経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

日本マイクロソフトは2017年2月14日、東京都で「マイクロソフトセキュリティフォーラム」を開催。デジタルトランスフォーメーションを推進する上で求められるセキュリティ対策、そしてマイクロソフトが実際に行っているセキュリティへの取り組みを解説した。当日は、企業や公共機関でセキュリティ対策に関わる374人のキーパーソンが参加。壇上に立つ有識者の話を熱心に聞き入っていた。

「世界をデジタルトランスフォーメーションする、クラウド&セキュリティ」と題された基調講演では、前半に内閣官房内閣サイバーセキュリティセンター(NISC)の山内智生氏と日本マイクロソフトの社長を務める平野拓也氏が登壇した。

最初に壇上に立った平野氏は、NISCが2月1日~3月18日を「サイバーセキュリティ月間」と位置付けて、さまざまな普及啓発活動を展開していることを紹介。この取り組みが始まった8年前からマイクロソフトも普及啓蒙活動を実施していることを説明した上で、NISCの山内氏を壇上に招いた。

セキュリティは持続的な成長のための投資

山内氏は、政府がサイバーセキュリティ対策を喫緊に対処すべき社会課題だと捉えている旨を説明し、「高度化・複雑化するサイバー攻撃に対処していくには、官民の連携が欠かせません」と指摘した。具体的な施策として、2015年1月には「サイバーセキュリティ基本法」を全面施行するとともに内閣に「サイバーセキュリティ戦略本部」を設置。同法に基づいて、同年9月に「サイバーセキュリティ戦略」を閣議決定している。

山内氏は「サイバーセキュリティをIT上のリスクではなく、経営リスクと捉えることが必要です。経営層は、セキュリティ対策をやむを得ない費用と考えずに、持続的な成長のための投資と認識すべきでしょう」と強調する。

ただし、企業がサイバーセキュリティ対策を実践する上では、量的にも質的にも人材が不足していることが大きな課題になっているという。実際、NISCが日経225(日経平均株価の採用銘柄である225社)を対象に実施した調査でも、これが浮き彫りになっている。事業部門が新しいITを利活用する際にサイバーセキュリティ対策を担う情報システム部門が抱えている課題として、約4分の3の企業が「事業に対する知識や経験が十分ではない」と回答している。こうした課題を解決するための人材が「橋渡し人材」である。

経営者がサイバーセキュリティの重要性を認識したとしても、具体的な取り組みを経営者自らが企画・立案して実務者層を動かすことは困難だ。この仲介を担うのが橋渡し人材である。経営戦略を十分に理解した上で、経営者に対しセキュリティに関する課題と対応を進言するとともに、技術者をはじめとする実務者層を指揮できる人材のことだ。日経225を対象とした調査では、全体の約6割が橋渡し人材の必要性を認識しており、そのうちの約7割が「人材が不足している」と回答している。

IoTシステムのサイバーセキュリティにも注意を喚起

NISCの普及啓発・人材育成専門調査会が2017年2月に開催した会合では、「ITの利活用により新たな価値を創造するためのサイバーセキュリティ人材育成が必要」だと分析。その上で「経営層・実務者層のコーディネーターにとどまらず、ビジネス戦略と一体となってサイバーセキュリティの企画・立案を行い、実務者層を指揮できる橋渡し人材の育成に取り組むことが必要」だと提言している。

さらに山内氏は、急速に普及が進むIoT(モノのインターネット)デバイスにおけるサイバーセキュリティ対策にも注意を喚起した。ネットワークカメラやセットトップボックスなど、インターネットにつながる機器の多くは、一般のIT機器と同様のOS(オペレーティングシステム)を搭載しており、管理者などのユーザーがIDとパスワードでログインする仕組みを備えている。山内氏は「IDとパスワードが初期設定のままになっている機器が多く、サイバー攻撃のターゲットになるケースが急増しています」と語る。

IoTを活用したシステム同士が接続されるケースも増えており、接続部分が新たな脆弱性となる懸念があるという。こうした懸念を払拭するためには、システムやソフトウエアの企画・設計・開発の段階からセキュリティ対策を組み込む「セキュリティ・バイ・デザイン」という考え方を取り入れることが必要だと指摘する。さまざまな要素技術やアプリケーションが連携することになるので、「安全性を高めるには多様な分野の専門家の協業が求められます」と強調した。

10億台のデバイスから集まるビッグデータをAIで分析

山内氏の後を引き継いだ平野氏は、セキュリティに対するマイクロソフトの取り組みを披露した。

自動車や家電のような身の回りの機器、さらには人間の生命に関わる医療機器など、ありとあらゆる現場にIoTデバイスが普及していくとして、「AI(人工知能)を含めたテクノロジーが、よりパーソナルな存在になってきます。そうした世界では、これまでよりもセキュリティの重要性が高まります」と指摘した。

このように環境やテクノロジーが変化するとともに、サイバー攻撃も大きく変質しているという。一昔前は、マルウエア(コンピュータウイルス)を世の中に広めることを目的とした愉快犯だったのが、現在は企業が保有する情報を何らかの手段でお金に換えることを目的とする経済犯に変わったのだ。140カ国でサイバー攻撃のための武器が作られ、毎秒1人がサイバー犯罪の被害に遭っているのが現実だという。

こうした脅威に対抗するために、マイクロソフトでは製品・サービスのセキュリティ対策を相次ぎ強化。これらの取り組みが米国家安全保障局(NSA)に評価され、2017年2月にWindows 10およびSurfaceデバイスが同局の「Commercial Solutions for Classified Program(CSfC)」(米政府機関が機密情報を扱うのに適した安全な商用製品を認定するプログラム)に認定されている。

セキュリティに対する同社の取り組みを支えているのが、クラウドに蓄積されるビッグデータだ。同社のクラウド上では、1カ月に3000億トランザクションのユーザー認証情報や、10億超のWindowsのアップデート情報、2000億件のスパムメール情報、1800億のウェブページスキャンが集約されているという。AIを活用して、これらのビッグデータを分析することで、セキュリティに対する新たな知見を獲得。平野氏は「新たな知見を継続的に製品・サービスにフィードバックしています」と強調する。

サイバー犯罪の専門組織を日本にも設置

これらの説明の後、平野氏はセキュリティに関する最近のトピックを3つ紹介した。

1つ目は、サイバー犯罪対策を研究する組織「サイバークライムセンター」だ。米国本社は、このセンターを2013年11月に開設。サイバー犯罪対策部門「デジタルクライムユニット」の法律専門家や技術捜査員、データ分析専門家などがセンターに在籍し、サイバー脅威の監視や情報収集、政府機関や企業と連携したテークダウン(サイバー犯罪者に乗っ取られたコンピュータやネットワークを崩壊させること)などの対抗・防御策を講じている。

2015年2月には日本マイクロソフトのマイクロソフトテクノロジーセンター内に「マイクロソフト サイバークライムセンター 日本サテライト」を設置。日本に関連する情報を抽出・分析し、日本に対するサイバー攻撃の傾向などの情報を発信している。

2つ目が、2017年2月に発表した「Azure IP Advancedプログラム」である。これは、クラウドサービスであるAzureの顧客に対して、特許侵害訴訟などの知的財産(IP)関連リスクへの保護を提供するプログラムだ。

現在、米国では自社が保有する特許権の侵害する可能性を持つ企業に対して、巨額のライセンス料を求める訴訟が急増。過去5年間に、こうした訴訟の数が22%も増加しているという。このプログラムでは、Azureの顧客に対して、こうした訴訟リスクが起こった場合の補償を提供。Azure上で稼働するサービスに対する訴訟に対抗するために、マイクロソフトが保有する特許1万件を利用可能にする。

最後が、セキュリティ専業ベンダーであるラックと共同で2017年3月に設立する「ID Based Securityイニシアチブ」という新組織。IoTデバイスの検証や技術者育成、マルウエア対策の検討などを目的に、クラウドサービス事業者やネットワークベンダーなど多数の企業が参画する予定だという。

平野氏は「デジタルトランスフォーメーションを推進する上では、サイバーセキュリティ対策を最優先する企業文化を持つことが必要でしょう」と語り、講演を締めくくった。