Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
本コンテンツは、キーマンズネットに 2016/04/08より掲載されているコンテンツになります。
マイクロソフト エンタープライズセキュリティ
1
クラウド化などをきっかけに、社内システム基盤やセキュリティ対策の見直しを考える企業は多いだろう。しかし、セキュリテ
ィ対策をどこからどう見直せばいいのか分からず、途方に暮れる IT部門もまた多いのではないだろうか。経営層と話をしても
「ウチのセキュリティは大丈夫だろうな」と心配ばかりする割に、売上 UPにつながらないセキュリティ対策に予算はなかなかつ
けてもらえない…という嘆きが聞こえてきそうだ。
この状況を客観的に分析すると、経営者と IT部門との会話が成立していない、ということ。経営者にとって IT部門は何を言っ
ているのか分からない“宇宙人”のような存在であり、同時に IT部門も経営者との“共通言語”で話をできていないのだ。理解し合
えない両者の閉塞感を打開する方法は、あるのだろうか?
実は、この経営者と IT部門の溝を埋めるために有効な“ツール”が存在する。一体どんなものなのか?ツール作成に携わった、
株式会社ディアイティ クラウドセキュリティ研究所 所長の河野氏と、日本マイクロソフト株式会社 チーフセキュリティアド
バイザーの高橋氏にお話を伺った。ツールを入手できるサイトも紹介しているので、まずは続きを…。
セキュリティ対策の重要性が増す一方で、IT部門と経営者の間には閉塞感が漂い、対策が前に進まない…。そんな状況を打破
し、両者の溝を埋めるためのツールとして紹介したいのが、マイクロソフトが作成した「セキュリティガイドブック」である。費
用対効果の算出方法や、リスクと ITの利便性のバランスを数値化する手法、更には実際のセキュリティ事故をベースとしたケー
ススタディなどを盛り込み、IT部門が経営者と話をするための強力な“武器”となる。今回は、このセキュリティガイドブックを
監修したお 2人の対談をお届けしよう。
2
河野:この「セキュリティガイドブック」の企画がスタートしたのが 2015年の 9月ごろ。最新の動向を盛り込んで、2月に完成
しました。情報セキュリティ担当者にも経営における数字の概念を持って欲しいという考えから、セキュリティ対策の費用対効果
といった数字の話や、経営者に話せるケーススタディを掲載しています。これまでもよく ITやセキュリティの「見える化」をし
ようと言われてきましたが、「見える化」は IT部門だけのものであり、経営者やほかの部門にとっては伝わらない言語のような
ものでした。結局「分かる化」はできていなかった、というのが現状だと思います。これを経営者に対して「分かる化」して、経
営者が分かる言葉で話をしないとはじまりません。だからこそ、このガイドブックではセキュリティを経営者にも分かる数字に落
とし込んでいく方法を紹介するようにしました。
高橋:万国共通で経営者の共通言語は数字ですからね。セキュリティ担当者は、経営者が判断するための数字を出し続けるしかな
いと思います。経営会議で報告するために必要な情報や数字をまとめて提出することが第一歩と言えるでしょう。更に今回のガイ
ドブックでは、経営者・情報セキュリティ担当者それぞれに向けた対策のチェックリストを用意しました。このチェックリストか
ら具体的な対策へとブレイクダウンし、自社の対策は何ができているのか、何をすべきなのかを考えるきっかけにして欲しいです
ね
3
河野:よく「セキュリティ対策は投資対効果を出せない」と言われたりもしますが、そんなことはないんです。例えばガイドブッ
クでも「リスクと ITの利便性のバランスをどう数字に落とすのか」といったケースについて具体例をベースに説明しています。P
C紛失からの情報流出を 1つのケースとして、それぞれのフェーズでどのような対策ができて、事故をどの程度防げるのか、IT
利用の制限(利便性の悪化)はどのくらいかを数字で出していけば良いのです。この数字はあくまで一例で、こういったアプロー
チがあるという提案に過ぎませんが、これを参考にして、事故発生率と、IT利用制限率が算出できれば、対策ソリューションの
購入額やクラウドサービスの利用料金などとあわせて投資対効果を考えられます。
高橋:投資対効果を考えるにしても、その対策に必要な要素を 1つずつ分けて考える「セキュリティの要素化」が重要ですよね。
このケースでも認証、暗号化などの“要素”に分解していますし、要素化しないと始まらないと言ってもいい。その要素によって
は、クラウドを使って迅速に適応する方が優位になるものもありますから、その上でクラウドを使うのか、自前でやるのかを考え
ましょうという意味も大きいですね。
河野:今、クラウドという話が出ましたが、ガイドブックにも「クラウド時代の IT基盤作り」という章を作って解説しました。
クラウドサービスの利用によって、調達コストが削減され、利用者側に要求されるセキュリティ対策実務が軽減されたことで、中
小企業は特に恩恵を受けるのではないでしょうか。これまで運用管理の基盤を作ろうとすると初期投資だけでも数百万円掛かって
いましたが、Azureや Office 365といったクラウドサービスならば、1人あたり月額数百円のサブスクリプションで使えます。
初期投資がゼロに近いというメリットはやはり中小企業にとっては大きいですね。セキュリティコスト削減では、ペーパーレスな
どの電子化ではなく、情報の再利用を前提とした「情報化」が必要になります。「Excel方眼紙」は分かりやすい例ですが、セキ
ュリティを考える前に、正しい情報管理、正しい電子化を再検討する必要があるかもしれません。最近では設計段階からセキュリ
ティを組み込む「Security by Design」という考え方もありますし、IT基盤から設計しなおすのに、クラウドサービスの利用は
良い機会になると思います。
4
河野:少し具体的な話もしましょう。今、セキュリティ対策強化の選択肢として「Windows 10」を検討しましょうとお客様に
はお伝えしています。コンサルティング先では、よく「PCと、タブレットやスマホはどちらが安全ですか」と聞かれるんです
が、これまではタブレットやスマホと答えていたんです。その理由は、ネットワークに常時接続していて、外から管理者が状態を
把握しコントロールできる(リモートロック、リモートワイプなど)からです。ところが、Windows 10になって事情が変わり
ました。Windows 7/8とWindows 10の圧倒的な違いは、Windows 10は「ネットワークに当たり前につながっている時代の
OS」だということ。OMA-DM(Open Mobile Alliance-Device Management)という、スマートフォンやタブレットの一般規
格を PCの OSに採用したことで、これまでスマートデバイスでやっていたような管理を PCでもできるように進化しています。
Windows 7/8でリモート管理をするための端末管理ソリューションを導入すると、年間 1ユーザ 1万円以上かかるコストが、W
indows 10ならばゼロで済む。100人の会社ならば 100万円以上の運用保守コストの節減になる。この費用削減効果は大きいで
すよね。もちろん、Office 365を使っていれば、PCを使いはじめる際のキッティング(OSや Officeソフトウェア、セキュリテ
ィソフトウェアのインストールと設定)作業も大幅に軽減されますから、初期導入費用も削減されます。
高橋:Windows 10はセキュリティ強化を大きく掲げていまして、ディテールでも進化して
います。何かというと「カーネルを取られても安全性を保つ」ということをはじめたんです
ね。コンピュータのセキュリティ上の限界は、管理者権限をとられるとすべて自由になって
しまうことでした。なので、ハードウェアレベルで外に出すようにしたんです。ほかにもWi
ndows 8からの取組みですが、BIOSをなくし UEFIという新しい標準を導入することで、r
ootkit/bootkitが入り込む余地をなくすという手法も取り入れています。OS対マルウェアと
いうソフトウェア同士の対決でリスクになっていたところを、ハードウェアレベルで対策す
ることで守れるようになりました。逆に言うと、そこまでやらないと守れないような攻撃が
世界中で頻発しているということでもあります。
河野:そんな風に様々な方面からの攻撃が増えている今だからこそ、IDとパスワードを盗られても大丈夫な状況にしようと、IT
基盤を構築する際のセキュリティチェックについて、セミナーなどでよく話をしています。その中で、Windows 10で採用され
たWindows Hello / Microsoft Passportを事例として紹介しています。これは、IDとパスワードだけではなく、証明書を生成
して端末の認証を行う仕組みです。証明書を持っていない端末からのログインはできませんから、IDとパスワードが流出してし
まっても大丈夫です。特にWindows Hello / Microsoft Passportでは、ログイン時に PIN(暗証番号)や生体情報(指紋や顔
など)で認証をするため、IDやパスワードを盗み見られる可能性もグッと少なくなります。更に、この仕組みを使っていればW
ebサーバから ID/パスワードが盗まれた場合でも、証明書が有効でなければ認証されませんから、不正アクセスを防ぐことがで
きます。また、2要素認証も有効です。例えば、僕のメールサービスの IDとパスワードを他人に教えたとしても、ログインには
5
もう 1段階必要になるので、それ以外の必要な情報を知らない人はアクセスできません。更に、ログインできなかった際に通知を
してくる仕組みが採用されていれば、不正アクセスが試みられたという通知が来るので、本人や管理者に攻撃が行われたというこ
とが分かります。そのように、攻撃が行われたという際には、パスワードを変更すれば良いと思います。それ以外でパスワードを
変更する必要はありません。
特にパスワードについては、3月初めに米連邦取引委員会から「パスワードの定期的な変更に
は意味がない」というブログ記事が公開されました。やみくもに変えるのではなく、危険が差
し迫った時に変更するべきだと。2段階認証や証明書による認証などを使って、誰かが不正ア
クセスしようとしている、パスワード変更を試みている、という危険に気にづけるようにする
ことが重要なのです。「パスワードの定期的な変更」はユーザにとって大きな負担です。例え
ば、企業内で 15種類の異なるシステムがあったとして、それぞれのシステムでアカウント
(IDやパスワード)を独自に管理しているとして、月に 1回のパスワード変更をルールとし
ているような企業では、15システム×12回=年間 180回という、大量のパスワードを作り
出す労力が必要になります。更に管理者が 15システムのログを必要に応じて名寄せしなけれ
ばならないとなると、保守業務も増えるばかりでタイムリーな対応は非常に困難になってしま
います。
高橋:そこで必要になるのはシングルサインオンですね。実は私もシングルサインオンは好きではなかったんですが、以前 SOX
法の監査対応をする機会があって、必要性を痛感しました。システムごとに異なるアカウントを使っていると、社員の異動や退職
などに応じた IDライフサイクルマネジメントが格段に複雑化するんです。1つのパスワードを破られても多くのシステムを破ら
れないかもしれないけれど、入口が無限になってしまうので、それはコントロールとは呼ばないですね。
河野:もう 1つ、最近注目しているのが「RBAC(Roll Based Access Control)」です。これは、役割に応じたアクセス制御の
手法です。これまではアカウントに関するセキュリティということで認証が重視されてきましたが、多要素認証が手軽に採用でき
るようになったことで、認証の問題は解決の方向が見えてきました。これからは「認可」、つまり誰がどこで何をできるか、とい
うところを考えた方がいいと思っています。今でも業務システムの管理では、Administratorや rootといった管理者 IDを複数人
で使って作業しています。しかし、これでは説明責任を明確に果たすことができません。これからは、個別に発行された担当者ご
との IDに管理者の権限を付与して、作業するように変わっていきます。そうなれば、誰が作業したのかの責任も明確になりま
す。このような「RBAC」を実現する ID管理基盤の構築には、ディレクトリサービスが不可欠です。Azure Active Directoryな
らば、安価で比較的容易に認証基盤と認可のためのディリクトリサービスを構築できるようになります。Azure ADを基盤にした
システムを構築できることは、Azure全般の優位性につながっています。
6
高橋:攻撃されていることが分かるように、という話がありましたが、そこに気づける環境を作ることは大切ですよね。そこで、
セキュリティに関する情報を集約し、日々リアルタイムなデータを確認できる「セキュリティ・ダッシュボード」が企業には必要
だと考えています。メール総数や、リンク・添付ファイルがついているメールの数、もしくはアクセスバイオレーション(通常と
は異なるアクセス)に注目してダッシュボードを設計、確認することで、調査のトリガーになるはずです。
河野:そういう意味では、ものすごく堅牢な対策を 1つ導入するよりも、費用対効果の高い、もしかすると弱いと感じられるかも
しれないセキュリティ対策を、多層的に配置するという方法もあるでしょうね。層を作れば、そこで何かのチェックを入れること
ができます。気づきのポイントを増やせるのは、メリットになりますから。
高橋:これだけ ITが進化しているのに、「交通事故が起きるなら車に乗らなければいい」という発想でセキュリティ対策を考え
る人も多いんですよ。ITとセキュリティと社会全般がものすごい勢いで動いているのに、自分たちだけ同じ場所に留まってい
て、それで快適だと思っている人も意外とたくさんいるんですね。ただ、「できるだけ ITを使わない」というセキュリティ対策
をしていても心に響かないのではないかと思います。
河野:IoTやサイバーフィジカルシステム(CPS)にしても、世界的には全体を把握し、管
理・調整しやすいようにすべてをネットにつなぐ方が効率的だと考えられています。しか
し、日本ではネットワークから外した方が安全だという方向にいきがちです。情報セキュリ
ティ対策も本格的に検討、導入されてから 10年以上経っているのに、セキュリティポリシ
ーや手順、既存の対策を 1度も見直したことがない企業も多いと聞きます。その理由を聞い
てみると、見直したいけれど、見直すための情報がない、セキュリティ対策を見直すための
基準が分からないというのです。そういう方にこそ、この「セキュリティガイドライン」を
使っていただきたいですね。また、クラウドに移行すると、今までよりたくさんセキュリテ
ィ対策を“しなければならない”という思い込みも多いようですが、“少なくなるのではない
か”という視点も持って、セキュリティ対策見直しに取り組めたらいいと思います。あるセ
キュリティ対策に数百万円掛かるとした時に、その効果と、費用の適性を経営者に説明でき
る根拠作りにも役立ててもらえたら嬉しいです。