
ネット・オークション事業者の法的責任
ショッピング・モール・サイトやオークション・サイトは、便利なうえに商品が安価に手に入るため、
インターネット・サービスの中でも特に人気が高い。しかし、何らかの取引上のトラブルが発生
した場合、サービスの性質上、相手の実体がわかりにくく連絡も取りにくいという問題がある。
オークションやモールのサービスを提供している事業者は、こうしたトラブルが起きた場合「当事
者同士で解決する」ことを前提にしているが、利用者にとってみれば、こんなときこそサービス事
業者に「何とか」
してもらいたいものだ。そこで今回は、ネット・オークションやショッピング・モー
ル・サイトのサービス事業者が負うべき法的責任について、裁判例を交えながら考えてみたい。

弁護士　森亮二
弁護士法人英知法律事務所

サービス事業者は
紛争の当事者ではない
　インターネットを介したショッピングやオークションは、手
軽に使えて欲しかった品物が安価に手に入るため、ユ
ーザーに人気の高いサービスの 1つである。しかしなが
ら、その一方で、サービスの性質上、利用者間（ショッ
プと購入者、出品者と落札者）
のトラブルも少なくない
ようだ。
　ショッピング・モールやネット・オークションで取引に関
するトラブルが発生した場合、紛争の当事者は上述し
たようにショップと購入者、あるいは出品者と落札者で
あって、サービス事業者
（ショッピング・モール・サイ
トやネ
ット・オークション・サイ
トの運営者）
は直接的な当事者と
はならない。そのため、次のように、利用者の言い分と
事業者の言い分とが食い違うことがしばしばある。
利用者　「事業者を信頼してサービスを利用したのだ
から、損害については事業者が責任を取るべきだ」
事業者　「われわれは取引の場を提供しているだけ
で、取引の当事者ではない。規約にも、利用者間の
紛争には責任を持たない旨を記載している」
　両者のうち、どちらの言い分に「分」があると思われ
るだろうか。
　確かにサービス事業者は取引の当事者ではないた
め、たとえ詐欺などがあったとしても、直ちにその責任を
負うことはない。事業者が責任を負うためには、何らか
の理由が必要となるのである。
　そこで、以下では、まずその理由から考察してみるこ
とにしたい。
サービス事業者の
「安全なサービス提供義務」
　紛争の当事者ではなくとも、事業者は利用者と一定
の利用契約を結んでいるはずである。このような一方
（事業者）
が他方
（利用者）
にサービスを提供するような

72 Computerworld September 2009

 わかっている“つもり”では済まされない！

契約においては、たとえ利用規約などには明記されて 利用規約に書いてあれば
いなくとも、事業者は利用者に損害を与えないかたち 何でも免責されるのか
でサービスを提供する義務を負うとされるのが一般的
だ。法律の分野では「付随義務」などと呼ばれるもの 　この「安全なサービス提供義務」に関する裁判所の
だが、ここではわかりやすく
「安全なサービス提供義務」 判断として、名古屋地裁が平成 20年 3月28日に下し
と呼ぶことにしたい。 た判決と、その控訴審で名古屋高裁が同年11月11日
　紛争の責任を問う際には、この「安全」のレベルが に下した判決がある。これは、オークション・サイ
トで詐
大きな問題となるが、これはサービスの性質・内容や利 欺にあった多数の被害者が、サービスに問題があった
用者が支払う対価、サービスを巡る社会動向、安全性 として事業者に損害の賠償を求めた事件であった。
の向上に必要となる事業者の負担などによって総合 　両裁判所は、
「事業者は利用者に対し、欠陥のな
的に判断されることになる。 いシステムを構築してサービスを提供する義務を負って
　例えば、利用者からは少額の費用しか徴収しない いる」
とし、サービス事業者に「安全なサービス提供義
典型的なオークション・サイ
トについて考えてみよう。こ 務」があることを認めた。
のサイ
トで、出品者による詐欺で落札者が損害を受け 　実は、このオークション・サイ
トの利用規約には、
「事
たという事件が起きたとする。その場合、この被害者 業者は利用者間の取引について一切責任を負わな
が、
「詐欺行為を許したのは事業者の落ち度であるか い」旨が記載されていた。しかし裁判所は、
「そのよう
ら、詐欺が発生した以上、具体的な事情にかかわらず な規定を記載したからといって、まったく責任を負わな
事業者はその責任を負うべきだ」
として、全面的な損 くてよいわけではなく、信義則上、安全なサービス提供
害賠償を主張することができるだろうか。 義務を負う」
と判断した。信義則とは、
「ある状況の下
　常識的に考えて、このオークション・サイ
ト事業者に で当然に相手から期待される信頼を裏切らないように
は、詐欺が発生したら必ず被害者の損害を補填しな 行動すべきである」
という法律上のルールのことだ。
ければならないというまでの義務はないだろう。そこまで 　オークション・サイ
トの利用者は、ある程度安全にサー
重い負担が伴うのであれば、事業者はオークション・サ ビスを利用できることを期待している。もちろん、注意を
ービスをやめたいと思うはずだ。安全性の高さを売り物 怠れば詐欺などの被害に遭うことは覚悟すべきだが、
にして高額の利用料を徴収している場合であればとも 「慎重に行動すれば損害を被る可能性は低い」
と期
かく、一般的なネット・オークションにおいて絶対的な安 待することは、客観的に見て保護に値するものだ。
全性が求められるとは考えにくい。 　上述した信義則とは、このような利用者の期待に背
　ただし、上の例とは違って、詐欺が横行していること いてはいけないということである。この信義則に反する
が明らかであるにもかかわらず、何の防止策も講じず、 ような利用規約の条項は無効であり、
「一切責任を負
利用者への注意喚起さえ行わなかったとしたら、事業 わない」
と記述されていたとしても
「安全なサービス提
者が詐欺被害の責任を問われるのもしかたのないとこ 供義務」は消滅しないのである。
ろであろう。
　結局のところ、安全なサービス提供義務とは「可能
裁判所の
な範囲で合理的な安全措置を講じること」であり、達 「判断のポイント」
成すべき安全のレベルは個別に判断するほかないの
である。 　前節で紹介した裁判例では、オークション・サイ
ト事

September 2009 Computerworld 73

 第9 回 ネット・オークション事業者の法的責任

業者に「安全なサービス提供義務」があるとし、
「詐欺 ショッピング・モール・サイトにも
に関する注意喚起義務」
を認めたものの、裁判で議論 同様の判決が下されるのか
（表 1）。
されたそのほかの義務については否定された
以下では、こうした裁判所の判断内容について、より 　今回の判決は、オークション・サイ
トに関するものであ
具体的に考察してみたい。 り、ショッピング・モール・サイ
トについては、まだ公開さ
　今回の裁判所の判断には、2つの重要なポイントが れた裁判例はない。しかし、今回の判決は、モール事
ある。 業者の法的責任を考えるうえでも、大変参考になる。こ
　1つは、
「安全なサービス提供義務の有無は、具体 こでは、その点を踏まえて、判決を再考してみたい。
的な状況に応じて決まる」
ということだ。 　「注意喚起義務」については、もし同様の事態がモ
　裁判所が「詐欺に関する注意喚起義務」
を認めた ールにおいても発生すれば、モール事業者にも認めら
のは、最近オークションを悪用した詐欺が増えていると れる可能性がある。
いう理由からであった。また、
「信頼性評価システムの 　「信頼性評価システム導入義務」については、オー
導入義務」
を否定したのは、信頼性評価を行う第三 クションとモールとでは周辺事情が異なる。モールに出
者機関が日本に存在しないことを主な理由としていた。 展しているショップについては、その信頼性を評価する
詐欺被害が増加しているとか第三者機関が存在して 第三者機関が日本にも存在しているからだ。もっと
いないとかいう状況がなければ、結論は変わっていた も、第三者機関が身近に存在するからといって、直ち
かもしれないのである。 に信頼性評価システムの導入義務が認められるとは限
　もう1つのポイントは、裁判所が被告事業者の営利 らない。
事業の遂行に配慮を示したという点である。本件では、 　「出品者情報（ショップ情報）
の提供・開示義務」に
「エスクロー・サービス
（売り手と買い手の間に信頼のお ついても、周辺事情は若干異なる。個人事業者以外
ける第三者を介在させること）利用の義務づけ義務」 のショップであれば、その情報を提供・開示すること自
についても議論がなされたが、裁判所は、オークション・ 体は許されるだろう。ただし、それによって詐欺の予防
サービスの運営に困難を強いることを理由に、この義 効果が得られるかどうかは疑問であるから、提供・開示
務を否定した。
「安全のためならどんなに費用がかかっ 義務が認められるとは限らない。
てもやむをえない」
という考え方を裁判所が採用しなか 　「エスクロー・サービス利用の義務づけ義務」につい
ったという点が重要なのである。 ては、モールの場合もオークションと同様に考えてよい
だろう。モール事業者の「営利事業としてのサービスの
表1：オークション・サイト事業者の「安全なサービス提供義務」に関す 運営」
を重視すれば、義務は否定されることになるわ
る裁判例（平成20年3月28日名古屋地裁判決、同年11月11日名古
屋高裁判決）の詳細 けだ。
「補償制度充実義務」についても同様だ。詐欺
義務の内容 義務の有無 義務違反の有無 とは関係ないので、モール事業者の義務は否定される
注意喚起義務 有 違反なし だろう。
「信頼性評価システム」
の導入義務
無 ─ 　オークションとショッピング・モールの構造的な違いと
出品者情報の提供・開示 しては、サービス事業者が店子（出品者やショップ）
に
無 ─
義務
ついて「責任を持てない」
と言えるかどうかが問題とな
エスクロー・サービスの利
無 ─
用を義務づける義務 る。オークションの場合とは異なり、ショッピング・モール
補償制度の充実義務 無 ─
の場合は、
「店子のことには責任を持てない」
とは言い

74 Computerworld September 2009

 わかっている“つもり”では済まされない！

にくいのではないだろうか。 ものとは言えないから、これには当たらない。また、いわ
　「厳選されたショップで安心したお買い物をお楽しみ ゆる
「人気ランキング」のようなものは、そもそも評価・判
いただけます」
などと宣伝している場合はもちろん、
「安 断ではなく、売れているという事実を示したものである
いがいちばん！」
を売りにしている場合でも、モール事業 から、こちらもこれには当てはまらない。
者のショップの行動に対する
「安全なサービス提供義 　第2に、
「①ショップを運営する主体がモール事業者
務」は、オークション事業者のものより多少は厳しくなる であるかのように見える」ため、
「②利用者が重過失な
はずだ。 くショップの運営主体＝モール事業者と誤解」
し、「③
　これは、一般の利用者がどのような心理でサービス そのまぎらわしい『見た目』
の責任がモール事業者にあ
を利用するかという、微妙な問題ともかかわるものだ。 る」
ような場合には、モール事業者はショップとしての
例えば、
「このオークションの出品者だから、まさか危険 責任を負う。
な人物はいないだろうと思っていた」
という期待と、
「こ 　ある最高裁の判例では、スーパーマーケットに出店し
のモールのショップだから、まさか危険な店はないだろう ているテナントによる商品の販売について、上述した①
と思っていた」
という期待とでは、後者のほうがより保 ないし③のような事情がある場合には、スーパーマーケ
護に値することは明白だ。このことは、裁判所の判断 ットはテナントと同じ責任を負うと判断している
（最高裁・
にも影響するはずである。 平成7年11月30日判決）
。これと同じことは、ショッピン
グ・モール・サイ
トとそのショップにも当てはまるだろう。
　なお、これら2つの事業者に課せられる責任の法的
事業者の責任が追及できる
「その他のケース」 根拠については、経済産業省の「電子商取引及び情
報財取引等に関する準則」
（http://www.meti.go.jp/
　オークションやショッピング・モールのサイ
トを運営して press/20070330011/20070330011.html）
で紹介さ
いる事業者の責任を追及できるのは、彼らが「安全な れている。
サービス提供義務」に違反している場合だけではない。
＊　　　＊　　　＊
責任を追及する根拠となりうるケースが幾つかあるの
で、以下に紹介しておきたい。 　今回紹介した判決によれば、ネット・オークションやシ
　まず第 1に問題となるのは、サービス事業者が、特 ョッピング・モール・サイ
トのサービス事業者の責任を裁
定のショップや商品、出品者、品物などを
「推奨」
した 判で追求するのは、かなり難しいと言える。しかしなが
場合である。この場合は、事業者の推奨行為が「この ら、利用者の立場から見ても、これらの判決の意義は
ショップもしくは出品者と取引しよう」
という利用者の意 決して小さくないだろう。
思決定の原因となる。 　まず、たとえ事業者が利用規約に工夫を凝らしても、
　　したがって、推奨の内容が誤りであったために利 「安全なサービス提供義務」
をすべて免れることはでき
用者が損害を受けたというケースでは、サービス事業者 ないことが明らかになった。さらに、注意喚起義務に関
は責任を負う可能性がある。 する判断で示されたように、事業者は状況に応じて安
　ただし、この「推奨」が責任の根拠となるためには、 全性向上のための活動を行う義務を負うこともはっきり
サービス事業者が独立した立場で自己の評価・判断を した。このような判断が明らかにされたことにより、事業
表明したものである必要があろう。ショップや商品の広 者はより安全なサービスを提供することに努めるように
告は、サービス事業者が自己の評価・判断を表明した なるはずだ。

September 2009 Computerworld 75