 |
 |
記事検索 |
イベントレポート |
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
Microsoftのセキュリティ総責任者が語るネットワーク防御体制 |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
東京ビッグサイトで開催されているセキュリティ関連イベント「情報セキュリティEXPO」では8日、キーノートセッションが行なわれ、米Microsoftでネットワークセキュリティディレクターを務めるロビン・ムーア氏、そして先月まで経済産業省の情報セキュリティ政策室の課長補佐を勤め、この7月より内閣官房情報セキュリティ対策推進室の参事官補佐に異動になった山崎琢矢氏が講演を行なった。 ● Microsoftの社内ネットにおけるセキュリティ確保の様子
まずムーア氏は、「現在Microsoftには世界中で約57,000人の社員がいて、そこに接続されるクライアントは約30万台、データセンターに設置されるサーバーだけで約6,000台に上る」「メールサーバーもExchange Serverが110台、うちMailbox Serverが36台あり、1日に処理するメールの量は約600~700万通にもなる」などとそのネットワークの巨大さを語った。また、「ネットワークへの侵入を試みたり、ポートスキャンを行なってくる回数も月10万回を超えるほか、さきほど述べた約600~700万通のメールのうち500万通ぐらいはスパム、もしくはウイルスメールとしてフィルタリングしなくてはならない」と述べ、Microsoftのネットワークが常に攻撃にさらされていることを明らかにした。 ムーア氏の管轄範囲は「MSN部門ならびにインターネットに直結しているホストを除く全ての社内のマシン」ということだが、その中で実際にドメインスキャニング等の方法で一括管理ができているのはワークステーション(約21万台)とサーバー類(約9,000台)であり、残りの約8万台(ラボや開発部門等で使われているものが多い)はIPsec接続などを利用した個別管理という形になっているそうだ。 Microsoftでは社内システムのビジョン(ムーア氏は「契約と言い換えてもいい」と述べた)として「Availability、Privacy、Securityの3つを暗黙のうちに提供する」ことが定められており、この3要素についてはそれぞれデータセンターのサーバーレベルでスコアを付け「いずれも99.999%のスコアを達成できることを確保する」よう努めているという。またユーザー認証については基本はIDとパスワードによる「Single Factor Authentication」となっているものの、Administrator権限など一部のリスクの高いアカウントについてはさらにスマートカードとPIN番号を利用した認証をあわせて行なうダブル認証を導入しているほか、ユーザー権限についても「必要とされる最小限度の権限しか与えない『最小権限の原則』を維持している」と語った。 ムーア氏は「セキュリティはまず上層部から始まる」と、経営層がセキュリティに対する問題意識を常に持つことが重要であると述べた上で、最近の事例を紹介した。それはMicrosoftのあるセキュリティ部門のエンジニアが、社員の中にセキュリティパッチの適用やウイルス対策ソフトのアップデートを行ないたがらない人が多いという不満をスティーブ・バルマーCEOにメールしたところ、バルマー氏はそれを読んですぐに全社員に「あなたの仕事はセキュリティ(を確保すること)である」として即パッチの適用等の作業を行なうよう厳命したという話。 これ以外にも、Microsoftでは定期的に各ビジネスユニットのトップの人間と、ムーア氏率いるセキュリティ部門の人間が会議を行ない、セキュリティ部門による「侵入可能性」の評価とビジネスユニット側による「それによるビジネスへの影響」の評価を総合してリスクモデルを構築し、その上でリスクを最小限に抑えるといった方式が取られているとのこと。 その他、Microsoftにとって「最も重要な資産」であるソースコードについては「ソースコードを保存するストレージに多層防御の概念を導入している」ほか、「セキュリティ機能を製品に組み込めないか常に検討している」など、さまざまな取り組みを行なっている様子を披露していた。またムーア氏は「各国の法令の遵守にも努力している」ほか、Corporate Security GroupとしてMicrosoftの法務部門や人事部門とも協力して作業を進めているとも述べ、これらの部門の協力がセキュリティの確保には重要であることも訴えていた。 ● 総論賛成だが各論は問題が山積するセキュリティ体制整備
山崎氏は、「情報セキュリティへの関心は確かに高まってきており『総論賛成』の状態だが、現段階ではまだサプライヤー主導の動きが目立ち、各論部分に入ると対策や投資はおぼつかない状況だ」と述べたほか、「霞ヶ関のセキュリティは(民間と比べて)決してしっかりしているとは言えない」「(電気・ガスなどの)重要インフラの人たちは『重要なシステムはインターネットと切り離して運用しているから大丈夫』といつも繰り返すが、今や情報システムも企業において不可欠な存在であり、それらも含めたシステム全体を守らなくてはならない」と語り、実際のセキュリティを確保するための動きはまだまだ不十分であると訴えた。 昨今話題の個人情報漏洩問題に関しては、「確かに情報漏洩は問題だし対策すべきだが、あまりセンセーショナルに騒ぎすぎると、逆に『基本4情報が漏れたところでどうってことない』と世論が反対に振れてしまう可能性もあり、そうなると企業の姿勢もしぼんでしまう」と述べ、個人情報を守る体制作りを一時の流行で終わらせずに、着実に社会システムとして体制を整える必要があるとの見解を示した。また「セキュリティのための体制作りは企業にとってコスト要因であり、中にはやりたがらない企業も多いが、日本は技術立国でこれまで来た国である以上、セキュリティをしっかりすることは日本の国益にもかなう」と述べ、社会基盤としてのセキュリティの重要性について熱弁を振るった。 とはいえ、実際にセキュリティ確保のための動きを行なおうとすると、問題はいろいろ存在する。まず山崎氏が挙げたのが「パッチの適用によりシステムが止まってしまう」という、いわゆる副作用問題。これについては経産省で実際に企業にアンケートを取ったところ、過去にパッチが原因でシステムが止まったことがあると答えた企業がほとんどだったことを明らかにした上で、「パッチを当ててシステムが問題なく動くかどうか検証するのには最低2~3週間はかかるという回答が多かったが、昨今の脆弱性情報とウイルスの動向を見ているとその間にも攻撃が来る可能性があり、そうなったらひとたまりもない」と語り、「事故を起こさないに越したことはないが、万が一事故が起こった場合の事業継続計画を普段から検討しておく必要があるのではないか」と述べた。 またセキュリティ体制の整備についても、「これまではJIS X 5080などの形で最終的なゴールを示すことに取り組んできたが、今後はそのゴールに向かうまでに必要な途中の段階を示す必要があるのではないか」と述べ、今後経産省や内閣官房などでも「これまでより一歩踏み込んだ対応」を行なっていきたいとの考えを示した。「従来のセキュリティ基準は欧米型のトップダウンアプローチを前提としたものが多いが、今後は日本型の経営手法に合わせた基準作りも必要になってくるのではないか」とも語った。 一方、「(セキュリティ基準に)強制力を持たせないと一般の企業は体制を整備しない」との意見には「私は日本を信じたい」としてあくまで自発的な体制整備に期待するとしながらも、今後は有価証券報告書にセキュリティ体制の整備状況を記載させる、政府調達基準の一部にセキュリティ体制の整備を含めるなど、一定の強制力を持たせる方向も検討せざるを得ないとの認識を示した。 政府側の体制作りについては、「重要インフラに水道や医療といった分野が入っていないといった問題がある」「現在重点インフラとなっている電気・ガスなど7分野についても、どうしても従来の業法による指導の範囲から抜け切れない部分がある」として、今後内閣官房が全体を見渡したコーディネート機能をどう発揮していくかが問題だとの認識を示し、それに向けて既存の組織との連携を強化して「無駄な投資をしない」ことを目指すと語った。 山崎氏が今度異動になった内閣官房といえば、情報セキュリティ補佐官として奈良先端大の山口英教授が登用されたことで先日話題になったが、山崎氏は講演の冒頭で「実は山口先生はほぼ常勤になっていて、週のうち4日は(情報セキュリティ対策推進室の)部屋に詰めており『久々に大部屋で仕事すると大変』と言っている」と語り、「今や山口先生は政府の一員で心強い」と語っていた。 関連情報 ■URL 情報セキュリティEXPO http://www.reedexpo.co.jp/i-security/
( 松林庵洋風 )
- ページの先頭へ-
|
