「OCIのインスタンスが勝手に削除された」という祭り
2022年のGW中に、Twitterを中心として、OCIのインスタンスが勝手に削除されたとか、アカウントが停止になったとか、クレジットカードの決済が通らないとか、色々とOCIについての投稿がされた件についてです。
事象1: インスタンスが削除された
Oracle CSA(Cloud Services Agreement)に違反すると、Terminate(停止)される。
対象サービスを使用して
人に嫌がらせをすること
人や財産に損害又は損傷を与えること
虚偽的、中傷的、嫌がらせ的又は不快感を与えるマテリアルを公開すること
プライバシー権を侵害すること
偏見や人種差別、嫌悪、悪意を助長すること
未承諾のバルクメール、ジャンクメール、スパム又はチェーンレターを送信すること
財産権を侵害すること
その他適用される法令、条例又は規則に違反すること
対象サービスのベンチマーク、又は可用性テストを実施すること、又はその結果を開示すること
オラクルの書面による事前承認を得ることなく
対象サービスのパフォーマンスのテスト又は脆弱性テストを実施し又はその結果を開示すること
対象サービスのネットワーク検出、ポート及びサービスの識別、脆弱性スキャニング、パスワード解析又はリモートアクセスのテストを実施し又はその結果を開示すること
対象サービスを使用して仮想通貨又は暗号通貨のマイニングを実施すること。
以上のいずれかに該当すると、該当するマテリアルを削除する若しくはアクセスを無効にすると明記してある。
OCIは、CSAに従ってビジネスで利用している分には、削除されることはない。
今回、インスタンスが停止された方々については、上述の事項のいずれかに該当していて、違反を確信しているが、Oracleとしては、誰がどれに違反したかを公にコメントできないとの事。
そこは、インスタンスを停止されてしまった方が個別にOracleと話すべき事だろう。
またセキュリティ侵害にあって、インスタンスを攻撃のベースとして使われて、上述のいずれかをされてしまっても、当然ながら、Terminateされるので注意。
インスタンスがTerminate(停止)されるが、Terminateは、削除とは異なる。
OCIの仮想マシンの場合、CPUやメモリといった「計算リソース」と、記憶装置のブートボリュームは分離されているため、ブートボリュームを明示的に自分で削除しない限りは、Terminateされても削除されない。
(但し、ブートボリュームを削除しないでおくと、その分の費用が若干発生する。)
またブートボリュームとは別に、ストレージをアタッチして、そちらにデータを保存して利用することが推奨されている。
無料のインスタンスだからといって、パッケージの更新とか、セキュリティ対策とか、アカウントの認証関係をきちんとやっていなくて、それが原因で侵入されて、そのインスタンスから悪さをされるのは、技術者としてかなりまずい。
有料のインスタンスについて、侵入されて、そこから悪さをされたのを検知して自動でインスタンスを停止されることを問題と考える人がいるかもしれない。
しかし、昨今、セキュリティ侵害は切迫した問題であり、それで企業のブランドが傷つくことを考えると、自動で停止してもらえる方が良いのではないか?
それに、ストレージが削除されるわけではないので、データのサルベージは可能だ。
今回の「祭り」が盛り上がった背景には、OCIの仕組みを理解できておらず、SR(Support Request)の出し方を正しく把握できていなかったという事もある。
各社毎に、若干仕組みが違うのは致し方ない事なので、そこは学習する面倒臭さも仕事の内と考えて、基本は押さえるようにしたい。
事象2: 新規アカウント作成時に日本のリージョンが選択できない
アカウント作成の画面でのバグ。
5月9日に修正されて、現在はアカウント作成時に日本のリージョンがホームリージョンとして選べるようになった。
事象3: クレジットカードの認証が通らない
OCIは、AWS同様に、3Dセキュアが設定されたクレジットカードは決済で使えない。
あと、クレジットカード会社が海外からの決済を、不正利用防止のために自動で止める場合があるので、カード会社に確認をしてみると良い。
例えば、ライフカードは、海外での決済をする場合には、事前にカード会社に連絡しないと通らない。
教訓
TwitterなどのSNSにおける一方だけの情報発信を鵜呑みにすることの問題
「一方だけの言い分だけを鵜呑みにして、あれこれ判断してはいけない。双方の言い分を聞いて、確認すること」というのは、幼い頃から教わる大事な事である。
頭では分かっていても、実際には、難しい。
私も、一度、そういう経験をしたことがある。
私の講演を聴いたという人から就労先の問題を相談されて、かわいそうにと思って、知り合いの会社を紹介したら、その人自身に問題があった事が分かった。
そういう失敗を私もしてるので、一方だけの話を信じてしまう危険を改めて認知した。
事実に基づかない流言を基にして「あそこのサービスは危ない。業務で使うべきではない」と情報発信するのは、信用毀損罪や偽計業務妨害罪にあたる可能性がある。
今回の事は、そもそも、Twitterに書いたりする前に、SRを起票してOracleからサポートを受ければ、ここまで燃え上がらずに済んだのではないだろうか。
もしくは、Twitter上でも、OCI関係者のアカウントがいくつも存在しているので、書く前に相談しても良かったのではなかろうか?
知識労働者・専門職としての技術者である。
「なんでだよ!」って腹が立った時ほど、冷静になり、法人間取引における基本プロトコル(手続き)を踏む事の大切さを「人の振り見て我が振り直せ」で私も学んだ。
無料で利用できるサービスであっても、世間に迷惑を掛けないように、セキュリティ対策はきちんとする
残念ながら、セキュリティに無頓着な技術者は未だに多い。
全ての技術者が、セキュリティの専門家である必要はない。
必要最低限のセキュリティ担保のための知識は更新して、セキュリティの専門家と連携することが大事だと考える。
具体的にインスタンスを立ち上げたら何をすべきかは、ドキュメントがちゃんと用意されているし、セキュリティの監査モニターも用意されている。
色眼鏡で判断を左右することの危険
今回の件は、傍から見ていて、Oracleが嫌いな人が中心となって積極的に燃料を投入して燃えさかったように見える。
その根底には、「値上げは悪」という価値観があるようだ。
それは個人の価値観なので否定するつもりはない。
しかし、「値上げは悪」としてしまうと、需要と供給のバランスによって価格が決まるという「神の見えざる手」の仕組みを否定することになる。
市場経済において、各個人が自己の利益を追求すれば、結果として社会全体において適切な資源配分が達成される、とする考え方。スミスは個人が利益を追求することは一見、社会に対しては何の利益ももたらさないように見えるが、各個人が利益を追求することによって、社会全体の利益となる望ましい状況が「見えざる手」によって達成されると考えた。スミスは、価格メカニズムの働きにより、需要と供給が自然に調節されると考えた。
つまり、「値上げを悪」と見るならば、需要と供給のバランスを否定することに繋がり、技術者としては、己の技量をどれだけ上げて、引く手あまたになったとしても、給料は上がらないことを認めることになる。
それが現在の「安くて良いもの」という世界的に珍しい日本の工業製品販売に繋がっている。
日本は、貯蓄と節約を美徳とする文化であるため、どうしても、企業においてもコスト削減を業績評価とする企業は多い。
だから、IT部門の技術者は、如何にコストコントロールできたかで評価されることも多く、「値上げ=技術選定した技術者の責任」となるのを嫌うのは理解できる。
しかし、利益の増大を目的とする企業は、本来は、利益を更に追及するために投資を行うことがあるべき姿だ。
お金が財に交換されて、経済が回るのである。
財に交換されないお金は、ただの紙屑であり、人体に例えると、栄養を貯めこんでコルステロールによる高血圧などの各種の不健康な状態に陥るようなものだ。
私は、価値に基づく値上げは賛成だ。
それが人々の賃金を向上させる原資となり、人々の生活を豊かにする。
企業が貯蓄と節約に軸足を置いて、内部留保を貯めこんで、利益を増大させる投資を行わない事が、経済成長をとことん鈍化させ、給料が上がらない、この失われた20年なり30年の原因だと考える。
長々と書いたが、その事は結局はどうでもいい。
人の価値観なので、「Oracleは値上げするから悪」というなら、それで構わないと思う。
問題は、その価値観で、今回の事象を見る際に「色眼鏡がかかったよね」という事だ。
嫌いなものを見るときに、色眼鏡が入ってしまうのは、しょうがない事だと思う。
でも、それを認知していればこそ、嫌いなものを見るときには、できるだけ感情を排して、冷静に、中立に見る必要があるのではないだろうか?
それが、知識労働者、専門職としての技術者、成熟した成人のあるべき姿だと考える。
例えば、私は、Googleが嫌いだ。
高速になると謳って、高速にならないAMPという技術を自社の広告が市場を独占するために生み出したり、高速化のための各種技術を提唱してるが高速にならない的外れなものだったりと、いい加減だからだ。
しかし、嫌いだからこそ、色眼鏡で見てしまうという危険を認知して、新しい技術を発表した際は、まずは冷静に中立の立場で検証して結果を見るように心掛けている。
もしも、真に素晴らしい技術仕様であったならば、それを正しく判断できないのは、何より自分にとって損だからだ。
東京大学の情報工学の大家、名和小太郎先生は、情報処理学会の倫理綱領に寄せて以下のように書かれている。
当面する社会的問題に対する認識や価値観は、実は情報処理の専門家の間にあっても多様であることが想定される。従って、これに対して厳密かつ詳細なルールを設定することは困難である。成しうることは、緩いガイドラインを設定し、個々のケースへの対応に対しては各人の判断に委ねることである。
専門家の社会的活動は、一般人からも良く見えるような環境のもとで実行されなければならない。これは情報処理技術の専門家が判断の基礎とした専門的情報を一般人に公開、説明し、一般人に情報処理技術の応用に関して意見を表明する機会を与えるための前提となる。つまり、これはの専門家の独善を防ぐために不可欠の条件となる。ここにガイドライン制定の第2の狙いがある。
同じく社会的な影響力を持つ専門家として、医師、建築家、弁護士などがある。彼らに対しては、専門家として高い倫理性が法的に義務付けられている。この点、情報処理技術者は現実には高度の専門性を求められているにもかかわらず、制度的には専門家として認められていない。この弱い立場を支えるためにも、情報処理技術者は自律的な行動規範を持つ必要がある.これがガイドライン制定の第3の狙いである。
IT技術が社会の神経となり、利益を生み出すエンジンとなり、社会でのIT技術者が果たす役割は大きくなり、また責任も重くなり、それがやりがいと報酬増大にも繋がるはずだ。
しかし、日本においては、技術者は弁護士や医師のような国家試験による質保証と選別で就労できるかどうかが決まるわけではないので、専門家としての地位は技術者一人ひとりの行動に掛かっている。
また、「競争こそが物事を良くする源泉」だと考える。
OCIに限らず、様々なサービスが競争で切磋琢磨することで、より良いサービスへと研磨されて、その利益を消費者は享受できる。
そういう意味でも、私たち技術者はバイアス(偏り)を押し進めるのではなく、「競争」という名の天秤の守護者であり、媒介・促進者でありたい。