経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

プロアクティブにサイバー攻撃と対峙するマイクロソフトのセキュリティ対策とは

マイクロソフトは「セキュリティを1つの機能として製品に組み込む」というアプローチでセキュリティ対策に取り組んでおり、他社とは一線を画す。AI(人工知能)やリアルタイム分析、そして専門家集団の頭脳をフル活用し、プロアクティブにサイバー攻撃と対峙する。日本の顧客を担当するマイクロソフト コーポレーション エンタープライズサイバーセキュリティグループ シニアソリューションスペシャリストの花村 実氏に取り組みを聞いた。

ーテクノロジーの観点ではマイクロソフトはどのようにセキュリティ対策に取り組んでいるのですか

サイバー攻撃は高度化・複雑化しており、アンチウイルスソフトやファイアウォールで“境界線”を防御する対策では、ウイルスの侵入を防げません。侵入されることを前提にした対策を講じる必要があります。

マイクロソフトのプラットフォームは、Windows OS、パブリッククラウドのMicrosoft Azure、Office 365などが あります。それぞれのプラットフォームには必要となるセキュリティ機能を、あらかじめ組み込む「ビルトイン」の発想で設計しています。例えば、Office 365 の「Office 365 ATP(Advanced Threat Protection)」は、標的型攻撃を想定したもので、添付ファイルをサンドボックス上で開き、ウイルスが特定サーバーと通信しないかを確認する機能を提供しています。また、Windows 10 は、侵入後の脅威を検出する「Windows Defender ATP」を搭載しています。

侵入されても被害が広がらないようにする機能として、Windows認証ユーザーの資格情報を保護する「資格情報ガード(Credential Guard)」があります。これは仮想化ベースのセキュリティ機能で、Windowsのセキュリティコンポーネントの一部をOSから分離させ、アクセス制限のあるセキュアなマイクロカーネル上のプロセスとして動作させるものです。これによりルートキットに侵入されても、実際のルートを乗っ取られないようにしています。

セキュリティがビルトイン

マイクロソフトの原点は、OS/プラットフォームの開発です。そこには最初から「セキュリティを確保する」という“開発DNA”があります。実際すべての製品は、セキュリティが「ビルトイン」で開発されています。

こうした対策が評価され、2016年2月には、Windows 10とSurfaceデバイスが米国家安全保障局(NSA)の「Commercial Solutions for Classified Program(CSfC)」に認定されました。CSfCは、米政府機関が機密情報を扱うのに適した安全な製品を認定するプログラムです。

また、米国防総省は2016年2月、同省で利用するPCやモバイルデバイスなど400万台分のOSを1年以内にWindows 10にアップグレードすると発表しています。Windows Defender ATP や資格情報ガードといった、これまではフルカスタムで装備するようなハイレベルのセキュリティ機能を標準搭載していることが選定理由です。

脅威の関係性を可視化

ーインテリジェンスの領域ではどのような取り組みをしていますか。

脅威分析インテリジェンスとして、「インテリジェント・セキュリティ・グラフ」を提供しています。これは、全世界にある数十億のソースから収集したデータ(シグナル)をAIなどで分析し、セキュリティ脅威の関係性をグラフ化し、可視化するものです。シグナルはクラウドやサーバー、PC、モバイル、IoT デバイスなど、あらゆるソースから収集しています。攻撃の関連性をグラフ化することで、その兆候を素早く検知・追跡できます。特定のマルウエアがどの地域からどこに攻撃を仕掛けているのかなどを、すべて可視化します。これはOSからクラウドまで幅広くカバーする当社だからこそ、できる技術です。

これまでは、攻撃されたことを示す痕跡情報IOC(Indicators of Compromise)をベースに侵害行為を検知するのが一般的でした。現在は、攻撃の属性から脅威の兆候を探り出すIOA(Indicators of Attack)を検知しなければ、システムや情報資産を守れません。どこの犯罪者集団が、どのような意図で攻撃を仕掛けてきたのかをあぶり出し、それぞれの攻撃フェーズで「侵入されても活動させない」対策が求められます。金銭盗取をもくろむ攻撃者は、高コストになる攻撃はしません。攻撃者の「Cyber Kill Chain(標的型攻撃における攻撃者の行動)」に余計なコストをかけさせ、「AzureやWindowsを攻撃しても儲からない」と諦めさせます。こうした対策を、顧客企業がオンプレミス環境で独自に構築することは難しいでしょう。

ーマイクロソフトのセキュリティ体制について教えてください。

2015年11月に、全社のセキュリティ体制を統括する組織「Cyber Defense Operations Center (CDOC)」を設立しました。ここでは、マイクロソフトが提供する様々なクラウドサービスや社内IT環境を、24時間365日でモニタリングしています。

CDOCの傘下にある、法務部門に所属するデジタル犯罪の専門部隊である「Digital Crimes Unit(DCU)」では、法的手段などを駆使しながら、脅威の情報収集と分析をします。具体的には、マルウエアに感染したPCの通信を「シンクホール」と呼ぶDCUサーバーにリダイレクトし、その通信内容を解析して攻撃手法を分析します。

対策支援組織を日本にも設置

私が所属する「エンタープライズ サイバーセキュリティグループ(ECG)」は、顧客企業のセキュリティの課題とその対策を、包括的に支援するグローバル横断の専門組織です。グローバルでは100 名超のスタッフを擁します。日本にも国内企業にフォーカスした専門家が在籍しており、顧客企業のセキュリティ対策支援にあたっています。

マイクロソフトのプラットフォームは、米国防総省のプラットフォームに次いで多くのアタックを受けています。攻撃されれば必ず痕跡が残ります。つまりAzureやWindows、各アプリケーションが攻撃されれば、それだけ攻撃に関するデータを入手し、犯罪者の手の内を知ることができるのです。

我々は、攻撃や不審な通信ファイルなどのデータをすべて分析しています。そこで得られたノウハウや知見は、自社のプラットフォーム強化に役立てると同時に、顧客企業のセキュリティ対策として提供しています。加えてサイバー攻撃と対峙する業界全体でも共有しています。それが業界全体のセキュリティ強化に役立つと考えています。

ー情報共有の具体例を教えてください。

認証管理を考えてください。多くのシステムでは、未だにパスワードによる認証が主流ですが、現在は1人で複数のサービスを利用することが多く、すべてのパスワードを覚えるのは難しくなっています。そこで我々が注力しているのが「IDをベースとしたセキュリティ対策」です。個人に紐付いたIDで振る舞いを管理し、通常とは異なる振る舞いを検知した場合には、警告を発する仕組みです。これが実現できるのは、プラットフォーム事業者として様々なベンダーと協力できる立場であるからです。

現在はシングルサインオンや多要素認証など、様々な認証方式があります。こうした認証の強化はマイクロソフト1社だけでなく、サービス提供事業者やハードウエア事業者をパートナーと考え、業界全体としてセキュリティの強化とユーザーの利便性向上に取り組んでいます。こうしたアプローチも、プラットフォームを提供しているマイクロソフトだからできることでしょう。

マイクロソフトのCISO(最高情報セキュリティ責任者)であるブレット・アーセナル は、セキュリティに対するアプローチで必要なのは、「革新的なビジネスモデルと成長支援のために、社員の生産性を高める。そのために(必要な環境を)どう安全にするかだ」と説いています。

一方で多くの企業は仕事の「利便性」よりもデータの「安全性」を重視し、使いにくいシステムやソリューションを現場に押しつけています。その結果、社員はコンシューマ向けのSNSやファイル共有サービスを勝手に利用しています。これでは本末転倒です。

安全性と利便性はトレードオフだといわれます。しかし、マイクロソフトは「利便性が高く、安全なシステムを提供する」というスタンスを崩しません。膨大な攻撃データから得た知見とその対策運用ノウハウは、我々にしか提供できないソリューション/サービスであると自負しています。

「セキュリティ人間ドック」で現状を把握

マイクロソフトはセキュリティ対策メニューを幅広く準備している(図参照)。なかでもユニークなのは、「セキュリティ人間ドック(PADS:Persistent Advisory Detection Service)」と呼ぶサービスだ。

セキュリティ人間ドックとは、社内にあるデバイスやネットワーク機器などを総ざらえで調査し、ゼロデイ攻撃や標的型攻撃のリスクがないかを徹底的に洗い出すサービスのこと。「事故が起こってから対策するのでは費用がかさむ。事前に潜在的な脅威を検出しておけば、効率的に対策を講じられる」と花村氏は説明する。

具体的な作業の流れはこうだ。まず顧客企業のデバイスにスキャンツールをインストールしてもらい、デバイスの稼働状況やネットワークトラフィックなどのデータを1カ月ほどかけて収集する。集まったデータはマイクロソフトのセキュリティ専門家のチームが5日間ほどかけて分析し、脆弱なポイントを洗い出す。併せて見つかったリスクを解消するためにはどのようなセキュリティ対策を講じればよいのかも提案する。

「自社の現状を正しく把握することで適切な対策がとれる」と花村氏は力説する。