ニュース
「セキュリティを経営の投資と考えるフェーズに」マイクロソフト平野社長
ラックとともにIDベースのセキュリティ推進イニシアティブを3月設立~マイクロソフトセキュリティフォーラム基調講演
2017年2月15日 12:31
日本マイクロソフトは14日、2月1日から3月18日までの「サイバーセキュリティ月間」の一環として、ウェスティンホテル東京で「マイクロソフトセキュリティフォーラム」を開催。同社代表取締役社長の平野拓也氏と執行役員最高技術責任者の榊原彰氏が、基調講演「世界をデジタルトランスフォーメーションする、クラウド&セキュリティ」を行った。
日本マイクロソフトでは、「サイバーセキュリティ月間」が開始された8年前から参加しており、「セキュリティで未来をアップグレード」をキャッチフレーズに、産学官民が広く連携するセキュリティ活動に参画している。
同社代表取締役社長の平野拓也氏は「クラウドとスマートデバイスの一般化でIoT本格普及が始まり、2020年には208億のデバイスがインターネットに接続される。すでに自動車、家電、医療機器、さまざまがインターネットにつながっている」と現在の状況をまとめた上で、サイバーセキュリティ攻撃について「これまで個人が愉快犯だったが、金銭目的のビジネス、悪意を持った組織団体の標的型攻撃へ変化しており、システムの脆弱性を一件数百万から数千万円で売買するサイトも現れている」との現状を紹介。「セキュリティはITの課題ではなく経営課題、経営投資と考えるフェーズにきている」とした。
Microsoftでは、顧客のAzure上での知財を保護する「Azure IP Advantageプログラム」も提供する。クラウド上システムを特許侵害で訴える、いわゆる「パテントトロール」が、米国では過去5年間で22%も増加している。プログラムはこうした状況を受けてのものとなる。平野氏は「クラウドではオープンソースが多く使われるが、知的財産も多くある。しかし、知財の考え方が不明確な場合があることがこうした訴訟が増えている理由。仮に訴訟を起こされたときは、Microsoftの保有する1万件のクラウド関連特許を提供し、訴訟リスクを軽減する」とした。
また、株式会社ラックとの連携による「IDベースドセキュリティソリューション」の提供を2016年11月に発表しているが、これをさらに推し進め、ユーザーやデバイスごとのIDベースのセキュリティ対策に関する「ID-Based Securityイニシアティブ」の設立も明らかにした。詳細は3月に発表されるが、SaaSやネットワークのベンダーなど、多数の企業が参加の予定で、共同でデバイスIDのセキュリティ検証や技術者育成、マルウェア対策も検討するという。
同社執行役員最高技術責任者の榊原彰氏は、「クラウドでは、IDをベースに、モバイル端末、車、さまざまな情報がいろいろな場所に拡散する。従来型のセキュリティではアンチウイルスとファイアウォールがほとんどだったが、こうしたアプローチでは守れない。新たな攻撃手法やマルウェアも続々登場しており、IDをベースとした技術でセキュアな環境を構築するアプローチに変えなければいけない」とした。
Microsoftでは、さまざまな製品やサービスに、セキュリティの信頼性を高める技術を組み込んでいる。これが認められ、米国防総省から、かつてない400万台規模を受注したという。さらに、クラウドサービスのAzureとOffice 365では、世界各国で第三者認証の取得に取り組んでおり、各国政府公的機関からAzureやOffice 365の検討や受注も増えており、榊原氏は「信頼を勝ち得たと自信を持っている」とした。
国内でも、1500の監査項目に対し、8カ月かけた監査の後、2016年2月に経済産業省が進める国際標準規格であるISO27017認証であるCSゴールドマークを国内のクラウドベンダーとして初めて取得している。これをきっかけに、公的機関からの引き合いも増えたとのことだ。「前の時代はソフトウェアのライセンス購入であり、その場合にはセキュリティにおける最終責任は、法律上は顧客に発生していた。しかし、クラウドの時代には、インフラ構築してデータを預かる形になる。顧客に、これが信頼できる環境と示して安心してもらう必要がある」と述べた。
Microsoftでは、社内にホワイトハッカーの集団による攻撃チームを組織し、マルウェアでの侵入、ソーシャルな手法によるID詐取、物理的侵入など、さまざまなユースケースで、日常のクラウドサービスを運用しているシステムへの攻撃を試みる訓練を行っているという。「米NISTのサイバーセキュリティフレームワークのコアは侵入前提の対策で、実際に侵入されていないところは信用されない」と述べた。侵入をいかに検知して、以降の進行を食い止めて被害を最小限にするか、こうしたことを日常的に常に行い、蓄積されたインテリジェンスをもとに、さまざまな対処策を作成しているとのことだ。
このほか、セキュリティの専門組織「Cyber Crime Center」を運営しており、2015年2月には国内にサテライトオフィスを開設し、悪意ある攻撃者へのプロアクティブな対策を行っている。その中には法律のスペシャリストとも連携して活動するために政策渉外・法務を担当する「Digital Crime Unit(DCU)」も設置されており、米FBIやインターポールをはじめ、各国司法政府機関と連携し、これまでに15件のボットネットのありかを突き止めた。多くは民事訴訟で差し押さえるなどの手法で物理的に停止させており、うち12件は同社が主導したという。
ボットネットを用いるサイバー犯罪は、経済的動機から行われ、西ヨーロッパでの活動が盛んだという。日本はウイルス感染率が世界で最も低いが、ボットネットの攻撃対象になってきている。日本国内の日本の法執行機関がボットネットの停止に参加した例もあるとのことだ。
Microsoftではグローバルで毎月3000億のユーザー認証、10億デバイスのWindows Update、2000億のスパム・マルウェアを検出している。また、サイバー攻撃を受ける件数は国防総省に次いで世界で2番目になるという。「セキュリティの分野で、こうした数字を日々取り扱っており、そこから得られるものも膨大」だという。同社の「インテリジェントセキュリティグラフ」は、グラフ理論に基づき、実体のあるデータを結び付けて、関連性を見つけやすくするもの。こうしたビッグデータから得られる洞察が、クラウドを強化するとともに、提供製品やサービスにも反映されている。
このほか、パートナー企業や政府機関との連携、業界団体とのパートナーシップの取り組みについても披露された。
同社執行役員政策渉外・法務本部長のスサンナ・マケラ氏は、2016年7月の米政府とAzureの記録データ開示に関する米FBIとの訴訟について、「データには、紙と同様のプライバシー保護が与えられるべきで、紙からデジタルに変わっても所有権は変わらない」とし、裁判では、Microsoftではデータを所有しておらず、開示請求が棄却されたことを紹介。「法の枠組みの下で、公共の安全が守られることで、イノベーションや自由なやりとりが促進される」とした。
そして「技術のもとになるのは信頼で、プライバシーは根本的人権」とし、さらに「地球の多くの個人がより多くのことを達成できるよう手助けをすること」という米Microsoft CEOのサティア・ナデラ氏のビジョンを紹介。「クラウドは恵まれた少数ではなく、世界すべての人のためにならなければならない」と述べ、「テクノロジーは前進し、だれも置き去りにしない。それをするには、責任を共有していることを受け入れなければならない。それぞれがそれぞれに貢献するそれには信頼と透明性が必要になる」と述べた。そして、「情報のセキュリティを担保して、活用できるようにする政策が必要」とした。
2016年4月に発生した熊本地震の被災地を訪れたというマケラ氏は、「患者のカルテや家族写真といった重要なものも、適切に守られていないと消失してしまう。情報の共有や管理の重要性が問われた」とし、「テクノロジーを大企業や都市部の人々だけでなく、あらゆる人が教授し、生活をよりよくすることに生かされなければならない」と述べた。
