経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

マイクロソフトは、セキュリティ対策に対して「テクノロジー」と「信頼性」という2つの柱からアプローチしているという。基調講演の後半では、日本マイクロソフトでCTO(最高技術責任者)を務める榊原彰氏と政策渉外・法務本部長を務めるスサンナ・マケラ氏が登壇し、それぞれのアプローチにおける具体的な取り組みを説明した。

テクノロジーからのアプローチでは、単にツールを提供するだけではない。榊原氏によると、「プラットフォーム」「インテリジェンス」「パートナーシップ」の3つの領域に注力する包括的なアプローチだという。

米国防総省から400万台のWindows 10デバイスを受注

セキュリティに関するプラットフォームは、(1)デバイス、(2)インフラストラクチャ、(3)アイデンティティ、(4)アプリケーションとデータ――の4つの要素で構成。(1)と(2)に関しては、どのようなテクノロジーを実装していくか、(3)と(4)に関しては、どのように構成を維持していくかということがセキュリティ対策のポイントになるという。

プラットフォームに関する取り組みでは、2002年から継続して「Trustworthy Computing」という活動を展開している。これは「信頼できるコンピューティング環境をお客様にお届けする」ための取り組みだ。ここで蓄積してきたテクノロジーやノウハウが結実し、2016年には米国防総省から400万台のWindows 10の受注を獲得したという。榊原氏は「米国防総省にWindows 10およびマイクロソフトのテクノロジーが非常にセキュアだと認識していただいた結果だと考えています」と語る。これ以外にも、世界各国の政府機関や公的機関から、Windows 10やAzure、Office 365を受注しているという。

プラットフォームを構成する要素の中でも、最近ではアイデンティティの重要性が高まってきたという。一昔前は、企業のIT環境は組織内のネットワークに閉じていたので、ファイアウオールやアンチウイルスソフトなどで社内外の出入り口を防御することがセキュリティ対策で大きな成果を上げていた。しかし、第三者が提供するクラウドサービスを利用したり、スマートデバイスや自動車などモバイル環境からもITリソースを利用したりする現在、出入り口の防御だけではサイバー攻撃を防げない。榊原氏は「現在のような環境では、ユーザー認証でアプリケーションとデータを統制すべきです」と主張する。

クラウド上のビッグデータからインテリジェンスを獲得

2番目の領域であるインテリジェンスとは、サイバーセキュリティに関する新たな知見や洞察を獲得する取り組みのこと。この領域で大きな役割を果たすのが、「インテリジェント・セキュリティ・グラフ」である。これは、基調講演前半で平野社長が説明したビッグデータ(1カ月に3000億件のユーザー認証情報や、10億超のアップデート情報など)から、さまざまな兆候を組織構造に集約して可視化したもの。大規模な機械学習と行動解析によって、異常の検出と脅威の認識を行っている。さらに、米国防総省の次に攻撃を受けているといわれる同社へのサイバー攻撃の情報も分析している。

これらの情報を活用することで、同社のサイバー犯罪対策部門「デジタルクライムユニット」は、著名なボットネット(サイバー犯罪者が乗っ取った多数のコンピュータで構成されるネットワーク)のテークダウン(ネットワークを崩壊させること)に成功している。2014年にはインターネットバンキングの不正送金を行う「Game Over Zeus」、感染したコンピュータとバックドアの通信を可能にする「Ramnit」というボットネットをテークダウンしている。

実際に同社で稼働している製品やサービスの脆弱性を検証することにも取り組んでいるという。セキュリティの専門家で構成される「レッドチーム」を編成して、仮想的にハッキングを行うのだ。防御側の「ブルーチーム」が、侵入を素早く検知し、攻撃の進行を食い止めて、被害を最小限に抑える。

これらの取り組みを通じて得られたインテリジェンスを製品やサービスにフィードバックすることで、サイバー攻撃の脅威を継続的に軽減している。

3番目の領域であるパートナーシップは、政府や顧客、パートナー企業と協業する取り組みのことだ。この好例として、榊原氏は「FIDO Alliance(Fast IDentity Online Alliance)」での取り組みを説明した。

FIDO Allianceは、生体認証などを利用した新しいオンライン認証技術の標準化を目指して2012年7月に発足した非営利の標準化団体。マイクロソフトは、ここにボードメンバーとして参画している。榊原氏は「マイクロソフトは、お客様や業界の利益に貢献できる活動に対して積極的に取り組んできている」と強調する。

このほかにも、「ID Based Security」ではセキュリティ専業ベンダーのラックと協業、制御システムのセキュリティでは工作機械大手のDMG森精機と協業中だ。

プライバシー・コンプライアンス・透明性にも注力

信頼性からのアプローチを説明するマケラ氏は「お客様の情報を守るという意味ではセキュリティ対策は何よりも重要ですが、クラウドコンピューティングでは、このほかにも大切な要件があります。それは『プライバシーの保護』『コンプライアンス(法令順守)』『透明性』です」と説明する。

マイクロソフトでは「クラウド上のデータに対する統制権は全て顧客にある」と考えているという。このため、同社が広告やデータマイニングを目的として、顧客のデータを利用することはない。

プライバシーの保護について、マケラ氏は「電子データも、紙の文書と同様にプライバシーが保護されるべきです」と、紙からデジタルに変わっても所有権が変わらないことを強調する。Azureでは、たとえ公的機関の要請でも、法的な手続きに基づいたものでなければ、顧客のデータを一切開示することはないという。実際、顧客データの調査で使ったメールデータをFBI(連邦捜査局)が提出するように要請してきたことを巡って米国政府との間で訴訟になった。この訴訟では、2016年7月にマイクロソフトの勝訴となる判決が下されている。

コンプライアンスの面では、Azureはさまざまな標準規格に準拠している。具体的には、国際的なコンプライアンス基準(ISO 27001、HIPAA、FedRAMP、SOC 1/2など)や業界固有のコンプライアンス基準、各国に特有な基準(Australia CCSL、UK G-Cloud、Singapore MTCSなど)である。

マケラ氏は「マイクロソフトは、クラウドの透明性も重視しています」と語る。透明性とは、自分のデータがクラウド上でどこに保管されていて、どのように管理・処理されているかを把握できることだ。例えば、誰がどのデータに対して、どのようなアクセス権限を持っているのかを把握できなければ、クラウド事業者に安心してデータを預けることはできないからだ。

講演の最後に、マケラ氏は「いまやクラウドは、財務的な体力に優れる大企業だけのものではありません。あらゆる人にクラウドの恩恵を受け取ってほしい」と力説した。