経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

セキュリティ対策を「投資」と捉えて サイバー攻撃に対峙することが必要

サイバー攻撃の手口が高度化・複雑化するとともに、被害の発生件数は増加の一途をたどっている。一方で、IoT(モノのインターネット)の進展やデジタルトランスフォーメーションへ取り組む企業の増加によって、攻撃対象は指数関数的に増化している。このような状況の中で、企業はサイバー攻撃にどう対峙していくべきか。米マイクロソフトでエンタープライズアンドサイバーセキュリティグループのバイスプレジデントを務めるアン・ジョンソン氏に、サイバー攻撃への対処法を聞いた。

――つい最近もランサムウエアが世界中で猛威を振るい、サイバーセキュリティ対策の重要性が再認識されました。サイバー攻撃の現状をどのように分析しているのでしょう。

私たちは、攻撃者が大きく4つに分類できると見ています。1つ目が、データを暗号化して身代金を要求したり、盗んだ情報を売買したりするような経済犯。2つ目が、世の中を騒がせることを目的とした愉快犯。3つ目が、特定の企業から特定のIP(知的財産)を盗み出すことを目的とした攻撃者。最後が、国家が関与して政府や特定の組織を狙う攻撃者です。

これらのうち、ボリュームが最も大きいのが経済犯です。残念なことに、攻撃ツールや盗み出した情報を売買するブラックマーケットが発展しつつあるので、この手の攻撃は今後も増えていくでしょう。ただし、ひとたび攻撃対象になった場合に最も大きな脅威となるのは国家が後ろ盾にいる攻撃者です。こうした攻撃者は、経済的な効率性を追求しないので、目的を達成するまで攻撃の手を緩めないからです。マイクロソフトの社長兼最高法務責任者を務めるブラッド・スミスは、各国政府によるサイバー攻撃の禁止条項が含まれる「デジタルジュネーブ条約」が必要だと訴えています。

サイバー攻撃には新たなアプローチが必要に

――サイバー攻撃に備える際に、留意すべきポイントは何ですか。

セキュリティ対策というと、従来は攻撃者の侵入を防ぐ、すなわち社内とインターネットの出入り口における対策が主流でした。しかし、攻撃の手口が高度化・複雑化している現在、侵入を100%防ぐことは不可能です。現在は、攻撃者が侵入してくることを前提とした新しいアプローチが必要です。

ある調査では、社内のネットワークに攻撃者が侵入してから、そのことが検知されるまでにアジアでは平均500日も要しているという結果になりました。侵入されたことを、いかに素早く検知するかが重要なのです。

マイクロソフトでは、サイバー攻撃に対して、(1)センサーやデータセンター、機密情報が含まれるファイルやアプリケーションに至るまで、全てのエンドポイントを「保護」する、(2)サイバー攻撃を受けた際には、それを迅速に「検知」する、(3)サイバー攻撃を検知した際には、迅速に「対処」する――という4段階のアプローチが必要だと考えています。

セキュリティは「コスト」ではなく「投資」

――デジタルトランスフォーメーションの重要性が叫ばれるようになって、多くの企業が業務プロセスや製品・サービスのデジタル化を進めています。そうした取り組みの中で、セキュリティ対策が「金食い虫になっている」と嘆く経営者が少なくありません。

セキュリティ対策をコストだと捉えると、できるだけ予算を抑えたいと考えるのも無理はありません。しかし、攻撃者の多くが経済犯となった現在は、セキュリティ対策は投資だと考えるべきでしょう。

ひとたびサイバー攻撃の被害に遭うと、本業に膨大な損失が生じます。データ流出などの直接的な被害だけでなく、企業としての信用やブランドを大きく傷つけることになります。特に業務プロセスや製品・サービスのデジタル化が進んだ企業では、この被害が甚大になります。お客様は、サイバー攻撃で大きな損害を出した企業から製品やサービスを購入してくれなくなるでしょう。基幹業務に大きな影響を与えるのです。

こうした機会損失を算出すれば、経営上の大きな脅威であることを認識していただけると思います。セキュリティ上の脅威は、もはやITリスクではなく、経営上の大きなリスクとなっているのです。サイバー攻撃によって失う収益を毀損しないための施策だと考えれば、セキュリティ対策を投資だと位置付けられるでしょう。

実際にデジタルトランスフォーメーションに取り組む際には、「セキュリティドリブン」でプロジェクトを進めることが大切です。これは、後からセキュリティ対策を考えるのではなく、まずはセキュリティ上の脅威を軽減する仕組みを検討し、その上にシステムやサービスを構築する取り組みです。

セキュリティ機能を製品の一部(ビルトイン)として搭載

――マイクロソフトでは、製品・サービスにどのようなセキュリティ関連機能を提供しているのでしょう。

現在、マイクロソフトはOSの「Windows 10」、従来のOfficeとクラウドサービスを融合させた「Office 365」、オープンで柔軟なクラウド コンピューティング プラットフォームの「Azure」など、企業のデジタル戦略を支えるさまざまな製品・サービスを提供しています。これらの製品・サービスと一体化された形でセキュリティ機能が組み込まれています。後からセキュリティ機能をボルトオン(ボルト締めするように後付けすること)する方式とは異なり、その製品・サービスに自然な形で搭載させていることが大きな特徴です。

お客様がご利用中にもセキュリティ機能は最新のものにアップデートされます。OSやOffice 365に含まれるアプリケーションソフトでは、「Windows Update」で自動的に最新機能にアップデートされます。例えばWindows 10では、2016年8月にリリースした大型アップデートの「Windows 10 Anniversary Update」で、修正プログラムが提供されてない脆弱性を突く「ゼロデイ攻撃」のリスクを軽減する「Windows Defender ATP」という機能を追加しています。

お客様の情報資産を守ることは、これまで私たちが一貫して注力してきた分野です。マイクロソフトは、この分野の研究開発に対して毎年10億ドル以上を投資しています。ほかのITベンダーにない、私たちの強みが「インテリジェント・セキュリティ・グラフ」です。これは、10億台を超えるWindowsデバイスや2兆5000億のインデックス化されたURL、6億件の認証情報などのオンラインでの活動の評価、毎日発生する100万件の不審なファイルなどから得られる情報を対象に、機械学習と行動解析によって、異常の検出と脅威の認識を行うものです。ここで得られた洞察や分析結果は、お客様に提供する製品やサービスにフィードバックされています。

――日本は2020年に五輪を開催します。自社の収益に結びつくと期待する企業がある一方で、サイバーテロのターゲットになるのでは、と懸念する人もいます。

テロ対策で大切なことは過去の教訓を生かすことです。物理的なセキュリティに対しては、国や政府が巨費を投じて十分な対策を講じるでしょう。ただし、サイバー攻撃は会場や周辺だけが攻撃対象になるわけではないので、PCやスマートデバイスを利用する一般の人々を含めて対策を講じることが必要になるでしょう。

最も重要なことは、一般の人たちに対してもサイバー攻撃の脅威が高まるという意識を持ってもらうことです。国や政府が働きかけるのはもちろんですが、民間企業が協力することで大きな効果が期待できます。一般の方々に身近で信用度の高い企業、例えば金融機関などが日常的なコミュニケーションの中で啓蒙していくことなどが効果的でしょう。マイクロソフトも、五輪の成功に向けて、できるだけ協力していきたいと考えています。