偽名で運用 !? Azureデータセンターの「トリビア」を集めてみた

文●羽野三千世/TECH.ASCII.jp

2017年05月01日 08時00分

 世界140カ国以上の地域に100以上配置されているマイクロソフトのデータセンター(DC)。ここで、Microsoft Azureのほか、Office 365、OneDrive、Bingなど同社のクラウドサービスが運用されている。今回は、思わず誰かに話したくなる「Azureデータセンターのトリビア」を集めてみた。教えてくれるのは、マイクロソフトテクノロジーセンター センター長の澤円さんだ(聞き手、アスキー羽野三千世)。

マイクロソフトテクノロジーセンター センター長の澤円氏

AzureのDCは・・・「知られざる謎の組織」が運用している

澤さん:AzureのDCは“知られざる謎の組織”によって構築、運用されています。この組織は「MCIO(Microsoft Cloud Infrastructure and Operations)」という名称で確かにマイクロソフト社内に存在しているのですが、MCIOに誰が所属しているのかは、社員にも知らされていません。

MCIOの中の人たちは、社内で身分を知られることがないように行動しており、会議室の予約には別部署の名前や偽名を使います。

ASCII羽野:なぜそこまで身分を隠すのでしょうか。

澤さん:MCIOの中の人たちは、DCに関して知りすぎているためです。MCIOはDCの立地選定の段階から情報を持っており、DCの運用現場も見ています。社内に「情報を知っている人」を知っている人を作らないことで、「その情報が知りたい」とアプローチしてくる人たちを遠ざけることができます。

また、DCの運用についての情報は、MCIOの中でも「分断」されています。DCの物理リソースの運用を担当する人には、そのサーバーの中で何が動いているか知らされません。サービスの運用担当者はモニタリング可能なサービスだけを監視しており、さらにそのサービスが扱う顧客データにアクセスできるのは顧客だけです。さらに、サーバーラックの鍵はMCIO以外の部署が保管しています。この徹底した「分断」が情報を守るために重要です。

ASCII羽野:MCIOの組織のメンバーは日本法人にもいるのですか?

澤さん:答えは、YesでありNoです。つまり「分からない」という意味ですね。情報セキュリティにおいては「知らないこと」が一番幸せなんです。

スパイ映画によくあるシーンで、悪の組織に捕まって「この情報を教えろ!」と銃で脅されたとします。もし情報を知っていた場合、情報を教えてしまったあとは用無しなので撃ち殺されます。これは「情報が漏れた」「撃ち殺された」という点で二重に不幸ですね。もし、情報を知らなかったら「使えないやつだ」と撃ち殺されはするかもしれませんが、情報は悪の手に渡らないので、被害は半分です。

ですから、MCIOについてはこれ以上知らないほうがいいですよ。

Azure DCの立地条件には・・・「秘密の35項目」がある

澤さん:Azure DCの立地選定においては、世界共通で満たすべき35項目が定められています。でも、秘密です。

ASCII羽野:そう言わず1~2項目教えてください。

澤さん:ではトップ3項目だけ教えてあげましょう。「電源確保」「ネットワーク確保」「人材確保」の3つです。

特にDCは電源が供給されないと動かないので、災害時でも電源が確保できることがDC立地選定の絶対条件になります。具体的には、“ジェネレーターを動かすための「液体燃料」が確保できること”が条件です。そのために、DCは液体燃料を運ぶトラックが通行できる道路に面している必要があります。

日本の道路にはランキングがあり、災害時にどの道路から優先的に復旧させるかが決まっています。DCの立地選定においては、液体燃料が届きやすいように、なるべくランキングの高い道路に面した場所を選ぶことが大事です。

Azure DCのラックの色は・・・「白」と決まっている

澤さん:Azure DCで使うサーバーラックは「白色」と決められています。例外は認められません。

ASCII羽野:私は黒色が好きなのですが。

澤さん:ラックが白いことには理由があります。DCに新しい物理サーバーなどが入るとき、エンジニアがDC内で行う作業はほぼ「ケーブル接続」だけですが、ここで接続ミスを減らすためには、なるべく手元が明るいほうがいい。DCの照明代を抑えて手元を明るくするための「白色」なんです。ちなみに、サーバーは「銀色」と決まっています。こちらも、少しでもエンジニアの手元を明るくするための色選定です。

Azureデータセンターのラックはすべて「白」

ASCII羽野:それでも黒を使いたいという例外は認められないのでしょうか。

澤さん:No Exception(例外なし)が、マイクロソフトの鉄則です。例外を1つ認めると、リスクとコストが2倍になります。サーバーラックを2種類にしたら手順書作成や調達、管理のコストが2倍になりますし、仕様上の故障リスクも2倍になるわけです。

この「例外なし」のルールが、DCだけでなくあらゆる場所のセキュリティ強化につながります。例えば、マイクロソフトでは「社員1人につき1つのID」を発行し、オフィスへの入館や社内ネットワークへのログインをこのIDで管理しています。これにより、「東京オフィスに入館した社員が、シンガポールから社内システムにログインした」というセキュリティ事故の可能性がある状況を管理者が瞬時に把握し、IDをロックできるわけです。

ここで例外的に1人に複数IDを発行してしまうと、セキュリティ管理者がIDのロックダウンに要する手順が増え、セキュリティリスクは増大する。例外処理を徹底的に排除することが、運用コスト、セキュリティ強化の面で重要なのです。

「悪魔の証明」・・・Azure DCのケーブルはすべて天井側にある

澤さん:Azure DCでは、ケーブルはすべてラックの上部に束ねられています。なぜだと思いますか?

ASCII羽野:床下にケーブルをはわせると上げ底にするコストがかかるから、でしょうか。

澤さん:それもありますが、一番の理由は、DC内に死角を作らないためです。Azure DC内では、すべての作業がモニタリングされます。作業者の顔、指先が監視カメラにうつらない場所がないように設計されているのです。

これは、DCの物理インフラのセキュリティのためであり、DCの物理インフラに直接触れる作業者の身の潔白を証明するためでもあります。ケーブルの断線などが発生した際、監視に死角があってはその作業員が「故意にケーブルを切っていない」ことを証明できません。「悪魔の証明」という言葉がありますが、誰も見ていない場所で罪をおかしていないことを証明するのは困難なことです。

Azureデータセンターのケービルはすべて天井側にある

Azure DCのツアーガイドには・・・「特殊能力」が求められる

澤さん:Azure DCへの部外者の立ち入りは厳重に制限されていますが、Azureのお客さんのうち、マイクロソフトが「Azure DCの見学を許可することに重要なビジネスメリットがある」と判断した人物に限り、DCの中を見学することが可能です。世界5拠点でDCツアーが実施されています。DCのツアーガイドの資格を持つ社員は世界に15人いて、私はそのうちの1人です。

ASCII羽野:DCツアーガイドになるには、どのようなスキルが必要なのでしょうか。

澤さん:テクノロジーの知識、プレゼンテーションのスキルも必要ですが、それよりも重要なのが、「参加者が不審な動きをした瞬間に、ためらいなく、その人を組み伏せられる」覚悟と腕力です。ちなみに私、空手3段です

データセンターツアーガイドの資格を持つ澤氏は空手3段

ツアーガイドはDCの中を案内しながら、同時にツアー参加者のふるまいを監視して、DCに危害を加えることを阻止する役割も担います。

私の経験上、DC内での行動に注意が必要なのは、まず企業のIT管理者。IT的な興味で機器に触れてしまうケースがあります。それから、セキュリティ担当者も要注意です。一番危険なのは、マイクロソフト社員。自社DCだという気の緩みで思わぬ行動に出ることがあるので、社員向けツアーを引率するときは、いつでも組み伏せられるよう身構えています。

■関連サイト

■関連記事