Tech Summit

「例外なし」がセキュリティ強化のコツ:マイクロソフト澤氏 - (page 2)

阿久津良和 羽野三千世 (編集部) 2016年11月15日 07時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

MSの鉄則は「例外なし」

 Microsoftのセキュリティに対する考え方で重視しているのは「多層防御」だ。例えばファイアウォールの堅牢化といったシングルポイントではなく、すべてに対してセキュリティ意識を持って質を高めるマルチポイント的な考え方が必要だと澤氏は強調した。大半の企業はサイバー脅威にさらされ、マルウェアが侵入しているという調査情報がある。だからこそ、侵入されてもデータを持ち出せない、データを盗まれても役に立たないようにする、といった侵入を前提にしたデザインを行う必要がある。

 澤氏は、皆さんに覚えて欲しいキーワードは「NO EXCEPTION(例外なし)」だと呼びかけた。例外処理を徹底的に減らすのが、安心・安全なIT環境を構築する大事なポイントだ。同社では、例外を1つ認めると「リスクとコストが倍になる」と考えている。例えばパスワードの設定に例外を設けた場合、約20万人のパスワード管理に100の労力を使うのであれば+100(の労力)が発生するというものだ。


 ここで澤氏は、自身の社員証(IDカード)を取り出した。同社の社員証はチップが埋め込まれて、社員も協力企業のスタッフも学生インターンも同じIDカードが配られるが、そこでも例外は認められていないという。この考え方は健康診断などに近く、社長だから数値を改ざんするケースはないはずだ。相手の立場を無視して数値として管理すれば、事故は防げる。

 入館に必要なIDカードをカードリーダーに読み込ませると、GSOC(Global Security Operation Center)へ瞬時に情報が送られるものの、例えば、東京で澤氏本人がカードリーダーにIDカードをかざしているのに、社内ネットワークにログインする際の無線LANがシドニー経由という状況はあり得ない。これが前述した“あり得ない条件”だ。このようなイベントが発生すると、澤氏のアカウントはロックされてしまう。同社には1人=1つのIDという鉄則がある。仮に複数のIDを発行するとロックダウンに要する手順が増えてしまい、セキュリティ被害が拡大する。これが“リスクとコストが倍になる”の仕組みだ。


澤氏が今のスタイルに移行して数十年経っているが、右側のIDカードに切り替わったのがここ1年前。つまり風貌と写真が異なる左側のIDカードを使い続け、「MS最大のセキュリティホール」と呼ばれていたと語り、会場を沸かせていた

 一般的なセキュリティに対する考え方の1つに「べからず」があるものの、「あれは逆効果しか生み出さない」と澤氏は考える。低リテラシーな社員がミスを恐れてITシステムを避けるようになると、情報共有速度やビジネス速度が鈍化し、その結果として企業の発展は見込めず、致命傷となる可能性がある。

 ここで澤氏は、実際に起きたセキュリティインシデントを紹介。事前にインターネット接続を制限し、20時以降はPCをシャットダウンする企業の社員が、USBメモリを使ってインターネット接続可能なPCにデータを転送。さらに自宅で作業するためメールでデータを送信したところ、自宅PCはウイルスに感染しており、そのまま企業情報が漏えいしたというケースだ。結局、人は「べからず」ルールを作っても抜け道を探すため、「これだけやればOK」という必要最小限のルール作りが必要だ」(澤氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]