デジタル トランスフォーメーションの衝撃 第 6 回
デジタル化が進む中で求められるセキュリティ対策は?
本連載では、前回までに「お客様とつながる」「社員にパワーを」「業務を最適化」「製品を変格」という 4 つの側面で、デジタル トランスフォーメーションが競争優位性の源泉になることを説明してきました。実際に企業がデジタル トランスフォーメーションを推進する上で、もう 1 つ留意すべきことがあります。それは、セキュリティ対策です。今回と次回の 2 回にわたって、セキュリティに対するマイクロソフトの考え方や、サイバー攻撃の現状と防御方法などを説明していきます。
信頼できないテクノロジーから顧客は逃げる
セキュリティは、デジタル トランスフォーメーションの実現において欠かすことのできない要素です。お客様は信頼できないテクノロジーやサービスを購入してはくれないからです。
デジタル トランスフォーメーションを推進すると、ネットワークを介して様々なお客様とつながることができます。ただし、一度でも個人情報が流出してしまえば、お客様は一気に離れてしまうのが現実です。サイバー攻撃の脅威を経営リスクだと認識して、優先的に対応することが求められているのです。つまり、「サイバー セキュリティ対策を最優先する正しい企業文化」が必要となっているのです。
新しいテクノロジーの活用と、セキュリティの関係が、常にトレードオフになるわけではありません。最初からセキュリティ対策を想定した設計にしておくことで、脅威を大きく軽減できます。
サイバー攻撃を防御するには新たなアプローチが必要
現在、サイバー攻撃が世界的な社会課題として急浮上しています。攻撃の手口は日々、高度化・複雑化しています。インターネットと企業の間の出入り口に対して、どれだけ堅牢な対策を講じようが、ひとたび攻撃対象となれば、侵入は防げないと考えるべきでしょう。
2015 年には、日本年金機構に送付された「標的型攻撃メール」をきっかけに、年金管理システムに保管されていた約 125 万人分の個人情報が漏洩しました。このケースでは、「『厚生年金基金制度の見直しについて (試案)』に関する意見」と題されたメールの添付ファイルを開いた職員の端末がマルウェア (コンピューター ウイルス) に感染。そこを踏み台として攻撃者が組織内のネットワークに侵入したのです。
デジタル トランスフォーメーションを推進すると、これまでよりもインターネットにつながるデバイスやサービスの数が飛躍的に増えてきます。ノート PC やスマート デバイス、センサーなどの IoT (Internet of Things) デバイス、クラウド上の SaaS (Software as a Service) アプリケーションなど、攻撃者のターゲット数が急増することになります。
攻撃者の手口の高度化・複雑化、そして攻撃ターゲットの急増――こうした状況が加速する現在、これまでのような受け身のセキュリティ対策だけではサイバー攻撃を防御することはできません。マイクロソフトは、サイバー攻撃の脅威に対する「保護」「検知」「対処」のために新たなアプローチが必要だと認識しています。
10 億超のデバイスから収集した情報をクラウドで分析
サイバー攻撃を防御するには、まずはセンサーやデータセンター、機密情報が含まれるファイルや SaaS アプリケーションに至るまで、すべてのエンドポイントを「保護」することが必要になります。さらに、実際にサイバー攻撃を受けた際には、それを迅速に「検知」できる体制が求められます。これを実現するためには、クラウド上のアナリティクスツールや機械学習、行動解析などの新しいテクノロジーが必要になるでしょう。
サイバー攻撃を検知した際には、迅速に「対処」しなければなりません。多様な手口に対応できる統合的な対処方法が求められるでしょう。
こうした認識の下で、マイクロソフトはセキュリティに関する取り組みを推進しています。私たちの取り組みを象徴しているのが、「インテリジェント セキュリティ グラフ」です。これは、10 億台を超える Windows デバイスや 2 兆 5000 億のインデックス化された URL、6 億件のオンライン評価、毎日発生する 100 万件の不審なファイルなどから得られる情報の中から、様々な兆候を組織構造に集約して可視化したものです。大規模な機械学習と行動解析によって、異常の検出と脅威の認識を迅速に行っています。ここで得られた洞察や分析結果は、Windows 10 に搭載された新機能「Windows Defender Advanced Threat Protection」を通して、ユーザーにフィードバックされています。
インテリジェント セキュリティ グラフは、お客様とそのデータを保護するうえで、マイクロソフトに独自の優位性をもたらしていると考えています。
お客様の情報を守るために毎年 10 億ドル以上を投資
お客様の情報を守ることは、これまでマイクロソフトが一貫して注力してきた分野です。マイクロソフトは、この分野の研究開発に対して毎年 10 億ドル以上を投資しています。こうした継続的な投資の中で生まれたのが、2013 年 11 月に米国本社に設置された「サイバー クライム センター」です。この組織には、マイクロソフトにおけるサイバー犯罪対策の研究センターとして位置づけられ、法律の専門家や技術捜査員、データ アナリストなど、サイバー攻撃の各種専門分野に通じた約 100 人で構成する「デジタル クライム ユニット」を設置しています。
2015 年には日本法人の本社内に、世界で 5 番目の拠点となる「サイバー クライム センター 日本サテライト」を開設しています。同年には、米国本社に「サイバー ディフェンス オペレーション センター」という組織も立ち上げています。この組織は、セキュリティ脅威に対するリアルタイムの保護・検知および対処を支援。24 時間体制の専任チームが、社内のセキュリティ プロフェッショナル、データ アナリスト、エンジニア、開発者、プログラムマネジャー、運用スペシャリストなどと連携することで、セキュリティの脅威に対する迅速な対処と解決を支援します。
日本マイクロソフトでも、セキュリティ対策に関して、国内で独自の取り組みを進めており、セキュリティの専業ベンダーであるラックや、工作機械大手の DMG 森精機と提携 
しています。ラックとは「ID ベースドセキュリティソリューション」で協業。 同社の強みであるセキュリティ コンサルティングおよび監視サービスと、マイクロソフトの強みである ID 管理技術を組み合わせて、標的型メール攻撃などに対応したセキュリティ ソリューションを提供しています。
プライバシー・コンプライアンス・透明性にも注力
お客様の情報を守るという意味ではセキュリティ対策は何よりも重要ですが、クラウド コンピューティングでは、このほかにも大切な要件があります。それは「プライバシーの保護」「コンプライアンス (法令遵守)」「透明性」です。
20 年以上の間、マイクロソフトはお客様のプライバシー保護を目的としたオンライン ソリューションを確立することで市場をリードしてきました。データのプライバシーに対するマイクロソフトの取り組みにおける施策の 1 つが、世界で初めて、クラウド プライバシーの国際実施基準である ISO 27018 を採用したことです。
マイクロソフトでは、クラウド上のデータに対する統制権をお客様に委ねています。お客様が Azure に保存したすべてのデータはお客様が所有します。お客様は、いつでもどのような理由でもデータにアクセスできます。契約の終了時にデータを回収することも、必要に応じて削除を指示することもできます。マイクロソフトが広告またはデータ マイニングを目的として、お客様のデータを利用することはありません。
マイクロソフトは、クラウド コンピューティングではコンプライアンスも重要な要件だと考えています。Azure は、様々な国際的なコンプライアンス基準 (ISO 27001、HIPAA、FedRAMP、SOC 1/2 など) と業界固有のコンプライアンス基準に適合しています。各国に特有な基準 (Australia CCS、UK G-Cloud、Singapore MTCS など) にも適合しています。英国規格協会が実施する監査などの厳しい第三者監査を受け、標準で要求されているセキュリティ コントロールに Azure が準拠していることが検証されています。
さらに、クラウド サービスに適用される主要なデータ保護法とプライバシーに関する法律を遵守することで、Azure が業界固有の法律や規制に準拠しているかどうかについて、お客様が判断しやすくなるようにしています。
透明性も、クラウド コンピューティングにおける重要な要件です。マイクロソフトは、お客様がデータの保存方法とアクセス方法およびマイクロソフトによるデータの保護方法を把握できるようにすべきだと考えています。
お客様は、データの保存場所を知る権利があります。さらに、明確に規定されたポリシーと手順を通じて、マイクロソフトがデータを保護する方法や、誰がデータにアクセスできるか、データへのアクセス状況といったことも把握する権利もあります。
これらの要件に基づいて、マイクロソフトはクラウド上にあるお客様のデータを守っています。たとえ政府機関からの要求でも、法的プロセスに基づいていなければ、お客様のデータを開示することはありません。実際、米国政府とは何回か裁判で争いました。例えば、お客様の情報に対する法的開示要求の権利について争ったことがあります。
サイバー セキュリティ対策やコンプライアンスなど、マイクロソフトでは、今後もお客さまのデータを守るための取り組みを様々な観点から強力に推進し続けていきます。
関連リンク
»「デジタル トランスフォーメーションの衝撃」 トップページに戻る
» 第 5 回 インテリジェントプロセスで「業務を効率化」
» 第 7 回 サイバー攻撃対策は「正しく怖がる」ことが第一歩
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
