クラウド障害の責任は誰にある?

投稿者: | 2018年5月19日

先日、簡単ですがクラウドについてまとめました

比較的新しい仕組みであることやISの弱体化によりトラブルが増えているようです。
気になる記事を見つけたので引用します。

ベンダーの役割はどこまでか

base on 大半の企業が勘違い、クラウドダウン時の責任を負うのは誰か?:ユーザー企業の経済的損失は – TechTargetジャパン クラウド

クラウドが停止した場合、ビジネスの経済的損失に対して、さらには停止中に失われたアプリケーションへのアクセスの回復に誰が責任を負うかについて、大半の企業が認識していない

これは、ソフトウェアプロバイダーVeritas Technologiesが行った調査によって明らかになった。同社はIT部門のリーダー1200人を対象に、自然災害、サイバー攻撃、データセンターのメンテナンスなどによって起きるクラウドの停止に対する認識を調査した。

回答者の38%が1カ月当たりの平均停止時間を15分未満と考えていた。ただ、実際の平均停止時間は16分だった。
回答者の3分の2(66%)が、停止の事態を解決するのは主にベンダーの役割だと答え、76%は企業のワークロードをオンラインに戻す責任もベンダーにあると考えている。

インフラ復旧の責任はクラウドベンダーにあるが、アプリケーションをオンラインに戻すのはユーザーの役割だという。こうした認識の違いが、停止の影響を長引かせる原因になる。
「企業はクラウドの停止に対する理解が明らかに欠けている。停止からの回復は、クラウドサービスプロバイダーと企業の共同責任だ」

「クラウドでのアプリケーションの運用に積極的に関わっていれば、クラウドが停止しても、企業のコントロール下で迅速かつ確実に回復でき、その責任を担うことができる。適切に対処できれば、ダウンタイム、経済的影響、顧客の信頼失墜、ブランドの評判へのダメージを抑えられる」

多くのユーザ(IS)が、トラブル解決はベンダーの役割だと考えていること自体は理解できます。
ただ、ワークロードをオンラインに(システムのパフォーマンスを適正な状態に)戻すこともベンダーに責任があると回答したことについては驚きました。
その中で、「企業のコントロール下で迅速かつ確実に回復できる」とする同記事のコメントはとても的を得ており感心させられました。
ISの底力を見せられる絶好の機会ですから、責任云々よりも底力と集中力を投入する時ですよ。

責任の所在は

そんな中、興味深い裁判の判決がおりました。

base on サーバ事業者さん。契約は結んでいませんが、あなたを訴えます (3/3):「訴えてやる!」の前に読む IT訴訟 徹底解説(55) – @IT
2018年05月08日 05時00分 公開
本当の責任者は?
裁判は顧客企業が敗訴した。
裁判所は、サーバは障害を起こすものである。それは誰もが簡単に予見できるものであり、プログラムやデータの破損に備えてあらかじめバックアップを取る程度のことは、顧客企業の責任においてできたことであり、やるべきだったと述べている。プログラムやデータの保全は顧客の責任という判断だ。

無論、顧客企業自らが作業を行わなくてもいい。例えば、「運用設計の時点で危険を予測して定期的なバックアップを計画する」などの対策を、顧客が主導して行うべきだ、ということだ。

上記訴訟は

関係 範囲
顧客企業(プログラム、データの持ち主) Webサイト運営
サービスベンダー クラウドサービスを提供
サーバ事業者 サービスベンダーへサーバ機器をレンタル

の3者が介在する中で、顧客企業がサーバ事業者を訴えたという記事です。

顧客企業が敗訴したのは当たり前だと思いますが、驚いたのはサーバ事業者が訴えられたことです。
データが消失したのはHDD障害ということですが、おそらく冗長化なりバックアップなりの対策をしていなかったか、オプションで顧客企業が契約していなかったか、そもそもバックアップ機能がない・・・などなのでしょう。
いずれにせよ、サービスベンダーが訴えられていないということは非がなかったからだと思いますが、それでもサービスベンダーを飛び越えて機器を納入しているサーバ事業者へ矛先が言ったのが不可解です。

判決は理解できますが、エンドユーザの意識には時折ついて行けなくなることがあります。

自身への戒め

協力義務について

これは自分への戒めとして。
専門知識は言わずもがな、社内調整やシステム化の背景も様々ですから、相手に理解できる言葉を選び伝える努力を怠らないことが大切なんだと改めて感じさせられました。

base on ユーザーの「無知」は罪なのか? (3/3):「訴えてやる!」の前に読む IT訴訟 徹底解説(53) – @IT

素人にも「協力義務」はあるのか
「ユーザーは素人なので、ベンダーの求めに応じて情報を提供すれば義務を果たしたと考えられる」ということだ。
ユーザーがベンダーに情報を提供する義務を負うとしても、ユーザーに十分な技術知識がなく、何をどのような方法で提供すればよいのか分からない状況では、ベンダーの求めに従って提供することしかできない。それを行っている限りにおいては、ユーザーは協力義務違反には当たらないということだ。