サイバー攻撃にマイクロソフトはどのように対抗しているのか――マイクロソフトの最新セキュリティ対策事情:グローバルで得たノウハウや知見はどのように生かされるのか
世界で最もサイバー攻撃の標的にされている企業の1つでもあるマイクロソフト。しかし、そのセキュリティ対策や組織構造の詳細はあまり知られていないだろう。数多くのセキュリティ製品やテクノロジー、サービスを提供するマイクロソフトのセキュリティ対策とはどのようなものなのか。今、マイクロソフトが最も注力する「セキュリティへの取り組み」を通じて、その詳細に迫ってみたい。
「エンタープライズサイバーセキュリティグループ」が日本でも活動を開始
日本マイクロソフトが国内企業向けのセキュリティソリューション提供を本格化させている。2016年7月には顧客のセキュリティ対策の整備を一貫して支援するグローバル横断の專門組織「エンタープライズサイバーセキュリティグループ(Enterprise Cybersecurity Group:ECG)」の国内展開を開始し、体系化したソリューションを企業顧客に包括的に提供できる体制を整えた。
ECGの設立が発表されたのは2015年11月。世界規模でサイバー攻撃の脅威が問題となる中、企業は人的なリソースから、PC、モバイル、サーバといったデバイス、業務プロセスやデータまでを含めたIT環境を一貫して保護していくことが求められるようになった。
企業が保護すべき対象は、自社のPCやモバイルを利用する社員だけに限らない。標的型攻撃に代表されるように、取引先やパートナー、グループ企業の社員までが今はターゲットにされる。その際には、操作ミスによる意図しない情報流出や、内部関係者による犯行への対策も必要となる。CSR(企業の社会的責任)の観点からは、リスクやガバナンス、コンプライアンスへの対応をサプライチェーン全体にわたって対応していくことも求められる。
マイクロソフトのECGは、サイバーセキュリティに関する企業のさまざまな課題を包括的に解決することを支援する。ECGでシニアソリューションスペシャリストを務める花村実氏は、マイクロソフトが包括的なセキュリティに取り組む意義について、次のように話す。
「多くの企業が、多すぎるセキュリティ課題に頭を悩ませています。ネットワーク、エンドポイント、アプリケーション、Web、モバイル、データ、リスクとコンプライアンスなど、非常に多岐にわたるセキュリティのジャンルがあり、それぞれについて複数のベンダーが数多くのソリューションを提供しています。その中から何を選択すればよいのかは、セキュリティの専門家でも簡単には正解を出せないほどです。
しかし、本来であれば、必要となるセキュリティ対策が、利用するIT製品自体に事前に組み込まれていることが望ましいのです。OSやアプリケーション、サーバを利用していれば、企業に必要なセキュリティが確保される。そうすれば、セキュリティ上の穴をボルトでふさぎ続けるようなセキュリティ対策に頭を悩ませることは今よりずっと少なくなるはずです。そうした『ボルトオン』ではなく、『ビルトイン』のセキュリティ対策は、OSレベルから製品を提供するマイクロソフトにしかできないことなのです」(花村氏)
世界最大級のサービサーでありユーザーであるマイクロソフトの強み
ECGは単なるセキュリティの営業部隊ではない。マイクロソフトが持つセキュリティのノウハウや知見を統合し、顧客企業のセキュリティの取り組みを支援していくことをミッションにしている。
そこで気になるのが、マイクロソフトではどのようなセキュリティ対策を実施しているかということ。ECGでテクノロジースペシャリストを務める山本明広氏は、マイクロソフトにおけるセキュリティの取り組みについて、こう説明する。
「世界的に見ても、マイクロソフトは最もサイバー攻撃の標的にされている企業の1つです。ですから、セキュリティインシデントレスポンス体制をグローバル規模で展開し、世界最大級のネットワーク網でマルウェア対策を実施しています。OS、アプリケーション、サーバ、ディレクトリサービスなどのインフラソフトウェアを開発していることから、他社にはないセキュリティ情報を蓄積していることも特徴です。セキュリティ情報や対策ノウハウは、セキュリティベンダーや各国政府機関にも提供しています。ECGでは、そのノウハウを企業顧客にも提供することで、企業のセキュリティ対策をより強固にすることを支援します」(山本氏)
マイクロソフトは世界最大級のサービス提供企業であり、かつユーザー企業でもある。Windowsデバイスは世界で10億台以上のユーザーが「Windows Update」を実施しており、「悪意のあるソフトウェアの削除ツール」からは毎月7000万件のレポートが報告され、無償で提供しているマルウェア対策ソフトウェア「Microsoft Security Essentials」のユーザーは数百万超、Windows 10/Windows Server 2016に標準搭載されている「Windows Defender」のユーザーは2億5千万超に達する。
検索エンジン「bing」では毎月180億超のWebページをスキャンし、メール保護の「Exchange Online Protection」では毎月350億超件のメールをスキャンする。また、企業向けに提供されるクラウドベースのディレクトリサービス「Microsoft Azure Active Directory」では毎月3000億件のユーザー認証を処理している。
ユーザー企業としての社内IT環境も巨大だ。世界100カ国超でビジネスを展開し、スタッフ数は15万人、管理デバイス数は60万台を超える。不正アクセスや詐欺メールの受信数も膨大で、2015年7〜12月におけるマルウェア検出数は200万件を超えたという(図1)。
この巨大なマイクロソフトのサービスと社内IT環境を守っているのがセキュリティ組織だ。マイクロソフトはECGの設立に併せて、セキュリティ組織を新設/再編している。また、セキュリティへの投資金額も、毎年1000億円以上になっているという。
現在、マイクロソフトのセキュリティ組織には、セキュリティオペレーションセンターの「Cyber Defense Operations Center(CDOC)」、セキュリティインシデント対策チームの「Security Response Center(MSRC)」、マルウェア対策の研究やサービス提供を行う「Malware Protection Center(MMPC)」、サイバー攻撃者を探索する「Cyber Hunting Teams」、パートナーや政府組織と連携して法的対応を行う「Digital Crimes Unit(DCU)」などがある(図2)。
こうしたセキュリティ組織で収集/蓄積された情報は、相関分析されて脅威インテリジェンスに反映される。相関分析にはマシンラーニングなどの最新技術を活用した「Intelligent Security Graph(インテリジェント セキュリティグラフ)」と呼ばれる新しい分析手法が用いられ、膨大なデータからこれまで見つけられなかった新しい相関の発見につなげる。
こうしたOSからアプリケーション、クラウド、モバイルに至るまでの幅広い製品ラインアップと、さまざまな機能を持ったセキュリティ組織、そして高度な脅威インテリジェンスから得られるノウハウや知見をECGが活用し、企業顧客のセキュリティ対策に役立てているのだ。
脅威に対抗するポイントは「Protect」「Detect」「Response」
企業向けのセキュリティ対策を考える上で注目されるのが、ECGとともに再編/新設されたCyber Defense Operations Center(CDOC)という組織の存在だ。CDOCは、マイクロソフトが提供するさまざまなクラウドサービスやマイクロソフトの社内IT環境について、24時間365日のモニタリングとセキュリティ運用を行うセンターである。
セキュリティオペレーションセンター(SOC)としての役割以外にも、研究機関の「Microsoft Research」や、マイクロソフト製品のセキュア開発を推進する部隊である「Security Development Lifecycle(SDL)」チームと連携しながら、研究開発からサービス提供に対するノウハウと知見を獲得する役割を持つ。花村氏はCDOCの特徴を、次のように説明する。
「セキュリティ対策では『防御力向上(Protect)』『検知分析(Detect)』『被害軽減/事後対応(Respond)』という、攻撃のフェーズに応じた対策が重要になります。マイクロソフトのCDOCの特徴は、世界規模でその3つの対策をリアルタイムで実施できることです。CDOCには、50名規模のセキュリティエキスパートとデータサイエンティストが常駐し、それが各国で活動する3500人超のセキュリティプロフェッショナルと連携します。それにより、顧客企業のIT環境を適切に、プロテクト、ディテクト、レスポンドできるのです」(花村氏)
最近、セキュリティ対策で特に重要視されているのが、「検知分析」や「被害軽減/事後対応」だ。これまではセキュリティソリューションを組み合わせ、「防御」を鉄壁にすることが重視されてきた。しかし、標的型攻撃のように、鉄壁と思える防御でも必ず“抜け道”が見つかってしまう。そこで、侵入されることを前提としたセキュリティ対策を講じることが必要になってきているのだという。
「セキュリティベンダーだからといって、セキュリティ対策が万全なわけではありません。マイクロソフトでも、外部からのマルウェアの侵入を許し、実際に感染したりもしています。CDOCなどの調査結果をまとめたレポート『マイクロソフト セキュリティ インテリジェンス レポート(SIR)』によると、2015年7〜12月の間では41件のマルウェアに感染していました。重要なのは、感染の事実をきちんと検知分析すること、そして、感染が広がらないように迅速に対応することです」(花村氏)
実際、CDOCなどから得た情報やノウハウは、ECGが提供するセキュリティレスポンスのサービスなどに活用され、素早い「検知分析」と「被害軽減/事後対応」に役立てられている。また、「事後対応」について興味深い取り組みとしては、Digital Crimes Unit(DCU)の存在も挙げられる。
DCUは、テクノロジーでは解決しにくい法的な問題に対応する、法律と技術の専門家チームだ。例えば、法執行機関や学術機関、政府機関、一般企業と連携して、ボットネットの強制停止などを行ったりする。ボットネットを発見した場合、ホストしているサービスプロバイダーに、警察などの法執行機関を通じて依頼を行い、ボットネットそのものをインターネットから遮断するわけだ。
このように、侵入した脅威を確実に検知し、素早く対応し、さらにボットネットなどのように脅威そのものを取り除くところまで含めてセキュリティに取り組んでいることがマイクロソフトの大きな強みなのだ。
セキュリティの取り組みを日常化するための「セキュリティ人間ドック」
では、ECGは、企業に対してどのようなサービスを提供しているのだろうか。マイクロソフトのセキュリティソリューションは、大きくエンタープライズセキュリティのスイート製品「Enterprise Mobility+Security(EMS)」と、「Office 365」で提供されるセキュリティ機能、そして「Windows OS」として提供されるセキュリティ機能の3つから考えることができる。
それぞれの製品やソリューションがカバーする範囲は広く、現在では、ネットワーク、サーバ、認証基盤、PC/モバイル、データ、運用管理のほとんどに対応。さらに、セキュリティアセスメントやインシデントレスポンスといったサービスメニューの提供も行っている。(図3)。
「マイクロソフトのセキュリティアセスメント」「マイクロソフトのセキュリティインシデントレスポンスサービス」などというと、意外に思われる方も多いのではないだろうか。実際、花村氏や山本氏が顧客企業にサービス内容の説明をすると、びっくりする担当者も多いのだという。
しかし、前述してきたセキュリティの取り組みを振り返ると、マイクロソフトにしか提供できない内容も多いことがお分かりいただけるはず。ここでは、そうしたユニークなサービスの1つとして「セキュリティ人間ドック(Persistent Advisory Detection Service:PADS)」を紹介しよう。
セキュリティ人間ドックは、既存のIT環境に潜在するセキュリティ脅威を検出し、検出された脅威に対する改善策を提供するサービスだ(図4)。「人間ドック」の言葉通り、あらかじめ日々の状況を把握しておくことで、セキュリティインシデントが発生した場合に、脅威を素早く検知分析し、被害を最小化することができる。
「米国のサイバーセキュリティの専門家チームが実際にお客さまの環境を精査し、事後対応にもあたります。データ収集期間は1カ月、最大5万台のデバイスを対象に5日間かけた調査分析を行います。弊社のグローバルな統計データやインテリジェンスを活用して、どんな対策を実施すべきかを具体的に提案します。企業の間で『事故が起こってからでは対策は難しい』という認識が広まりつつあり、好評のサービスの1つです」(山本氏)
セキュリティ人間ドックの国内提供は始まったばかりだが、顧客企業からの期待は大きいという。花村氏によると、その背景にあるのは、単にセキュリティを強化したいというだけでなく、セキュリティの取り組みと併せて、働き方改革も進めていきたいという企業ニーズだ。マイクロソフトは、Office製品やさまざまなクラウドサービスの提供を通じて、社員の生産性向上にも寄与し続けてきた。最近では、そうしたコンセプトを「Secure Productive Enterprise」という方法論として体系化している(図5)。
「セキュリティを強化し、社員の生産性も高める。そういった視点で、企業の取り組みを強力に支援していきたいと思っています」(花村氏)
関連記事
- “ID管理はクラウドで”という新潮流に乗ろう――セキュリティ対策だけに終わらせないAzure ADのホットな活用方法とは?
- マイクロソフトは「セキュリティ」「管理」「イノベーション」で企業のデジタルトランスフォーメーションを強力に支援
- 「プラットフォーム」「インテリジェンス」「パートナー」の3分野でセキュリティの取り組みを加速するマイクロソフト
- Windows 10/Windows Server 2016が最新のサイバー攻撃を防げるワケ
- クラウドのセキュリティ対策に新たな選択肢――Azureリソースを監視し、不適切な構成を「見える化」して対応を促すMicrosoft Azureセキュリティセンター
関連リンク
提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年3月10日
Copyright © ITmedia, Inc. All Rights Reserved.