txt_h1.png

データガバナンスを考えた企業価値を高めるセキュリティを

企業がITインフラ刷新の転機を迎えた時、セキュリティやガバナンス強化の面から経営者はどのような判断を下すべきなのか? そこでは、企業を支えるシステムを一連の“サービス”として捉えなおし、重複している機能を統合、シンプルで強靭な体系に見直すことが求められる。そして、セキュリティ部門に閉じない全社を覆うデータガバナンスの実現により、プラスの価値を生み出すことを目指すべきだ。2020年に向けた情報セキュリティのあるべき姿について、日本マイクロソフト チーフ・セキュリティ・オフィサーの河野省二氏に訊いた。

企業を支える“サービス”として、
ITインフラの全体像を捉えなおす

―Windows Server 2008 延長サポート終了や、東京五輪開催などを踏まえ、今後企業は情報セキュリティをどのように見直していくべきでしょうか?
河野:これを契機として、社内に点在するシステムの統合を進めていただきたいと考えています。例えばサーバーの統合にあたっては、どの部門の領分かといった“所有ベース”ではなく、部門を横断する“機能ベース”でシンプルにまとめていくことをお勧めします。それは後々の運用管理コスト削減にも直結します。つまり、まず企業情報システムを、サーバーごとに独立した個別のシステムとして捉えるのではなく、それらが連携してもたらす“サービス”として把握・統合する視点が必要だと思います。
―サービスとして把握しなおす、とは具体的にどういうイメージでしょうか。
河野:たとえば、メールサービスは複数のシステムで共用できるのにもかかわらず、それぞれのシステムに機能として搭載されています。同じ機能が企業のあちこちに重複していればそれだけ管理も複雑になり、コストも増大します。また、把握が難しくなるために、セキュリティリスクも高まります。そこで、企業全体として共通の機能と、部門ごとに必要な機能を明確に切り分け、それぞれをサービス化して、社内で共有できるように提供します。そうすれば、運用・保守もセキュリティ対策コストも集約することができ、トラブル時もより迅速に対応可能になります。資産管理の観点からも、「どこにどんなサーバーが、どれくらいあるのか?」を把握し、それぞれの状況を把握した上で、各々について「今後も本当に活かすべきか」という判断を行う必要があるでしょう。

真のユーザーは誰か?
全社を一貫した“権限管理”の徹底を

―資産の棚卸しが先決ということですね。その他に留意すべきポイントはありますか?
河野:社内でしばらく使われていない休眠状態のアカウントについても、洗い直してください。それらが乗っ取られ、なりすましによって侵入される危険性について考慮していかなければいけません。アカウントを整理し、適正な管理に移行する必要があります。特に注意したいのは管理者アカウントです。UNIX 系などの古いシステムでは、「スーパーユーザー」などと呼ばれる管理者アカウントを容易につくることができました。これはその名の通り、あらゆるリソースにアクセスできる権限を持ちます。また、各種設定を変更する権限も有しているので悪用されると非常に危険です。今回の Windows Server 2008 延長サポート終了を契機とした見直しの中で、このような特権アカウントも洗い出し、できる範囲で利用をやめるようにしたほうが良いでしょう。特に説明責任を明確にするためにも、「誰がどんな目的で作業したのか」が保証できるように、“個別のアカウントに権限を付与する”などの徹底を図るべきでしょう。
―これからの権限管理やアカウント管理はどのようにあるべきだと考えられますか?
河野:アカウント管理については、管理者アカウントのような役割に準じたものではなく、誰のアカウントかというユーザ単位のアカウントにすることです。具体的に言えば、root や Administrator のようなアカウントを作成し、共有しないようにするということです。システムの設計時点からこのような考え方をする必要があります。
利用者ごとに紐づけられたユニークなアカウントでアクセスする体制を構築することで、「誰が、いつ、何をしていたのか」を把握できるようにするのです。これはセキュリティの側面はもちろん、ガバナンスの徹底、さらには不正が起こりにくい企業文化の構築にも寄与すると思います。
アカウントと権限管理を整理するときに課題となるのは、役割(ロール)が多すぎることです。特に日本の企業では仕事が人についていることもあるために、そもそも役割を明確にできないということもあります。権限管理をシンプルにするためにも、多過ぎるロールは早めに整理・統合していくことも重要です。役割も資産管理の一部ととらえてもよいと思います。
また、アカウントの管理においては、たまにしか使わないアカウントというのは、そのふるまいから本物であるかどうかを見分けることが難しくなってしまいます。たとえば、たまにしか使わないクレジットカードの情報が盗難され悪用された場合、その盗難に気付かないだけではなく、犯人が定期的にそれを利用していれば、利用状況(ログ)から判断すると“犯人のほうが正規の保有者に見えてしまう”という逆転現象も起きます。正しい判断をするためには、正しい情報収集ができる環境を作るということが重要です。

クラウドの活用で将来にわたって
柔軟にスケールできる体制へ

―新しいシステムを社内に置くのかクラウドに移行するのか、という選択も重要ですね?
河野:ここでも、サービス本位で相互連携を図る姿勢が大切です。クラウドへの移行のひとつの指針として、競争分野でないサービスがあります。たとえば人事や会計など、企業間の独自性や個別性が少なく、他社との差別化ポイントを築きにくい業務から始めていくことをお勧めしています。一方で、共通サービスについてもクラウド化することで、利用範囲を広げることに寄与すると考えています。
前述の社員の権限管理の仕組みなども、クラウドでの運用が適しています。これからは、自社情報システムだけでは完結せずに、外部のクラウドサービスとも連携してビジネスを進めていく必要があります。今日では、社員の権限管理は社内ネットワークに閉じたものではすまなくなります。権限管理の仕組みをクラウドに置くことで、社内・社外を問わずすべてのシステムやサービスに対してガバナンスを構築できるようになります。Windows Server 2016 はクラウド時代のサーバー OS として最適化されており、このような環境構築に向けて、企業の力になってくれるでしょう。

セキュリティ部門に閉じないデータガバナンスから
新たな価値を生み出す

―セキュリティにはいくつものポイントがありますが、「守り」ではなく「攻め」の視点からアドバイスはありますか?
河野:私はよく企業の幹部に「 IT パフォーマンスを評価していますか」とお聞きします。例えば、「1日に全社でどれ位の数のドキュメントが作られているか?」「1日に何通のメールがやり取りされているか?」「それに添付ファイルやリンクがどの程度ついているか」「新規のドメイン名とどれ位やり取りしているか?」といった指標です。これらの監視はセキュリティ部門の管轄と思われがちですが、「新しいドメインと通信しているという事は、ビジネス機会が増えている」と捉えることもできるわけです。
別の視点では、ドキュメントがどの程度活用されているかの判断も可能です。セキュリティの視点ではファイルに不審者がアクセスしていないかを見るのですが、IT 管理であったり、業績管理の視点では、そのファイルが非常に多くの人に再利用されていて、業績に貢献しているなどといった判断もできるわけです。攻撃者のふるまいのみを取得したログではこのような評価や改善のための情報は得られませんが、ユーザーのふるまいを取得したログであれば、企業全体で活用していただくことができます。
―社員を監視するのではなく、ビジネスのための発見に応用するわけですね。
河野:その通りです。企業全体のデータガバナンスを徹底するするということは、セキュリティを徹底することにつながります。セキュリティのために何かをするのではなく、正しい業務、正しい情報管理とは何かを考えていただくことが重要だと思います。働き方改革が注目されており、変革がしやすい今だからこそ、取ってつけたようなセキュリティではなく、業務そのものを見直す良い機会ではないかと思います。よりよい業務改革のためには、セキュリティは自動化されていくべきです。
最近はレジリエンスという言葉を聞くようになりましたが、IT におけるレジリエンスとは、まさにセキュリティの自動化のことです。自動化を行うためにも、業務やそれに関わるロールを見直して、シンプルにしていく必要があります。Windows 7、Windows Server 2008 からの移行を行っていただく際にぜひこのような視点で検討をいただければと考えています。
セキュリティといえば予算が確保できるという時代が終わり、働き方改革を視野に入れた全社的なシステム変更が計画されているという話をよく聞きます。業務システムなどを効率的に活用するためにも、まずは全体の棚卸し、そして共通部分の社内サービス化、そして業務や従業員を評価できる仕組みづくりを行う中で、自然にセキュリティ対策について実装されるような形になれば、長期間安定して利用できるシステムを構築できるのではないかと思います。
これらはセキュリティ部門だけではなく、全社的な視点に立った大きな経営課題として取り組むべき課題であり、チャンスなのです。セキュリティを「監視や防御のためのコスト」という狭義の概念ではなく、「企業の成長を担保し、さらに仕事の質的向上や生産性拡大を進めるための投資」として捉え、積極的に取り組んでいただきたいと思います。

多様な観点から今後の企業のセキュリティ強化のあるべき姿を語ってくれた CSO の河野氏。

Windows Server 2016 の最新情報はこちら
https://www.microsoft.com/ja-jp/cloud-platform/windows-server
Windows Server 2008 移行ポータルはこちら
http://aka.ms/ws08mig/