中堅・中小企業だからこそ考えたい、目の前にあるPCのアップデートから始めるセキュリティ対策:デジタル化の取り組みと同時にセキュリティ強化を
企業にとってセキュリティ対策は必須だが、中堅・中小企業では「人」や「予算」の都合で進められず、手薄なままの場合もある。そこで、セキュリティ対策への投資が難しい場合に見直したいのがOSだ。Windowsには高度なセキュリティ機能が標準搭載されているので、これを活用しない手はない。セキュリティ対策見直しの“第一歩”を最新の「Windows 11」から始めてみよう。
変わる働き方、増えるセキュリティ脅威との接点
オフィスに出社し、ファイアウォールをはじめとするセキュリティ製品で守られたネットワーク環境で、さまざまなセキュリティ対策を導入したPCを用いて業務を行う――。そんなスタイルはこの数年でがらりと変化した。周知の通り、コロナ禍をきっかけに、テレワークやハイブリッドワークを実践する企業、部署が増加したのだ。
従業員が働く場所は、これまでのように、何らかのセキュリティ製品によって守られた環境ばかりではなくなった。働き場所が職場に限定されていたときは、セキュリティ対策についても職場のことだけを考えればよかったが、テレワークになると職場以外の自宅やコワーキングスペース、カフェなどに広がり、BYOD(Bring Your Own Device)のように、個人の端末を業務に利用する場面も増えた。結果としてセキュリティ脅威との接点も増えている。
こうした状況を踏まえ、日本マイクロソフトの春日井良隆氏(モダンワークビジネス本部 プロダクトマーケティングマネージャー)は、「果たして、これまでのセキュリティ対策の考え方で大丈夫なのかどうか、働き方の変化を踏まえてセキュリティ対策を見直す必要があるでしょう」と指摘する。
中堅・中小企業にとってもサイバー攻撃は「自分事」
もちろんそうしたリスクを意識し、「ゼロトラストセキュリティ」といったキーワードに代表される新たなセキュリティ対策に取り組む動きも、一部の大企業を中心に始まっている。「社内ネットワーク内部なら安全だ」「一度認証されたユーザーやデバイスは信用できる」と判断するのではなく、アクセスごとにセキュリティを確認するという考え方に基づき、頻度が高い認証と厳しい権限管理を適用するのがゼロトラストセキュリティだが、日本企業の大多数にとっては「絵に描いた餅」であり、自分たちには無縁のものと思われがちだ。
その背景には、中堅・中小企業を中心に、サイバー攻撃を自分たちとは無縁の「人ごと」と見なす風潮もあるだろう。だが最近は、規模の大小を問わず、また都市圏に限らず全国各地でさまざまな企業がサイバー攻撃に遭い、大きな影響を受けているのが現実だ。
サイバー攻撃者の視点からすれば、対策が手薄な中堅・中小企業は、堅牢(けんろう)な対策を実施している大企業に侵入するための「踏み台」として格好の標的になる。堅牢な大企業に直接侵入するのは困難でも、取引のある中堅・中小企業に侵入してそこから取引先の大企業への侵入を図ることで大きな「利益」が得られる。その結果、中堅・中小企業でも、自社の仕事に不可欠なデータやシステムを暗号化されて業務が回せなくなるだけでなく、取引先や納品先にまで影響を及ぼしてしまったケースも報じられており、決して人ごととはいえない状況になっている。
なお、大企業においても、4割弱の企業がサイバー攻撃を受ける危険性があるという日本経済新聞の調査結果がある。これは米国主要500社よりも高く、世界的に見れば大企業であっても日本のセキュリティ対策は立ち遅れているといえるだろう。
「自社が明日、あるいは明日どころか1時間後に攻撃されてもおかしくないという危機感を持ち、自分事としてセキュリティ対策を進めることが必要でしょう」(春日井氏)
ただ、そこには厳しい現実が立ちふさがっている。「人」と「お金」の問題だ。日本マイクロソフトの藤原麻子氏(セキュリティビジネス本部 プロダクトマーケティングマネージャー)は次のように話す。
「IPA(情報処理推進機構)の2021年度『中小企業における情報セキュリティ対策の実態調査』においても、セキュリティ対策に着手できない大きな理由として『人材不足』と『資金不足』が挙げられています」
ただ、それでもやはり最低限の投資は必要となるだろう。サイバー攻撃に遭うことで、事業を継続すること自体が困難となってしまっては元も子もない。
「セキュリティ対策は自動車の任意保険に似ています。もし、任意保険に入らずに自動車を運転し、事故に遭ってしまったらどうでしょうか?企業におけるセキュリティ対策とは、その企業規模にかかわらず、重要な経営判断の一つとして捉えるべきです」(春日井氏)
いきなり多額な投資は不要、まず目の前のOSとPCでできるセキュリティ強化策
とはいえ、いきなりあれもこれも投資するのは難しい。そんなときに見直したいのが、目の前で動いているOSだ。セキュリティ対策といえば、高価なアプライアンスや運用が難しい専用ソフトウェア製品を導入しなければ実現できないもの、というイメージを持つかもしれないが、実は、Windows OS自体がその第一歩となる。
Windows搭載PCは、ほぼ全ての企業で、普段のメールのやりとりをはじめ、文書やプレゼンテーションの作成、スプレッドシートでの処理など、日々の業務に活用されている。それだけにサイバー攻撃者も狙いを付けやすく、脆弱(ぜいじゃく)性などを悪用して攻撃を試みてきたが、その対策の1つとして、MicrosoftではWindowsそのもののセキュリティ機能を高めてきた。
「Windows 11」はそうした取り組みの積み重ねの上に登場した最新のOSだ。「Windows 11は、ハイブリッドワークを念頭においてデザインされました。そのための生産性やコラボレーションの機能の向上はもちろん、セキュリティ対策を高めることにも注力しています」(春日井氏)
Windows 11のセキュリティ面のポイントは2つ。1つはゼロトラストセキュリティの入り口となる点だ。最近は利用者が使うデバイスをネットワークにつながっている端末として「エンドポイント」と言い表すことが多いが、そのエンドポイントのIDの管理に始まり、業務で利用するクラウドサービス、デバイス管理、エンドポイントの仮想化といったエンドポイントのモダン化の流れの中で関連する機能とWindows 11のセキュリティ機能とが連携しており、ゼロトラストへの第一歩となっている。
2つ目はID、OS、ハードウェア/ファームウェアを分離し、それぞれのレイヤーでの保護をしている「ハードウェア分離」だ。後述するTPMでは、データの暗号化をするためのキーの生成をしているが、Windowsや他のハードウェアから独立して機能するため、外部からの攻撃にも強いという特性がある。2022年9月21日から利用可能になったWindows 11 2022 Updateでは、Microsoft Defender SmartScreenの強化やSmart App コントロールなど、セキュリティ機能がさらに強化されている。
Windows 11 2022 Updateでは、まず「Microsoft Defender SmartScreen」が強化され、フィッシングサイトにアクセスして認証情報を入力しようとすると、それを検知してブロックするようになる。また、「Smart App コントロール」では、アプリケーションの署名を検証し、偽のアプリケーション、不正なアプリケーションが動作しようとするとアラートを表示してブロックし、信頼できるアプリケーションだけが動作するようにするため、いわゆる「野良アプリ」の動作を防ぐことができる。また、あらかじめ定めたポリシーに反してレジストリが操作されようとするとそれを検出し、社員が勝手にレジストリを書き替えることをブロックする「構成ロック」もIntuneとの連動で可能になる。
ハードウェア分離の進化といえるのが「Pluton Processor」との連携だ。近年、OSよりも下のレイヤーのファームウェアを狙った攻撃が増加している。OS上で動作するセキュリティソフトウェアでは検出、防御ができないことを見越した手法だ。これに対し、Microsoftが主要なチップメーカーと協力して開発した「TPM(Trusted Platform Module)」を組み込んだセキュリティプロセッサ「Pluton」を組み合わせることで、Windows 11で実装されたハードウェア分離をより強固にし、OS起動前のファームウェアレベルでの改ざんを検知し、この種の高度な攻撃を防ぐことができるようになる。
「Microsoftでは、CPUなどのチップからファームウェア、OS、そしてクラウドに至る各レイヤーのセキュリティ機能で攻撃を防ぐ『Chip to Cloud』によって、ユーザーを守っています。それを体現しているのが『Secured-Core PC』です」(春日井氏)
Windowsには、「Microsoft Defender ウイルス対策」をはじめ、「Microsoft Defender ファイアウォール」「Microsoft Defender Device Guard」、EDR(Endpoint Detection and Response)の「Microsoft Defender for Endpoint」といったさまざまなセキュリティ対策機能が包括的に実装されている。
「しかも、後からインストールするのではなく、WindowsというOSに標準で組み込まれていることもポイントです。サイバー攻撃への耐性が高まるだけでなく、OSやデバイスへの負荷が低いので、挙動が遅くなったり、おかしくなったりすることもありません。さらに、別途ソフトウェアを展開したり、管理したりする必要がないので、運用に多くのリソースを割けない企業にとっては有効です。運用管理やメンテナンスの手間を省けることも、特に中堅・中小企業にとっては大きなメリットになります」(藤原氏)
このように、Windows11は単体としてのセキュリティが強化されているが、企業が使うには管理や運用性のことを考慮しなければならない。そこで、Windows11を「Microsoft 365」と連携させたり、「Microsoft Defender for Business」を追加したりすることで、まとめて管理することの利便性を上げることができる。
「Microsoft 365と連携させることで、例えば『Azure Active Directory』(Azure AD)でIDを管理させ、『Microsoft Intune』にデバイス管理を任せるといった仕組みが作れます。Intuneでは、Windows以外のiOSやAndroidのデバイスも管理できるので、BYODにも向いています」(春日井氏)
Microsoft Defender for Businessは脅威の防御だけでなく、サイバー攻撃が狙う脆弱性の管理に始まり、防御の網をすり抜けてきた脅威の検知、自動修復に至るまで、サイバーセキュリティフレームワークに基づく一連のプロセスをカバーする。
「近年はセキュリティだけでなく、コンプライアンスやプライバシーといった領域の適切な管理も求められており、Microsoftの大企業向けセキュリティではそれらを網羅的にサポートしています。このようなMicrosoftのノウハウを生かし、脅威防御だけではなく脆弱性管理や自動修復も含めてサポートします。分かりやすいGUIが提供されているので、セキュリティ知識を持った管理者がいない環境でも運用でき、かつ自動的に修復まで行える点は中小企業のIT・セキュリティ管理者にとっては大きなサポートになると考えています」(藤原氏)
「どこから始めればいいのか……」という不安に応えるコンテンツも用意
ただ、やはり先立つものと人がなければセキュリティ製品の導入は困難なことも事実だ。そこでMicrosoftでは、Microsoft Defender for Businessを戦略的な価格で提供するとともに、効果的に導入できるナレッジを提供することで、中堅・中小企業のセキュリティ対策を支援する。
例えば、Microsoft 365を活用したテレワークの実現に必要な情報を網羅したWebサイト「リモートワークならMicrosoft 365」には、セキュアなテレワークのナレッジをまとめたコンテンツやトレーニング、動画も用意されており、「どこから始めればいいのか」を学ぶことができる(下記「関連リンク」参照)。
さらに深く知りたい担当者向けには、「365塾」や「リモートワークの問題解決ウェビナー」などのウェビナーも用意されている他、相談窓口の「日本全国 中堅・中小企業ITよろず相談センター」も設けられており、無理なくスキルアップを図ることができる。
予算面で手助けになりそうなのは、各種補助金の情報だ。「中堅・中小企業のデジタル化やテレワークを促進するために各自治体が用意している補助金制度を確認し、自社の状況に合わせて取り入れることで、セキュリティ対策とデジタル化の両輪を推進できます」(藤原氏)
「デジタル化、DX(デジタルトランスフォーメーション)を通して生産性や効率を上げ、経営を改善していく取り組みと同時にセキュリティにも踏み込むことで、安心して会社が成長できるはずです」(春日井氏)
そこにはやはり、最新のデバイスと最新のOSという、切れ味がより鋭く、より便利な「道具」があれば、ものをいう。
「ハードウェアが楽しく、かつ快適に動作すれば、生産性の向上につながります。しかも、それほど手間をかけることなくセキュリティも強固なものになります」(春日井氏)
テレワークやハイブリッドワーク、デジタル化によって働き方がアップデートされた現在、性能の進化に伴い、スマートフォンを買い換えてOSをアップデートするのと同じように、仕事の環境もアップデートすることを考えるべきときが来ているのではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年11月11日