セキュリティに対する意識改革が求められる

このように、セキュリティに対する意識改革が求められる昨今だが、アイルランドのコンサルティング企業Accentureと米ポネモン研究所の共同研究結果、「積極的なセキュリティ戦略に取り組んでいる企業は53%の効果が現れるが、非積極的な企業は2パーセントの向上にとどまる」を引き合いに出し、他方で「技術革新と信頼に対する懸念のバランス」が求められるとByrne氏は説明する。

技術革新から得る利便性とリスクのバランスは、セキュリティ対策を考えるうえで重要ポイントとなる

冒頭から述べてきたように、クラウドやモバイルデバイスなど技術革新から生まれたIT技術の登場で、管理やセキュリティ対策が後手に回るケースは珍しくない。だからといって技術革新の導入に手をこまねいていると、企業成長に遅れが生じる可能性もある。だからこそByrne氏は、先の研究結果を引用してバランスの重要性を強調したのだろう。

その結果求められるのが、すべての環境に対して同等のセキュリティ対策を提供するソリューションだと結論づけた。例えば、データセンターの防御壁はルータやファイアウォールだったが、クラウドやモバイルデバイスの活用に伴い、過去のセキュリティ対策モデルは妥当ではない。そのためユーザーこそが新しい防御壁となり、個々のデバイスに対してファイアウォールなどと同じセキュリティ対策が求められるという。

従来はネットワークを防御壁と見なしていたが、現在はモバイルデバイスにもセキュリティ対策が求められるため、防御壁は"ユーザー"に変わりつつある

ここでByrne氏は、Microsoftとセキュリティに関する過去を振り返った。2000年当時のインターネット利用者は3.89億人まで増加し、当時のマルウェアは世界中に広まるまでに1日を要しなかった。その結果セキュリティに対する概念が変化し、それまでのウイルス対策ツールのパターンファイル更新では追いつかなくなったという。Microsoft創業者であるBill Gates氏は「世界中のデスクトップにPCを」という構想を持っていたため、後の「TwC(Trustworthy Computing: 信頼できるコンピューティング)」につながったそうだ。

2002年当時、Microsoftの主力製品による売り上げは240億ドル(約2.88兆円)に及んでいた(具体的な製品名を述べなかったが、当時はWindows XP Service Pack 1をリリースしていた)。TwC構想の下、開発を中断してセキュリティ対策に取り組んだのはMicrosoftの歴史を知るユーザーであれば有名な話である。その結果リリースしたのが、「セキュリティ強化機能搭載」のサブタイトルを持つWindows XP Service Pack 2だ。

Microsoftとセキュリティ対策の歴史

Microsoftが考えるセキュリティ対策の取り組み

このような取り組みは現在に至るまで続けており、他社ともソフトウェアの脆弱性情報やマルウェア対策情報を共有。その結果をWindowsやクラウドなど各製品に反映させている。Microsoftはセキュリティ対策に必要な取り組みとして5つのポイントを掲げた。それが上図のスライドである。

Byrne氏は利用者のIT基盤やデータを保護するために、データセンターだけではなくデバイスやクラウド、データを利用するすべての環境をターゲットにしなければならないと説明した。前述した防御壁の変化につながるポイントだ。ID管理システムの脆弱性を狙った認証情報の盗取を妨げるため、管理を強固にするのは重要ながらも容易ではないと続けて説明。システム基盤全体を見据えたうえで、IDやデータを一括管理する仕組みが求められるという。

そして透明性を実現するためにプライバシーと法令遵守の保証についても言及した。以前のクラウドはブラックボックス的な扱いを受けてきたが、Microsoftは技術的・物理的な透明性が必要だと考えているという。同社は以前からMicrosoft Azureに対する透明性を重要視し、事あるごとにアピールしてきたが、Byrne氏は「この透明性を保証することで顧客と信頼関係を結べる」とその意味を説明した。

一連の会見はここで終了したが、Q&Aセッションに入ると、セキュリティ更新プログラムの事前通知サービス(ANS)に関する質問が挙がった。同サービスは2015年1月に停止し、現在はプレミアサポートを利用する顧客や関係組織に限定している。その理由としてByrne氏は「ANSの参照回数は非常に少ないため、停止に至った」という。同席した日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏も、詳細情報まで確認するユーザーは少ないと筆者に語っていた。

日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏

なお、Windows 10に関する質問も挙がったが、Byrne氏は言及を避けてFIDOアライアンスの生体認証サポートにとどめていた。Microsoftは以前から国際レベルでサイバー犯罪を調査し、各国の政府機関と連携するDCU(Digital Crimes Unit)を運営している。今回説明した同社のセキュリティ対策姿勢やDCUの活動が、サイバー犯罪の減少につながることを強く期待したい。

阿久津良和(Cactus)