日本マイクロソフトは11月1~2日、「Microsoft Tech Summit」を都内で開催した。同イベントで行われたブレイクアウトセッションの1つに「経営に効くITプロの仕事とは~組織を強くするIT環境の構築~」と題したものがある。ITはビジネスに欠かせない存在となりながらも、IT専門家は軽視される傾向があることは否めない。そこでIT技術者が考えるべきセキュリティ管理について、日本マイクロソフト マイクロソフトテクノロジーセンター センター長 澤円氏が語った内容を紹介する。
日本マイクロソフト マイクロソフト テクノロジーセンター センター長 澤円氏
約20万人の業務を支えるMSのIT部門とは
グローバル企業であるMicrosoftの全社員数は、約11万6000人の社員に約10万人の協力企業のスタッフを加え、全体で約20万人を数える。そのうちIT部門(以下、MSIT)が占める人員数をよく訪ねられるが、「われわれはセキュリティリスクを鑑みて情報を明かしていない」と澤氏。「知らない」は「漏れない」と同義であり、結果として自社の安全性向上につながるからだという。
MSITは「Create Tomorrow & Deliver Today(明日を作るため、今すぐ職務を果たす)」というDevOps的な部門ミッションを掲げている。IT環境が改善することであれば何でも実行するという発想だが、“Create Tomorrow”は企画立案やアイディア共有など開発的アプローチであり、“Deliver Today”は運用的アプローチ。この姿勢で、他の社員からいち早くフィードバックを受けて反映し、よりよいIT環境を生み出すというサイクルが実践されている。この一体化がMSITスタッフに科された必須条件なのだそうだ。
Microsoftは、Windows 10などのソフトウェア、Microsoft Azureというクラウドを提供しているため、従業員のITリテラシー(活用能力)が高いと思われるが、それは大きな誤解。例えば自動車メーカーに勤めていても免許証を取得していない人もいるし、アルコール製造・販売メーカーの社員でもお酒が苦手な人もいる。そこに相関関係はない。「当社の従業員も、約3割は高リテラシーだが、残りの7割は低リテラシーに分類される。高い方に合わせて(仕組みや社内ツールを)デザインすると、低い方は使いたがらず、セキュリティリスクにつながるため、低い方に合わせるのが重要だ」(澤氏)
「Create Tomorrow & Deliver Today(明日を作るため、今すぐ職務を果たす)」がMicrosoftのIT部門のミッションであると澤氏
澤氏によれば、同社では1日に150億件のセキュリティイベントが発生する。単なるパスワード入力ミスや、許可されていない場所でIDカードをかざすといった軽微なものも含まれるが、すべてのイベントに対応するのは不可能だ。そのため、退職済みの社員がログインを試みたケースや、“あり得ない条件”でログインするケースなど、MSITでは対応するイベントを絞り込んでいる。
それでもMSITは1時間に800回。1時間あたり250人が起こしたセキュリティイベントに対応しなければならない。そこで必要になるのが機械学習だ。すべてのイベントや、社員データなどをシステムに学習させることで、例えば入社年次との相関関係に注目すれば、新入社員の教育が必要になるといったことが分かる。レポートでは対応も判断も遅くなるので、このような場面でITの力を活用してほしいと澤氏。