2016/05/24
誌面情報 vol55
ITから経営課題へ
必要とされるフレキシブルさ
現在のIT基盤にはいろいろな課題がある。攻撃されてすぐ感染するほど脆弱なシステムは問題だが、未管理のデバイスがたくさんつながっていることにも注意を払う必要がある。そこからデータを簡単に持ち出されるためだ。インストールしたアプリケーションを外部からコントロールできる状態のまま放置しているケースもよくある。またシャドウITとも呼ばれている外部ストレージのように使いやすい便利な外部サービスが管理できていないのも問題だ。社員が使うのを会社が把握できていない。また、企業内部の人間が情報流出に手を染めることもある。
対策として、どこを強化すればいいのか。まず攻撃をブロックする必要がある。また、いろんなデバイスを誰が所有し、どこにあり、どう使われているかを把握し管理する必要がある。外部のサービスを使用停止にするのは実はダメな対策だ。「使うな」と言われると別のサービスを見つけるだけなので、禁止するのではなくこのサービスを使ってと対案を伝えるほうが確実に機能する。
マイクロソフトは2002年からトラストワージー・コンピューティングといって信頼性の高いコンピューティング環境を提供しようとしてきた。理由は2001年にネットワームに感染して世界中のマイクロソフトサーバが停止したことがあったため。セキュリティからプライバシー、可用性、信頼性、それを使う社員教育からセキュリティポリシーまでビジネスプラクティスを体系立てたアプローチを推進してきた。
製品開発も例外はなく、セキュリティのデザインを組み込んだライフサイクルを設定している。セキュアバイデザイン、セキュアデベロップメント、セキュアバイデフォルト、セキュアバイデプロイメント、この4つをセキュアバイと定義して開発を進めている。これら改善活動は継続的な取り組みで終わりのないプロセスだ。
安全な環境をつくるのに物理的な層の対策を強化し、ネットワークを強固にし、ID認証をレベルアップさせる。ID認証には顔認証もあるが最も強固な方法は2段階認証。2つのIDを突破する手間を攻撃側もかけられない。さらにホストの管理体制、アプリケーション、データそのものも含め統合的に管理してセキュリティを強化する。
システムの構成についても、ゾーニングをしっかりと区分けする。クラウドも安全性を高める対策の1つだ。クラウドを疑う人もいるがプロのクラウド業者に任せたほうが安全。PCやスマートフォンなどの端末を紛失したときに遠隔操作でデータを消し、ロックできる機能も有用だ。
Windows10のセキュリティ機能はかなり高い。社内ではそれ以上にウイルス対策ソフトなどは使っていない。ペンタゴンに次いで攻撃を受けている組織にも関わらず、先ほど説明したように感染例は少ない。アンチウイルスソフトが不要と言っているのではなく、Windows10そのものできちんと防げている点は強調しておきたい。
マイクロソフトは受け身の対応だけではなく、オフェンシブな取り組みも実行している。米国ではデジタル犯罪ユニットがボットネットなどの悪質な攻撃側の拠点を見つけ出し、警察と協力して現地でハードウェアを差し押さえる(テイクダウン)。そして民事訴訟を起こす。こんな取り組みも行っている。
セキュリティは経営層の問題。経営の問題として必要な措置をとることを推進してほしい。
[2016年4月8日に開催したIT-BCPセミナー講演より]
誌面情報 vol55の他の記事
おすすめ記事
-
これからの国土づくり 「構想力」と「創意工夫」で
政府の復興構想会議のメンバーとして東北の被災地を訪ね、地域の再生や強靭な国土づくりに多くの提言を行った東京大学名誉教授の御厨貴氏は当時、これからの日本の行方を「戦後が終わり、災後が始まる」と表現しました。あれから10年、社会はどう変わったのか。いつか再び起こる巨大地震をめぐり、政治・行政システムや技術環境、市民の生活や仕事はどう進歩したのか。これまでを振り返ってもらいながら、現在の課題、今後の展望を語ってもらいました。
2021/01/14
-
ボランティアの可能性~被災地におけるボランティアの役割と現場で生じている課題~
災害時のボランティアの役割や被災地で生じる課題などについて
2021/01/14
-
FEMAが18の自然災害と社会的脆弱性までを解析したリスク指標を発表
米国連邦緊急事態管理庁(FEMA)は、州や地方自治体が自然災害に備え、被害を軽減させるのに役立つ新しいナショナル・リスク・インデックス(NRI)を発表した。
2021/01/11