日本マイクロソフト、セキュリティ対策に対する最新の取り組み
警視庁がまとめた2014年度のインターネットバンキング不正送金被害額は約29億円。その不正送金を仕掛けるボットネットに感染したPCは世界で約8万2,000台と見られているが、警視庁はその半分となる約4万4,000台のPCを国内で特定し、日本初のボットネットテイクダウン(撲滅)作戦を実施したばかりだ。
このように、セキュリティ被害は対岸の火事ではなく、ユーザー各人の意識改革が求められている。日本マイクロソフトも2015年2月18日に「Digital Crimes Unit(サイバー犯罪対策センター)」の日本拠点を設立し、サイバー犯罪などに立ち向かう姿勢を表明したばかりだが、2015年5月12日にサイバーセキュリティ対策に対する取り組みを説明した。
○世界中がターゲットとなるサイバー攻撃の現状
ITとセキュリティを取り巻く環境は、10年前と見比べると大きく変化している。Microsoft Worldwide Public Sector部門でCSO(Chief Security Officer)を勤めるJennifer Byrne氏は、「セキュリティに対する考え方を変えなければならない。モバイル(デバイス)側によるセキュリティ対策が必要だ」と、現在のセキュリティ対策のキーポイントを説明した。なお、Byrne氏はMicrosoft入社前の18年間、サイバーセキュリティに関する業務に従事。
現在はCSOとして各国の政府機関や企業とともに、セキュリティに関わる問題に取り組むセキュリティアドバイザーを率いる立場にある。
「世界中の企業や政府機関もしくは個人をターゲットに、攻撃を仕掛けるサイバー犯罪やプライバシー情報の漏えいは、企業経営者や政府機関の重要課題」とは、米国のコンサルティング企業であるMcKinsey & Companyの発言だ。これ引用して、現在の調査情報を説明した。日本マイクロソフトがまとめた数値によれば、不正な侵入を検知するまで要する期間は243日、データ侵害に対する平均コストは4.2億円。年間15%ずつ増加している。そして、サイバー攻撃による生産性低下や成長障害といった全体的な損害は、約360兆円にも及ぶという。
セキュリティ問題が解決に至らない背景には、IT環境の複雑化があるとByrne氏。ITの技術革新はメリットである反面、プラットフォームやインフラが複雑に絡み合い、デバイスの多様化も拍車を掛けている。
この複雑化した構造はセキュリティチームの負荷にもつながり、その隙間を縫って攻撃者はプライバシー情報の奪取やマルウェア攻撃などを仕掛けているのが現状だと述べた。
次に引用したのが、米Verizon Communicationsのセキュリティレポート「2014年度データ漏えい/侵害調査報告書(Data Breach Investigations Report)」である。写真では分かりにくいものの、Byrne氏は「セキュリティ問題が複雑かつ変化している点を視覚的に把握するため」と引用理由を説明した。ちなみに左上の折れ線グラフは2009年から2013年までのセキュリティインシデント(侵害事例)をまとめたものだが、2009年トップのブルートフォースアタックは年を重ねるごとに順位を下げ、2013年は12位に下落している。
年月を重ねるごとに新しい脅威が登場し、過去のセキュリティ対策は役に立たなくなるパターンが例年繰り返されていると、セキュリティ対策の現状を分析。そのためMicrosoftは、セキュリティチームが現状を把握したうえで、労力に対する優先度の付け方が重要だと考え、企業や政府はもちろん社会全体にコミットしているという。
また、先のセキュリティインシデントは9つのパターンに分類できるため、セキュリティチームが優先順位を付けることが可能である点も強調した。それが右上の棒グラフだが、2011年から2013年でもっともインシデント数が多かったのは、POS侵入(31パーセント)、次にWebアプリ攻撃(21パーセント)であることが読み取れる。
前述のとおり報告書はVerizon Communicationsがまとめたものだが、Byrne氏は「共通する特徴がある」とMicrosoftの分析を紹介した。1つめは、OSやソフトウェア、デバイスといったシステムの脆弱(ぜいじゃく)性だ。セキュリティホールをふさぐパッチ未適用の環境がターゲットとなりやすい。
2つめはユーザーの関与。例えば社内ユーザーが攻撃の抜け道を作ってしまうケースは、意図するしないに関わらず発生する。また、BYODがマルウェアに感染した場合も類するとした。そして最後はデータを標的にした攻撃。例外としてDoS攻撃などを用いてネットワークそのものを攻撃の対象にするケースも存在するが、最終的にはデータ奪取を目的としているという。
●セキュリティに対する意識改革が求められる
○セキュリティに対する意識改革が求められる
このように、セキュリティに対する意識改革が求められる昨今だが、アイルランドのコンサルティング企業Accentureと米ポネモン研究所の共同研究結果、「積極的なセキュリティ戦略に取り組んでいる企業は53%の効果が現れるが、非積極的な企業は2パーセントの向上にとどまる」を引き合いに出し、他方で「技術革新と信頼に対する懸念のバランス」が求められるとByrne氏は説明する。
冒頭から述べてきたように、クラウドやモバイルデバイスなど技術革新から生まれたIT技術の登場で、管理やセキュリティ対策が後手に回るケースは珍しくない。だからといって技術革新の導入に手をこまねいていると、企業成長に遅れが生じる可能性もある。だからこそByrne氏は、先の研究結果を引用してバランスの重要性を強調したのだろう。
その結果求められるのが、すべての環境に対して同等のセキュリティ対策を提供するソリューションだと結論づけた。例えば、データセンターの防御壁はルータやファイアウォールだったが、クラウドやモバイルデバイスの活用に伴い、過去のセキュリティ対策モデルは妥当ではない。そのためユーザーこそが新しい防御壁となり、個々のデバイスに対してファイアウォールなどと同じセキュリティ対策が求められるという。
ここでByrne氏は、Microsoftとセキュリティに関する過去を振り返った。
2000年当時のインターネット利用者は3.89億人まで増加し、当時のマルウェアは世界中に広まるまでに1日を要しなかった。その結果セキュリティに対する概念が変化し、それまでのウイルス対策ツールのパターンファイル更新では追いつかなくなったという。Microsoft創業者であるBill Gates氏は「世界中のデスクトップにPCを」という構想を持っていたため、後の「TwC(Trustworthy Computing: 信頼できるコンピューティング)」につながったそうだ。
2002年当時、Microsoftの主力製品による売り上げは240億ドル(約2.88兆円)に及んでいた(具体的な製品名を述べなかったが、当時はWindows XP Service Pack 1をリリースしていた)。TwC構想の下、開発を中断してセキュリティ対策に取り組んだのはMicrosoftの歴史を知るユーザーであれば有名な話である。その結果リリースしたのが、「セキュリティ強化機能搭載」のサブタイトルを持つWindows XP Service Pack 2だ。
このような取り組みは現在に至るまで続けており、他社ともソフトウェアの脆弱性情報やマルウェア対策情報を共有。その結果をWindowsやクラウドなど各製品に反映させている。
Microsoftはセキュリティ対策に必要な取り組みとして5つのポイントを掲げた。それが上図のスライドである。
Byrne氏は利用者のIT基盤やデータを保護するために、データセンターだけではなくデバイスやクラウド、データを利用するすべての環境をターゲットにしなければならないと説明した。前述した防御壁の変化につながるポイントだ。ID管理システムの脆弱性を狙った認証情報の盗取を妨げるため、管理を強固にするのは重要ながらも容易ではないと続けて説明。システム基盤全体を見据えたうえで、IDやデータを一括管理する仕組みが求められるという。
そして透明性を実現するためにプライバシーと法令遵守の保証についても言及した。以前のクラウドはブラックボックス的な扱いを受けてきたが、Microsoftは技術的・物理的な透明性が必要だと考えているという。
同社は以前からMicrosoft Azureに対する透明性を重要視し、事あるごとにアピールしてきたが、Byrne氏は「この透明性を保証することで顧客と信頼関係を結べる」とその意味を説明した。
一連の会見はここで終了したが、Q&Aセッションに入ると、セキュリティ更新プログラムの事前通知サービス(ANS)に関する質問が挙がった。同サービスは2015年1月に停止し、現在はプレミアサポートを利用する顧客や関係組織に限定している。その理由としてByrne氏は「ANSの参照回数は非常に少ないため、停止に至った」という。同席した日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏も、詳細情報まで確認するユーザーは少ないと筆者に語っていた。
なお、Windows 10に関する質問も挙がったが、Byrne氏は言及を避けてFIDOアライアンスの生体認証サポートにとどめていた。Microsoftは以前から国際レベルでサイバー犯罪を調査し、各国の政府機関と連携するDCU(Digital Crimes Unit)を運営している。今回説明した同社のセキュリティ対策姿勢やDCUの活動が、サイバー犯罪の減少につながることを強く期待したい。
阿久津良和(Cactus)
提供:
