ITpro Special
週間WEEKLY ITpro Special ITpro

日本データセンターでOffice 365の提供を開始!安心して使えるマイクロソフトの クラウド&セキュリティ|第1部 スマートで効率的なセキュリティ対策 クラウドを安心して利用する方法とは

  • セキュリティ戦略
  • 日本市場への取り組み
  • 導入事例 日本郵船株式会社
  • 導入事例 国立研究開発法人産業技術総合研究所

スマートで効率的なセキュリティ対策 クラウドを安心して利用する方法とは

 自社で構築・運用してきた企業システムのクラウドへの移行が加速している。政府も、持続的な経済成長に向けた新産業の創出や社会的な問題解決のエンジンとして、クラウドなどの利活用によるICT戦略を打ち出している。こうした中、マイクロソフトでは「 Azure 」に引き続き、「 Office 365 」、「 Dynamics CRM 」のデータセンターを日本に設置することを発表。国内でのデータ保管が必須の顧客にもクラウド利用の選択肢を提供する。単にデータセンターを設置するだけではなく、日本では不可避な災害を想定し、同時に東西の二つのデータセンターを設置したことからも、日本市場を重視するマイクロソフトの「本気度」を見ることができる。

クラウドの活用でもたらされる価値

 国内でのクラウドへの移行は急速に進んでいる。例えば、メールやスケジュール管理、オンライン会議などの機能を備えた Microsoft Office 365 (以下、 Office 365 )は、社内外のコミュニケーションツールとして、大手企業から中堅・中小企業まで多くのユーザーに利用されており、日経225銘柄の企業の採用率が70%を超えたとの報道もある。

 クラウド化することの本質は、ICT環境を「所有」するのではなく「利用」することだといわれているが、「利用」することで生まれるベネフィットの1つは、変化への柔軟な対応である。ビジネス環境や人々の働き方の変化のスピードが加速している中、ICT環境や利用法の変化に柔軟に対応できるICT基盤を実現することは、IT部門の大きなテーマである。クラウドの選択はその中で自然な流れといえるかもしれない。

 また Office 365 普及の背景には、働き方の変化への対応という側面も大きい。少子高齢化や介護人口の増加に伴い、仕事とプライベートを両立する働き方への変革が喫緊の課題とされている。そのために、社員が、いつ、どこにいても、自席にいるのと変わらないコミュニケーション環境、作業環境で業務を進めることができるワークスタイルの整備が、IT部門ばかりではなく経営者にも求められている。コミュニケーション環境、作業環境を統合的に利用することのできる Office 365 は、そのような業務要件に柔軟かつ効率的に対応することができる。

 一方、クラウドの利用に二の足を踏む企業もある。総務省の情報通信白書(平成26年版)によれば、クラウドを利用しない理由の2位が、「情報漏えいなどセキュリティに不安がある」(37.4%)である(平成25年通信利用動向調査)。

 これまで、セキュリティ対策の強化と従業員の生産性は時にトレードオフの関係になることもあった。例えば、顧客情報などが保存されたPCの社外持ち出しを禁止する企業もある。確かに情報漏えいのリスクは減るかもしれないが、従業員は社外での情報共有や自宅での業務が行えず、生産性を阻害することにもなりかねない。

現実的かつ効率的なセキュリティ対策

 セキュリティと生産性をトレードオフの関係にせず、現実的かつ効率的なセキュリティ対策を実現する方法として、クラウドサービスがある。なぜクラウドサービスがセキュリティ対策に有効なのか、まず企業活動を阻害するセキュリティの脅威について考えてみよう。まず、セキュリティの脅威は、①インターネットなど外部からの脅威、②企業内部の脅威、③クラウド事業者に起因する脅威、の3つに大別できる。

インターネットなど外部からの脅威が後を絶たない

 これらの中でも、気をつけたいのが外部からの脅威である。特定の企業や政府機関を狙って機密情報を盗み出すサイバー攻撃の被害が後を絶たない。洗練されたソーシャルエンジニアリングを使った電子メールや、標的とした組織が良く利用するWebサイトにマルウェアを仕込むなど、感染させるなど手口も巧妙化しており、攻撃を防ぎきることは難しい状況になっている。また、「標的になるような機密情報は持っていない」という企業もあるかもしれない。だが、攻撃者は標的にする企業の関連会社や取引先のシステムを踏み台に攻撃を仕掛けることもある。この場合、意図せずに攻撃の加害者になるリスクもある。

 マイクロソフトでは、サイバー犯罪対策の研究センター「サイバークライムセンター」を設置し、法律専門家、技術捜査員、データ分析専門家などが、マルウェアやボットネットなどのサイバー脅威の監視や情報収集を行っている。また、政府機関や企業と連携、サイバー犯罪者に乗っ取られたコンピュータのネットワーク(ボットネット)の崩壊(テイクダウン)などの対抗策、防御策を行っている。

 そして、そのノウハウを、 Office 365 をはじめとするクラウドサービス、データセンターのセキュリティ対策に展開している。

企業内部の脅威からシステムを守るには

 企業内部の脅威も深刻化している。内部の犯行からシステムを守るためには、サーバールームの入退室管理をはじめ、システムへのアクセス制御などの対策が必要になる。だが、アクセス権を持っている人がシステムを不正利用した場合、防御は難しい。いつ、だれが、どんなシステムを操作したかログを取得することも重要だが、膨大なログを記録、分析すると多大な手間とコストがかかることに加え、不正利用を直接的に防止できるわけではない。

 クラウドは、内部犯行の問題を軽減し、企業内部の脅威を低減する手段としても有効である。 Office 365 などのクラウドサービス基盤となるデータセンターは、自然災害や不正アクセスからのデータ保守を目的に設計されている。データへのアクセス権も厳密に制御されており、役割や作業内容に基づいて正当な担当者のみがアクセスできるほか、操作ログの記録や責任の所在を明確化している。利用者側のクラウドサービス管理者も、正規のアカウントを使って利用する必要があるため、利用者側のクラウドサービス管理者アカウントを厳密に管理することで、内部からの脅威も軽減することができる。

クラウド事業者がデータを提供するという懸念

 3つ目の脅威として、クラウド事業者が各国の政府や捜査機関などの要請に応じて企業データを提供してしまうのではないかといった懸念もある。 Office 365 をはじめ、マイクロソフトでは「データはお客様のもの」を徹底しており、プライバシーやコンプライアンスの基準を順守したクラウドサービスを展開している。

 また、個人情報保護法と並んでよく話題に上るのが、2001年に発効した米国のパトリオット(愛国者)法である。安全保障上、必要と判断されればクラウド上のデータを無条件で提供しなければならないと誤解している方も多いようだが、そういうことはない。マイクロソフトでは、預かっているデータは顧客のものであることから、データ提供の要請に対してまずは顧客に直接請求するよう政府機関に促している。また、たとえ政府機関からのデータ開示要求であったとしても、正当な理由や手続きを踏んでいない場合は、マイクロソフトは要求に応じることはない。正当な手続きに対してデータを提供する場合は、法的に禁止されていない限り、お客様に通知後に提供を行っている。なお、こうした手順は契約書の中にも明記している。

 このように、クラウドのデータ保護について透明性の高い取り組みを行うことにより、初めて企業は安心してクラウドを利用できる。まずは、情報系などICTインフラとなっているシステムはクラウド技術やセキュリティ対策に熟知した専門家に任せ、企業のコア事業やICTによる経営や事業への貢献に注力してはどうだろうか。

マイクロソフトのクラウドが
スマートで効率的なセキュリティ対策に役立つ理由

1 外部からの脅威 製品やサービスに対して、SDLによる企画・設計段階からのセキュリティ対策を講じていることに加え、サイバークライムセンターを基盤にサイバー攻撃の手法や傾向を解析。製品やクラウドサービスに防御策を反映することで外部からの脅威を未然に防止
2 内部からの脅威 クラウド基盤となるデータセンターに企業データを格納。厳密なアクセス制御や、担当者の権限に応じた作業、操作ログの記録と責任の明確化などによりクラウド内部の不正利用を防御。また、クラウド利用者側の管理者も正規のアカウントを利用する必要があるため、このアカウントを厳密に管理するだけで、内部からの脅威にも対応可能
3 事業者に起因する脅威 政府や捜査機関などの要請に応じ、クラウド事業者が企業データの提出を余儀なくされるリスクも考えられる。データの取り扱いなど信頼できるクラウド事業者を選択することが重要
column

脅威を予測して回避する機械学習などを応用
最先端技術でセキュリティを守る
サイバークライムセンター

日本マイクロソフト
チーフセキュリティアドバイザー

高橋 正和

 ICTの利活用を推進する政府機関や民間企業にとってサイバー攻撃対策が最重要課題になる中、サイバーセキュリティに関する国の責務などを定めた「サイバーセキュリティ基本法」が2015年1月9日に全面施行。サイバーセキュリティ戦略本部が司令塔となり、サイバー犯罪の取り締まりや被害拡大の防止に取り組む。

 「こうした政府レベルでのサイバーセキュリティ対策の促進や、サイバー攻撃の駆逐などで大きな役割を果たしているのがサイバークライムセンターです」。こう話すのは、日本マイクロソフトのチーフセキュリティアドバイザーを務める高橋正和氏だ。

 マイクロソフトは、世界で10億人が利用する Office 製品やパブリッククラウドサービスの Office 365 、 Microsoft Azure などの様々な製品・サービスを提供している企業の社会的責任として、すべてのインターネット利用者に影響のあるサイバーセキュリティへの様々な取り組みを、政府機関やパートナー企業と連携して世界中で実施してきた。サイバークライムセンターの特徴は、マイクロソフトが駆逐したボットネットの情報に加えて、マイクロソフト自身が受けているサイバー攻撃の手法や傾向などをビッグデータ解析し、攻撃への対抗策や防御策に役立てていることだ。マイクロソフトは世界で最もサイバー攻撃を受けている企業であり、その対策について世界トップクラスの経験とナレッジを持つ。そうしたノウハウを活かし、「効率的で実効性の高い、最先端のセキュリティ対策を実施しています」(高橋氏)。

 顧客のビジネスを止めないために、攻撃の標的となった場合でも、クラウドサービスの品質を高い水準で維持することが求められる。それに貢献するのが、攻撃パターンなどから事前に脅威を予測し、回避する「機械学習」である。マイクロソフトでは、機械学習を活用し、不正プログラムや踏み台となるシステム(ボットネット)からの攻撃の対処をしている。さらに、これらの活動から得た情報や知見を製品やサービスに反映させ攻撃を未然に防ぐなど、セキュリティ対策を進化させている。

 米国のサイバークライムセンターに続き、サイバー脅威に関する最新の解析データをリアルタイムに確認・分析できる日本サテライトを2015年2月に開設。「2020年の東京五輪に向け、政府機関や企業への攻撃が増えることが想定されます。日本サテライトでは、脅威の情報発信やサイバーセキュリティ関係団体との連携拠点として活動していきます」(高橋氏)。

[画像のクリックで拡大表示]

お問い合わせ

日本マイクロソフト株式会社

〒108-0075 東京都港区港南2-16-3

TEL:03-4332-5300

http://www.microsoft.com/ja-jp/office/365/default.aspx

日本マイクロソフト株式会社
  • セキュリティ戦略
  • 日本市場への取り組み
  • 導入事例 日本郵船株式会社
  • 導入事例 国立研究開発法人産業技術総合研究所