ニュース
» 2015年05月14日 18時00分 UPDATE

複雑化した環境に応じた包括的な取り組みを:セキュリティの目的はプライバシーを保護すること、マイクロソフト担当者が語る

マイクロソフトは2015年5月13日、サイバーセキュリティに対する同社の取り組みに関する説明会を開催。クラウドやモバイルの浸透にともなって崩れた従来のモデルに代わり、「ユーザー」という新しい境界線を包括的に保護していくことが重要だと述べた。

[高橋睦美,@IT]

 マイクロソフトは2015年5月13日、サイバーセキュリティに対する同社の取り組みに関する説明会を開催した。

 米マイクロソフト ワールドワイドパブリックセクター チーフセキュリティオフィサーを務めるジェニファー・バーン氏は説明会の中で、今やサイバー犯罪は一大「産業」となっていると指摘。そして、こうしたサイバー犯罪や攻撃への対策は技術者だけの問題ではなく、企業経営者の課題でもあり、ひいては政府、国際機関など、さまざまなプレイヤーが協調して対処に取り組む必要があることをたびたび強調した。

mt_ms_jb.jpg 米マイクロソフトのチーフセキュリティオフィサーを務めるジェニファー・バーン氏

 米マイクロソフトがビル・ゲイツ氏の「機能追加よりもセキュリティを優先する」という鶴の一声(実際には社員向けのメールだが)をきっかけに、セキュリティを最優先課題に掲げるようになってから10年以上が経つ。この間IT技術は大いに進歩し、クラウドやモバイルといった新たな環境が普及した。これらのテクノロジーはユーザーの利便性を高め、生活の質を向上させた一方で、IT環境の複雑さを増すという課題も浮上した。

 「IT環境の複雑さが増していることが最大の課題だ。複雑さが増すことによって新たな脆弱性が露出している。この結果、セキュリティチームがまず何をすべきか、どの脆弱性から対処すべきかを判断し、優先順位を付けることが困難になっている」(バーン氏)

 同氏はまた、米Verizonのデータ侵害調査レポートを引き合いに出して、多くの侵害事件には「脆弱性や不適切な設定」「操作ミスなどユーザーの関与」「データが標的になっている」という共通点があると説明した。

包括的な取り組みの中、特にID管理とプライバシーに注力

 こうした状況を踏まえ、リスクと利便性、イノベーションと信頼性のバランスを取るには、包括的な取り組みが必要だという。

 これを噛み砕いた形で説明すると、従来のようにネットワークの境界を防御線とするのではなく、ユーザー自身を境界線と見なし、包括的にセキュリティを強化する必要があるということだ。「クラウドやモビリティの浸透によって従来のモデルは崩れた。ユーザーこそが新たな境界線だ」とバーン氏は述べ、その境界に対し、Windows OSやOffice 365をはじめとするクラウドサービスを通じて強固なセキュリティを提供していくとした。

 中でも注力する領域として「アイデンティティおよびアクセス管理」と「プライバシー」の2つがあるという。

 近年、大規模な情報漏えい事件や標的型攻撃がたびたび報じられているが、そこで鍵となるのが、認証に用いられるクレデンシャル情報の保護だ。バーン氏は、IDとパスワードはローカル環境だけでなく、クラウド環境でも必須の要素であり、それをいかにシームレスに保護するかがポイントになると説明した。「複数の環境にまたがって単一のIDを管理していくこと、それがどこにあろうとも、どのデバイスにおいても保護していくことが必要だ」(バーン氏)。

 バーン氏はまた「ある調査によると、一人のユーザーは平均6つのパスワードを用いており、その使い回しも大きな問題になっている。この解決にも取り組む」と述べ、Windows 10でサポート予定のユーザー認証仕様「FIDO」 などを活用し、他のテクノロジープロバイダーと協力しながら強固な認証テクノロジの実現に取り組むとした。

 もう1つ注目したいのが、プライバシーへの言及だ。「セキュリティの目的は、プライバシーを保護すること。セキュリティはプライバシー保障をコントロールする手段」(バーン氏)

 バーン氏は、「クラウド環境においては、プライバシーがますます重要になる。ユーザーに対して透明性を提供し、ユーザーのデータをユーザー自身がコントロールできるようにしていく」と述べ、先日、Office 365で強化した暗号化やアクセス制御は、それを実現する手段の一つだとした。この機能強化によって、「マイクロソフトがユーザーのデータに対しどの程度アクセスできるか」を顧客自身が制御できるようにしてデータの機密性を確保するとともに、そのアクセスログを確認できるようにし、透明性を確保していくという。

 なお、米マイクロソフトは2015年5月4日に、ユーザー自身が更新プログラム(パッチ)の適用タイミングを制御可能な新しいサービス「Windows Update for Business」を、Windows 10と共に提供する方針を発表している。

 バーン氏は具体的に名前を出してこのサービスに触れることはなかったが、「サイバー犯罪のペースに追いつき、かつ顧客の負担を減らす意味で、継続的にパッチを提供していくことが望ましい」と述べている。一方で、1月に発表した月例セキュリティ更新プログラムの一般向けの事前通知の終了については、「利用者が減少していることを踏まえたもの」とした。ただ、「今後も継続的に、適切な情報の提供に務めていく」という。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。