Do more with lessはセキュリティでも 産学官民それぞれの意見は

日本マイクロソフトのイベント「Security Forum 2023 Online」において、産学官民それぞれのセキュリティに対する意見が示された。巧妙化するサイバー攻撃に日本はどのように立ち向かっていくのか。

[大河原克行，ITmedia]

　日本マイクロソフトは2023年3月7日、サイバーセキュリティをテーマにしたオンラインイベント「Security Forum 2023 Online」を開催した。同社は同イベントでID管理や端末管理、クラウドセキュリティ、運用の自動化といったセキュリティソリューションを紹介し、「新たなセキュリティの姿」を示した。

　本稿は同イベントの基調講演「社会全体のサイバーハイジーンをめざして」を紹介する。

Microsoftが示す「セキュリティへの姿勢」　守りのための武器は

河野省二氏

　日本マイクロソフトの河野省二氏（技術統括室　チーフセキュリティオフィサー）は講演の冒頭で「新型コロナウイルス感染症（COVID-19）という脅威の中で、私たちはウイルスを人にうつさずに生活できる社会を目指している。サイバー空間も同様で、ウイルスを使ったさまざまな攻撃が仕掛けられても影響を受けない環境を作ることが大切だ。脅威インテリジェンスでサイバー攻撃の影響を受けないための知見を集約し、これを幅広く共有することで脆弱（ぜいじゃく）性をなくし、許容できるようにするサイバーハイジーンを作る必要がある。これは感染症対策と同じことだ」とセキュリティの重要性を示した。

　日本政府は2月1日から3月18日までを「サイバーセキュリティ月間」に定めていて、産学官民がサイバーセキュリティに関してさまざまな取り組みを実施している。Security Forum 2023 Onlineもその一つだ。

アンドリュー・コンウェイ氏

　Microsoftのアンドリュー・コンウェイ氏（セキュリティマーケティング　バイスプレジデント）は講演を「Microsoftはセキュリティをチームスポーツだと考えている。皆が一緒になって守ることが大切だ」と切り出し、「サイバー攻撃は高度になっている。コンプライアンス規制は毎日200以上が新たに生み出されより複雑になっている。CISO（最高情報セキュリティ責任者）が攻撃対象にしなければないものはIoT（モノのインターネット）の増加で3倍に増えた。産業制御機器では緊急度が高い脆弱性が78％も増加している。サイバーセキュリティを取り巻く環境は複雑化している」と指摘した。

　Microsoftは毎日65兆の脅威シグナルを分析しており、その結果、パスワードベースの攻撃が2倍に増加していることや毎秒1287回の攻撃が行われていること、フィッシングメールで侵害された際にデータが搾取されるまでの時間が75分以下であることなどが分かっている。

　「強力な認証が必要で、『パスワードレス』が効果的だ。パスワードを好んでいるのは攻撃者だけだ。また、脅威を検知するスピードも重要で、自動化による対策が有効だろう。基本的なセキュリティハイジーンへの取り組みで98％の攻撃を防げる。セキュリティハイジーンの実現に向けて最新のパッチを適用し、多要素認証やアイデンティティーを強固に守り、最小特権アクセスでデータ中心のアプローチに変えてパスワードから卒業することが大切だ」（コンウェイ氏）

　同氏はウクライナ情勢に関しても政府機関や非政府組織、民間企業の防御を支援しているとしながら「国家によるサイバー攻撃が増えている。過去6カ月間、日本はAPAC（アジア太平洋）の中で3番目に多くの攻撃を受けた。最も多いのが北朝鮮からの攻撃だ。教育や交通、メディア、政府が狙われている」と警鐘を鳴らす。

APACにおけるサイバー攻撃を示した図（出典：日本マイクロソフト提供資料）

　これらに対応するためにも、Microsoftはセキュリティ分野に多額の投資を行っており、コンウェイ氏は「Microsoftはセキュリティベンダーの最大手だ」とした。

　「保有するデータ量やコンピューティング資源がサイバーキュリティを高度なものにする。Microsoftはサイバーセキュリティの研究開発に200億ドルを投資し、120カ国で86万の組織を守っている。また、サイバー犯罪組織を監視し年間100億件の攻撃を未然に防いでいる。ユーザー企業は時に特定の事業者から70以上の異なるセキュリティソリューションを利用している場合があるが、これでは迅速な検知や自動化はできない。なぜなら複雑さはセキュリティの敵だからだ。われわれは50のセキュリティカテゴリーを統合し包括的なセキュリティソリューションを提供している。Microsoft製品だけでなく『Mac』『Android』『AWS』（Amazon Web Services）、『GCP』（Google Cloud Platform）などもサポートしている」（コンウェイ氏）

　「Microsoft Defenfer」は脅威インテリジェンスやエンドポイント保護、EDR、メールセキュリティ、IDセキュリティ、IoTやOTのセキュリティなどを提供していて、コンウェイ氏はこれについて「脅威からの保護やセキュリティ運用のために包括的な製品に成長している」と解説した。

　さらに、「Microsoft Sentinel」はクラウドネイティブのSIEMソリューションとして「XDR」（Extended Detection and Response）との連携が特徴であり、「Microsoft Entra」はアイデンティ管理の新たなブランドとして展開していると説明した。また、デバイス管理には「Microsoft Intune」が最適であり、「Microsoft Purview」ではインフォメーションプロテクトソリューションやリスクマネジメントソリューション、インサイダーリスクソリューション、コンプライアンスソリューションを統合しているとアピールした

　「セキュリティソリューションをよりよく統合すれば負荷が減少する。ユーザーはベンダーを選択し簡素化することが重要だ。シンプルさがサイバーセキュリティの未来にとって重要になる」と語り講演のパートを終えた。

Microsoftの「Do more with less」はセキュリティ面でも重要な意味を持つ

　河野氏はMicrosoftが掲げる企業方針「Do more with less」について、「Microsoftは企業がより少ないリソースでより多くのことをできるように支援していく。サイバーセキュリティにおいても同様で、セキュリティ対策はやらなければならないことが多くカバーしきれない場合もある。それをMicrosoftがカバーする」と述べた。

　内閣サイバーセキュリティセンター（NISC）と情報処理推進機構（IPA）はサイバーセキュリティ対策9カ条で具体的な対策方法を示している。河野氏はこの中から「パスワードは長く複雑にして使いまわさないようにしよう」「多要素認証を利用しよう」の2つに注目し「長く複雑なパスワードを設定しなおかつ使いまわさないのは大変だが、多要素認証であれば短いパスワードで済む。使いまわしても安心して利用できる。これはDo more with lessの実現に重要だ。多要素認証に対応しないサービスに対してはID連携で解決できる。1つのIDで複数のサービスを安全に利用できる。クラウドサービスごとではなく1つのID管理に集約して利用でき、AWSや「Microsoft Azure」、Google Cloudの他、1万6000以上のアプリもIDaaS（Identity as a Service）で管理できる」と述べた。

IDaaSにおけるエコシステム（出典：日本マイクロソフト提供資料）

　サイバーセキュリティ対策9カ条はランサムウェア対策に対して「大切な情報は失う前にバックアップしよう」としており、これについては河野氏は「事業継続を考えた場合、バックアップよりもレストアの方法と時間が大切だ」と指摘し「クラウドストレージを利用すれば全てのファイルを管理でき、個人やファイルごとのリストアが可能だ。『OneDrive』であれば、自動的にバージョン管理を行いファイルをモニタリングし、ランサムウェアに感染している可能性を警告する。また、デバイスをクリーンアップやファイルの復元も容易にできる」と解説した。

サイバーセキュリティ対策9カ条（出典：日本マイクロソフト提供資料）

　さらに同氏は「インシデントが発生すると対応費用が発生しビジネスが停止する。まずは予防の部分に力を注いでほしい。それがサイバーハイジーンだ。事故を未然に防ぐためには脆弱性をなくすことだ」と続けた。

　しばしば情報システム部門やセキュリティ部門は脆弱性がないことを確認する「脆弱性管理」に追われており、この点について河野氏は「多くの企業において『資産を管理できていない』という課題があり、その登録作業だけで時間がかかる。『Microsoft 365』のDefenderダッシュボードでは脆弱性の有無を容易に確認できリモートで処理できる。また資産管理はMicrosoft Intuneの利用で実現でき、PCが停止していてもクラウドを通じて安全性を維持できる」と語った。

　監査やコンプライアへの対応には「Microsoft Defender for Cloud」の活用で時間を短縮でき、向上ポスチャー管理についてもシステムやデータの状況をリアルタイムに確認し必要に応じて即時に修正できるとを示した。

　「情報システム部門やセキュリティ部門は『Microsoft Graph』『Sentinel』、Defender for Cloudの利用でシームレスに全体管理を行い信頼性を高められる」（河野氏）

　「セキュリティのDo more with lessはサイバーハイジーンの実現と対策状況の常時把握で実現できる。従業員はセキュリティを意識せず業務に集中でき、生産性を高められる。データを統合すれば迅速なコミュニケーションが可能になる。ITは人が楽になるために存在しており、ITのために人が苦労してはいけない」（河野氏）

セキュリティのDo more with less（出典：日本マイクロソフト提供資料）

平井卓也氏

　自由民主党の平井卓也氏（デジタル社会推進本部本部長 衆議院議員）も講演に登壇し、セキュリティについて「セキュリティは社会インフラとセットで考えるべきだ。情報共有はサイバーセキュリティの肝であり、できるだけ多くのデータを活用して対策を考えなければならない。日本においては『反撃を行うアクティブサイバーディフェンスをどうするのか』『リーガルハッキングの際に不正アクセス禁止法に抵触せずに活動を守れるのか』などの議論も必要だ。今後、迅速にさまざまなことに取り組む必要がある」と見解を述べた。

　「日本は世界デジタル競争力ランキングにおいて63の国と地域で29位だ。データ利活用の領域では最下位の項目もある。もはや失うものがない中での挑戦といえる。政府も腹をくくってデジタル化を進める」（平井氏）

吉川徹志氏

　NISCの吉川徹志氏（副センター長　内閣審議官）も講演の中で「日本でもサイバー攻撃によって深刻な被害が増加している。サイバー空間はあらゆる国民が参加する公共空間であることから、サイバーセキュリティが全ての人にとっての課題になっている。誰も取り残さないサイバーセキュリティ（Cybersecurity for All）が求められている」と発言した。

　「2021年9月にまとめた最新のサイバーセキュリティ戦略では、DX（デジタルトランスフォーメーション）とサイバーセキュリティの同時推進や安全保障の観点からの取り組み強化、公共空間化と相互連関、連鎖が進展するサイバー空間全体を俯瞰した安全、安心の確保が柱になっている。子供や高齢者のリテラシー対策、クラウドサービス事業者などとの連携強化、ナショナルサート機能の強化、経済安全保障上の優先度向上を戦略に盛り込み、脅威対象国に中国、ロシア、北朝鮮の3国を明示した。政府機関のセキュリティ強化や重要インフラのセキュリティ強化、地域や中小企業などのサイバーセキュリティ強化に向けた促進策、支援策に取り組む」（吉川氏）

　経済産業省は企業経営者を対象にしたサイバーセキュリティ経営ガイドラインを策定しており、吉川氏は経営者が認識すべき3原則や経営者が情報セキュリティ責任者に指示すべき10の重要事項をまとめたことなどを紹介した。また、NISCは経営トップに向けて動画などで啓発活動を行っているとした。

　「サイバー攻撃による被害は当たり前のことをやっていれば防げる物も多い。当たり前のことをやってもらうために啓発活動を行うことが大切だ。サイバーセキュリティ月間では対策9か条を示している。若年層から高齢者まで幅広い人たちが利用するサイバー空間を守っていく必要がある」（吉川氏）