Tech Summit

「例外なし」がセキュリティ強化のコツ:マイクロソフト澤氏

阿久津良和 羽野三千世 (編集部)

2016-11-15 07:30

 日本マイクロソフトは11月1~2日、「Microsoft Tech Summit」を都内で開催した。同イベントで行われたブレイクアウトセッションの1つに「経営に効くITプロの仕事とは~組織を強くするIT環境の構築~」と題したものがある。ITはビジネスに欠かせない存在となりながらも、IT専門家は軽視される傾向があることは否めない。そこでIT技術者が考えるべきセキュリティ管理について、日本マイクロソフト マイクロソフトテクノロジーセンター センター長 澤円氏が語った内容を紹介する。


日本マイクロソフト マイクロソフト テクノロジーセンター センター長 澤円氏

約20万人の業務を支えるMSのIT部門とは

 グローバル企業であるMicrosoftの全社員数は、約11万6000人の社員に約10万人の協力企業のスタッフを加え、全体で約20万人を数える。そのうちIT部門(以下、MSIT)が占める人員数をよく訪ねられるが、「われわれはセキュリティリスクを鑑みて情報を明かしていない」と澤氏。「知らない」は「漏れない」と同義であり、結果として自社の安全性向上につながるからだという。

 MSITは「Create Tomorrow & Deliver Today(明日を作るため、今すぐ職務を果たす)」というDevOps的な部門ミッションを掲げている。IT環境が改善することであれば何でも実行するという発想だが、“Create Tomorrow”は企画立案やアイディア共有など開発的アプローチであり、“Deliver Today”は運用的アプローチ。この姿勢で、他の社員からいち早くフィードバックを受けて反映し、よりよいIT環境を生み出すというサイクルが実践されている。この一体化がMSITスタッフに科された必須条件なのだそうだ。

 Microsoftは、Windows 10などのソフトウェア、Microsoft Azureというクラウドを提供しているため、従業員のITリテラシー(活用能力)が高いと思われるが、それは大きな誤解。例えば自動車メーカーに勤めていても免許証を取得していない人もいるし、アルコール製造・販売メーカーの社員でもお酒が苦手な人もいる。そこに相関関係はない。「当社の従業員も、約3割は高リテラシーだが、残りの7割は低リテラシーに分類される。高い方に合わせて(仕組みや社内ツールを)デザインすると、低い方は使いたがらず、セキュリティリスクにつながるため、低い方に合わせるのが重要だ」(澤氏)


「Create Tomorrow & Deliver Today(明日を作るため、今すぐ職務を果たす)」がMicrosoftのIT部門のミッションであると澤氏

 澤氏によれば、同社では1日に150億件のセキュリティイベントが発生する。単なるパスワード入力ミスや、許可されていない場所でIDカードをかざすといった軽微なものも含まれるが、すべてのイベントに対応するのは不可能だ。そのため、退職済みの社員がログインを試みたケースや、“あり得ない条件”でログインするケースなど、MSITでは対応するイベントを絞り込んでいる。

 それでもMSITは1時間に800回。1時間あたり250人が起こしたセキュリティイベントに対応しなければならない。そこで必要になるのが機械学習だ。すべてのイベントや、社員データなどをシステムに学習させることで、例えば入社年次との相関関係に注目すれば、新入社員の教育が必要になるといったことが分かる。レポートでは対応も判断も遅くなるので、このような場面でITの力を活用してほしいと澤氏。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]