日本マイクロソフト

より万全なセキュリティ対策を
目指すために「必要なこと」

いま企業がとるべき"多層防御"とは?

「ワークスタイル変革」を実現するには、“働き方の制度改革”を支えるためのシステム基盤を整備することが必須条件となってくる。そのシステム基盤としてクラウドサービスが最適解であることは、もはや疑う余地はない。ただしセキュリティ対策については、クラウドサービスで提供されている機能を十分に吟味する必要がある。セキュリティ対策を最も重視した場合、どのクラウドサービスを選ぶべきなのだろうか。

多段階のセキュリティ対策を
組み合わせる

企業がワークスタイル変革に取り組むとき、「時間や場所を選ばずに仕事ができるシステム基盤」の整備は欠かせない。しかし、このシステム基盤を自社所有型(オンプレミス)で用意するとなると、多大なコストや手間がかかってしまう。特に万全なセキュリティ対策を期すには、導入から運用まで幅広い知識が求められる。セキュリティ専門のシステム管理者を有する一握りの企業以外、自前で対策を講じることは非常に難しいのが実情だ。

なぜ、セキュリティ対策は難しいのか。NECでセキュリティ製品を企画する安達智雄氏はその理由を次のように説明する。

NEC
スマートネットワーク事業部(データ・セキュリティ製品事業グループ)
シニアマネージャー、ソフトウェアプロダクトプランナ
安達智雄

「現在のサイバー攻撃は、侵入されることを前提とした対策をとらなければなりません。攻撃者の手口はますます巧妙になり、対策するとそれに対抗した新たな攻撃手段が開発されるため、侵入されることも想定したセキュリティ対策が必要になります。これはワークスタイル変革に限らず、すべてのシステム基盤に共通します」

つまり、たとえ攻撃者に侵入されたとしても、機密情報の漏えいやシステムの破壊、改ざんを免れるための防御策が必要となるわけだ。

「サイバー攻撃などの脅威からシステム基盤を守るには『入口』『内部』『出口』という多段階の対策を組み合わせる多層防御が必要になります。入口対策は、システムの脆弱性を悪用しWebやメールなどを通じて侵入してくる脅威に対する防御です。内部対策は、入口対策をすり抜けて侵入した脅威を検知し、内部での感染・拡散を抑止します。出口対策は、情報を窃取しようとする外部への通信を検知・遮断したり、機密ファイルを事前に暗号化したりすることで、情報漏えいを防止します」と安達氏。

万全なセキュリティ対策を講じるには、このような多層防御の仕組みを取り入れる必要がある。ただし、多層防御を実現するツールを導入しただけで効果が得られるわけではない。安達氏は“ツールの運用”とともに、“セキュリティの状況監視”という「両輪を回すことが必要」と説く。

コストと負担を軽減する
クラウドサービス

さらに安達氏が重要とするのが、セキュリティ教育だ。これはセキュリティの専門知識を持つ人材育成だけでなく、システム基盤の利用者全員のリテラシー(利用能力)を向上させる教育も含まれる。

しかし企業にとって、運用・監視や教育よりも大きな課題がある。それは「コスト」だ。多層防御に必要なツールを自社ですべて導入・運用し、常時管理する体制を社内に構築するのは莫大なコストがかかる。

では、どんな対策であればコストを抑制しながら多層防御によるセキュリティ強化を実現できるのだろうか。安達氏は「解決策としてはサービスを利用すること」 だという。例えばワークスタイル変革に必要なシステム基盤をすべて自社で賄おうとするのではなく、マイクロソフトの「Office 365」のような強固なセキュリティ対策機能を備えたクラウドサービスを利用するのである。

これにより、システム基盤のハードウェア、OS、ミドルウェアなどの脆弱性対策は、すべてクラウドサービス事業者に任せることができる。機密情報に関しても、事業者の手厚い保護下に置くことになる。またシステム基盤とは別にセキュリティ状況を監視する運用監視サービスを利用すれば、セキュリティ対策の負担を大幅に軽減できる。

Office 365のセキュリティ機能を高く評価するNECだが、同社にはユーザーの追加ニーズに応じたさらなるセキュリティ強化を“実現する”ための補完ツールがあるという。しかも「利用者に使っていることを意識させない」(安達氏)というスグレモノのようだ。

NECが推奨するOffice 365のセキュリティ機能、および同社独自の補完ツールの正体は、無料でダウンロードできるPDF『"業務効率"を保持しながら情報漏えいを防ぐ「3つの対策』で確認してほしい。