必要とされるフレキシブルさ

現在のIT基盤にはいろいろな課題がある。攻撃されてすぐ感染するほど脆弱なシステムは問題だが、未管理のデバイスがたくさんつながっていることにも注意を払う必要がある。そこからデータを簡単に持ち出されるためだ。インストールしたアプリケーションを外部からコントロールできる状態のまま放置しているケースもよくある。またシャドウITとも呼ばれている外部ストレージのように使いやすい便利な外部サービスが管理できていないのも問題だ。社員が使うのを会社が把握できていない。また、企業内部の人間が情報流出に手を染めることもある。

対策として、どこを強化すればいいのか。まず攻撃をブロックする必要がある。また、いろんなデバイスを誰が所有し、どこにあり、どう使われているかを把握し管理する必要がある。外部のサービスを使用停止にするのは実はダメな対策だ。「使うな」と言われると別のサービスを見つけるだけなので、禁止するのではなくこのサービスを使ってと対案を伝えるほうが確実に機能する。

マイクロソフトは2002年からトラストワージー・コンピューティングといって信頼性の高いコンピューティング環境を提供しようとしてきた。理由は2001年にネットワームに感染して世界中のマイクロソフトサーバが停止したことがあったため。セキュリティからプライバシー、可用性、信頼性、それを使う社員教育からセキュリティポリシーまでビジネスプラクティスを体系立てたアプローチを推進してきた。

製品開発も例外はなく、セキュリティのデザインを組み込んだライフサイクルを設定している。セキュアバイデザイン、セキュアデベロップメント、セキュアバイデフォルト、セキュアバイデプロイメント、この4つをセキュアバイと定義して開発を進めている。これら改善活動は継続的な取り組みで終わりのないプロセスだ。

安全な環境をつくるのに物理的な層の対策を強化し、ネットワークを強固にし、ID認証をレベルアップさせる。ID認証には顔認証もあるが最も強固な方法は2段階認証。2つのIDを突破する手間を攻撃側もかけられない。さらにホストの管理体制、アプリケーション、データそのものも含め統合的に管理してセキュリティを強化する。

システムの構成についても、ゾーニングをしっかりと区分けする。クラウドも安全性を高める対策の1つだ。クラウドを疑う人もいるがプロのクラウド業者に任せたほうが安全。PCやスマートフォンなどの端末を紛失したときに遠隔操作でデータを消し、ロックできる機能も有用だ。

Windows10のセキュリティ機能はかなり高い。社内ではそれ以上にウイルス対策ソフトなどは使っていない。ペンタゴンに次いで攻撃を受けている組織にも関わらず、先ほど説明したように感染例は少ない。アンチウイルスソフトが不要と言っているのではなく、Windows10そのものできちんと防げている点は強調しておきたい。

マイクロソフトは受け身の対応だけではなく、オフェンシブな取り組みも実行している。米国ではデジタル犯罪ユニットがボットネットなどの悪質な攻撃側の拠点を見つけ出し、警察と協力して現地でハードウェアを差し押さえる(テイクダウン)。そして民事訴訟を起こす。こんな取り組みも行っている。

セキュリティは経営層の問題。経営の問題として必要な措置をとることを推進してほしい。

[2016年4月8日に開催したIT-BCPセミナー講演より]