MSの鉄則は「例外なし」
Microsoftのセキュリティに対する考え方で重視しているのは「多層防御」だ。例えばファイアウォールの堅牢化といったシングルポイントではなく、すべてに対してセキュリティ意識を持って質を高めるマルチポイント的な考え方が必要だと澤氏は強調した。大半の企業はサイバー脅威にさらされ、マルウェアが侵入しているという調査情報がある。だからこそ、侵入されてもデータを持ち出せない、データを盗まれても役に立たないようにする、といった侵入を前提にしたデザインを行う必要がある。
澤氏は、皆さんに覚えて欲しいキーワードは「NO EXCEPTION(例外なし)」だと呼びかけた。例外処理を徹底的に減らすのが、安心・安全なIT環境を構築する大事なポイントだ。同社では、例外を1つ認めると「リスクとコストが倍になる」と考えている。例えばパスワードの設定に例外を設けた場合、約20万人のパスワード管理に100の労力を使うのであれば+100(の労力)が発生するというものだ。
ここで澤氏は、自身の社員証(IDカード)を取り出した。同社の社員証はチップが埋め込まれて、社員も協力企業のスタッフも学生インターンも同じIDカードが配られるが、そこでも例外は認められていないという。この考え方は健康診断などに近く、社長だから数値を改ざんするケースはないはずだ。相手の立場を無視して数値として管理すれば、事故は防げる。
入館に必要なIDカードをカードリーダーに読み込ませると、GSOC(Global Security Operation Center)へ瞬時に情報が送られるものの、例えば、東京で澤氏本人がカードリーダーにIDカードをかざしているのに、社内ネットワークにログインする際の無線LANがシドニー経由という状況はあり得ない。これが前述した“あり得ない条件”だ。このようなイベントが発生すると、澤氏のアカウントはロックされてしまう。同社には1人=1つのIDという鉄則がある。仮に複数のIDを発行するとロックダウンに要する手順が増えてしまい、セキュリティ被害が拡大する。これが“リスクとコストが倍になる”の仕組みだ。
澤氏が今のスタイルに移行して数十年経っているが、右側のIDカードに切り替わったのがここ1年前。つまり風貌と写真が異なる左側のIDカードを使い続け、「MS最大のセキュリティホール」と呼ばれていたと語り、会場を沸かせていた
一般的なセキュリティに対する考え方の1つに「べからず」があるものの、「あれは逆効果しか生み出さない」と澤氏は考える。低リテラシーな社員がミスを恐れてITシステムを避けるようになると、情報共有速度やビジネス速度が鈍化し、その結果として企業の発展は見込めず、致命傷となる可能性がある。
ここで澤氏は、実際に起きたセキュリティインシデントを紹介。事前にインターネット接続を制限し、20時以降はPCをシャットダウンする企業の社員が、USBメモリを使ってインターネット接続可能なPCにデータを転送。さらに自宅で作業するためメールでデータを送信したところ、自宅PCはウイルスに感染しており、そのまま企業情報が漏えいしたというケースだ。結局、人は「べからず」ルールを作っても抜け道を探すため、「これだけやればOK」という必要最小限のルール作りが必要だ」(澤氏)
