変化に備える、2020年のセキュリティ対策 Microsoft Security Forum 2020
主催:日本マイクロソフト
2020年からのセキュリティ
~マイクロソフトの考えるデータファースト、デジタルガバメント~
日本マイクロソフトの河野省二氏は、新型コロナウイルス感染拡大防止に向けて「多くの企業がテレワークなどの取り組みを進めているが、セキュリティ基盤が整備されていないと、実現は難しくなる」と述べた。セキュリティをめぐっては、2010年代に内部ネットワークも含めて、すべてのトラフィックが信頼できないことを前提に、厳しいID検証を行う「ゼロトラストネットワーク」の概念が登場し、エンドポイントセキュリティや、脅威インテリジェンスの活用も注目されてきた経緯を回顧。攻撃の早期検知と迅速な対応から、今後はシステムの健全性を自動的に維持する「セルフヒーリング」がカギになると指摘した。
基調講演1
Society 5.0 に向け取り組むべきサイバー セキュリティ対策
内閣サイバーセキュリティセンターの山内智生氏は、サイバー(仮想)空間と現実空間を融合させ、経済発展と社会課題の解決を図る「Society 5.0」や、デジタルトランスフォーメーション(DX)の実現に向けた持続的なサイバーセキュリティの必要性を強調。啓発に向けた取り組みを紹介した。
政府は、中小企業や国民一般向けにサイバーセキュリティに関する基本的な知識などを紹介するために、「小さな中小企業とNPO向け情報セキュリティハンドブック」や「インターネットの安全・安心ハンドブック」などを作成し、啓発を強化。地域の団体やセキュリティ企業、保険会社が共同で中小企業のニーズを把握する「サイバーセキュリティお助け隊実証事業」で中小企業向けセキュリティ簡易保険の開発も検討している。
また、企業に対して、経営リソースの配分を決める経営層や、それを支える経営企画部門が、事業継続や価値創出における事業リスクの1つとしてサイバーセキュリティリスクを認識し、通常のリスクマネジメントの一環としてサイバーセキュリティを推進する必要性を訴えた。まず、経営層が、サイバー攻撃などでシステム停止に陥った場合の損害の概要を知り、セキュリティ対策の目的を経営計画に盛り込むことを提案。持続的な管理のためには、不足するサイバーセキュリティ人材を育成・確保するための評価軸やキャリアパスを設定し、機械でできる作業は自動化しながら知識集約的業務に人を投入するなど、セキュリティに必要なリソースの配分を進めるよう求めた。
お客様事例
情報セキュリティが健全に機能するために必要なこと
資生堂の斉藤宗一郎氏は、世界経済フォーラムが挙げる発生の可能性が高いリスクトップ10に、データ不正利用(4位)とサイバー攻撃(5位)がランクインしていることに触れ、「情報セキュリティはリスク管理」と述べた。
情報セキュリティは、投資判断基準としても注目されていることから、同社では、サイバーリスクレーティングのKPI採用や、予想最大損失(PML)分析に着手していることを紹介。またマネジメントとして、第1ラインの現場のリスク制御、第2の情報セキュリティ部門のリスク監視、第3の監査部門による第1、第2の防衛線の評価という、3つの防衛線(Three Lines of Defense)の考え方をとっていることを説明した。
防衛線が健全に機能するには、社内セキュリティ規定を形骸化させない努力、仕組みが必要で、非IT部門も含めたデジタルリテラシー向上のため「さまざまな部署を巻き込んで活動している」と語った。
基調講演2
DX時代におけるDX-Readyの考え方とSecurity-Readyに向けた取り組み
経団連デジタルエコノミー推進委員会の浦川伸一氏は、日本企業のDXが世界の動きに比べて遅れている背景には、ビジネス部門とIT部門の極端な分業などの課題があると指摘しつつ、「欠点を並べて解決していくよりも、日本に適したDXに前向きに取り組むべき」と訴えた。
そのためには、まず経営層の深い理解が必須。併せて、IT人材がベンダーに偏在する現状を是正し、ユーザー企業が技術力を取り戻してDXに対応できるIT部門に改革することや、ビジネス部門のITリテラシー向上も重要と述べた。
また、企業がDXを実行可能な状態「DX-Ready」になるには、アジャイル開発や、クラウドへの移行、AIに対する理解とともに、情報セキュリティを徹底してDXに専念できる「Security-Ready」の環境が不可欠と強調。近年は、子会社や取引先などサプライチェーンの弱点を突いた攻撃も増えていることから、網羅的対策や、業界のISAC(情報共有分析センター)を通じた同業他社との情報共有の必要性にも言及した。
最後に、経営層に、Security-Readyの重要性を理解してもらえれば、DXを基軸にした企業間連携によるビジネスモデルの協創など「日本独自のDX環境が醸成されると確信している」と語った。
パネル ディスカッション
データ駆動型社会(Data Driven Society)パーソナルデータの保護と利活用
~トラストの実現に向けて~
パネルディスカッションでは、情報法を研究する中央大学の石井夏生利氏、中外製薬でIT、DXを担当する志済聡子氏、日本マイクロソフトの片山建氏が、パーソナルデータの扱いとその中でトラストをどう実現するか議論した。片山氏は、パーソナルデータ利活用推進のキーワードは「プライバシーとアカウンタビリティだ」と指摘。マイクロソフトでは、プライバシーを基本的人権と位置づけ、世界中でデータ主体(本人)の権利行使に応えるとともに、プライバシーに関する国際標準ISO/IEC 27001と、各国・地域の個人情報保護規定の関連をマッピングするプロジェクトなどに取り組んでいると語った。
石井氏は、プライバシーの権利は、19世紀末に提唱された当初は私的な領域や情報の保護を指していたが、情報技術の発展で、自己情報のコントロール権に発展してきたことを紹介。本人のアクセス権や訂正権、消去権(忘れられる権利)など、世界で最も厳格な個人情報保護制度の1つとして注目されている、EUのGDPR(一般データ保護規則、2018年適用開始)は、本人に対して提供すべき情報を定め、明瞭に伝えることを義務づけて、アカウンタビリティを確保している、と説明した。
志済氏は、中外製薬のGDPRへの対応を紹介した。国内法に準拠した従来のプライバシーポリシーに代わる、グローバルポリシーを制定。EUから域外へのデータ移転を適法に行うための標準契約条項に基づく契約を、グループ会社間で締結した。また、DXの円滑な推進に向けて、ゲノム、臨床試験などのヒト由来データを、研究開発部門等が活用する際のリスクを低減するため、社内にデジタルコンプライアンス委員会を設置。ガイドライン制定や、個別事案の相談窓口を通じた専門家のコンサルテーションを提供していると述べた。
日本では、15年の個人情報保護法改正で特定の個人を識別できないようにした匿名加工情報を導入し、20年の個人情報保護法改正では、内部分析に限定して義務を緩和する仮名加工情報を新たに導入するための制度整備が進んでいる。片山氏は「ビジネスは法律順守が大切。プライバシーを基本的人権と捉え、アカウンタビリティを実現しながらデータ活用が進むことを期待したい」とまとめた。
基調講演3
2020年からのセキュリティ
~防御から予防へ 持続可能なセキュリティの実現~
日本マイクロソフトの山崎善寛氏は、従来のセキュリティの枠を超え、安心して企業活動ができるトラストを維持するには「つねに認証しながらトラストを形成していくゼロトラスト環境が重要」と訴えた。
そのために同社がクラウドで提供するSIEM(Security Information and Event Management、ログ情報の収集・分析、インシデント自動発見ツール)の「Azure Sentinel」は、情報収集の対象を、従来の社内機器から、IoT環境などにも拡大できるため、注目されている。また、パートナーの展開支援や、サードパーティーのパッケージも拡充。「パートナーソリューションカタログにまとめているのでご覧いただきたい」とアピールした。
お客様事例
働き方改革とセキュリティを両立させるゼロトラストとは
NTTコミュニケーションズの小山覚氏は、サーバー側でほとんどの処理を行う仮想デスクトップのシン(THIN)クライアント中心だった業務に、端末側で処理を行うファット(FAT)クライアントを活用していく取り組みを話した。
同社はFATクライアントのセキュリティ対策として、データ暗号化や、遠隔データ消去機能のほか、端末を監視して異常を検出するEDR(Endpoint Detection and Response)の「Microsoft Defender Advanced Threat Protection (ATP)」などを導入。端末の全情報をクラウドに常時バックアップして、紛失した端末のデータ消去後も、流出可能性のある顧客情報を特定、説明できる体制を整備した。このセキュアFATクライアントは、シンクライアントに比べて作業生産性を大幅に向上させることを検証で確認した。
また、グループ会社に侵入したマルウェア攻撃を受けた経験から「グループの信頼関係はネットワーク接続の基準にすべきではない」と、全グループの端末にEDRなどのセキュリティソリューションを適用。「結果的にゼロトラストに近いネットワークを構築できた」と振り返った。クラウド化についても、IT部門が把握していないシャドーITを防ぎ、ゼロトラスト環境整備につながると指摘。クラウド化は「人は失敗するという『性弱説』に基づく過剰なセキュリティ対策をしたオンプレミスの不自由さを打破し、適度な自由と緊張感により、生産性向上につながるのではないか」と語った。
山崎氏は、NTTコミュニケーションズが採用した「Microsoft Defender ATP」について説明。Windows以外のOSに対応するマルチプラットフォーム化を進め、19年はMacOS、20年はLinux、iOS、アンドロイドへの対応を予定している。さらにEDRを発展させ、メール、ID、アプリケーションなど多様なレイヤーへの高度な攻撃にも対応できる「XDR」の統合ソリューション「Microsoft Threat Protection」も紹介。攻撃状況の可視化、インシデントを自動調査、自動対処する「セルフヒーリング」の機能について「インシデントに対して外部の専門家の知見がなくても、組織全体にわたってIT資産を健全な状態であるかを把握することが可能になる」と語った。
お客様事例
資生堂が目指す情報分類・活用・監視のガバナンス
「『見えないものは管理できない。管理できないものは守れない』がセキュリティの基本ルール」と述べた資生堂の斉藤宗一郎氏は、情報管理の課題について語った。資生堂は、イノベーションに欠かせないダイバーシティ&インクルージョンや、ビジネスエコシステムを推進しているが、多様な価値観・文化を持つ人、異なる組織との協働が進めば、機密情報を守ることは難しくなる。
情報ポリシーを整備し、研修で周知しても、人材流動化で増える中途採用者への徹底は難しくなり、規定は形骸化しがちになる。そこで同社は、ポリシーに従って文書などを分類、追跡、用途管理するツール「Microsoft Azure Information Protection」を導入。従業員が、規定を意識することなく、順守できるような環境を整えた。ただ、ツールを利用しても、人が適切なラベリングをすることも必要になるので「最終的には人や習慣が大切で、教育は重要と考えている」と述べた。
資生堂の事例を受けて、情報資産の安全管理には社内コンプライアンスのモニタリングも重要になることを指摘した山崎氏は、Microsoft 365の「Insider Risk Management」を紹介。従業員が業務に関係ない社内情報をUSBメモリにコピーするといった、情報の持ち出しを疑わせる操作を監視し、一定のしきい値を超えるとアラートを出す。そこから、管理者が詳細を見て、本人への事実確認につなげることができる。
また、メールなどによる不適切なコミュニケーションも検出可能で、ハラスメントについてモニタリングするテンプレートも用意されている。最後に、山崎氏は「外部に対するセキュリティ、内部のガバナンスを含めた、すべてのリスク管理を融合し、セルフヒーリングで動的な対応ができることでレジリエンスを実現できる環境を提供していきたい」とまとめた。