信頼されなければクラウドは終わる--MSが進めるセキュリティ対策の要諦 - (page 2)

鈴木恭子

2017-06-27 07:15

アタックされれば知見がたまる

 Microsoftのセキュリティに関する取り組みも紹介された。

 同社は2015年11月にグローバルでセキュリティ体制を統括する組織「Cyber Defense Operations Center(CDOC)」を設立し、同社が提供するサービスの状況を24時間365日でモニタリングしている。1日に収集させるセキュリティイベント(ログ)は多い日で150億件、インデックス化されたURLは2兆5000に上る。

 Montoya氏は「Microsoftのセキュリティ投資額は、1年間で10億ドルを超える。実は、Microsoftのプラットフォームは、米国国防総省に次いでアタックされている。顧客の(システムやデータ)資産を守り、信頼できるコンピューテイングを実現するためには(10億ドルの投資は)当然の取り組みだ。ただし、われわれにとってアタックは、攻撃者の手の内を知るチャンスでもある。攻撃されれば必ず痕跡が残る。そうした攻撃データから得た知見で、次なる対策を講じられるからだ」と語る。

 同社はセキュリティを1つの機能として製品に組み込むアプローチで、セキュリティ強化を図っている。Windows、パブリッククラウドのAzureやOffice 365といったプラットフォームにセキュリティ機能を「ビルドイン」し、基本機能として提供している。

 例えば、Windows 10のアップデートで強化された「Windows Defender Advanced Threat Protection」は、侵入後の脅威を検出する機能を提供する。WindowsやURL、オンライン評価など同社の製品やサービスのエンドポイントから収集したデータを組み合わせて分析することで異常な挙動や攻撃者の手法を検出する。これにより、既知の攻撃との類似点を特定し、迅速な対応で感染被害を最小限に食い止めることができるのだ。

スレットインテリジェンスのエコシステム(出典:Microsoft)
スレットインテリジェンスのエコシステム(出典:Microsoft)
Microsoft APACアソシエイトゼネラルカウンセル兼外務法務担当取締役 Jeff Bullwinkel氏
APACアソシエイトゼネラルカウンセル兼外務法務担当取締役 Jeff Bullwinkel氏

「データは顧客のものである」

 一方、クラウドに関するセキュリティの取り組みを紹介したのは、同社APACでアソシエイトゼネラルカウンセル兼外務法務担当取締役を務めるJeff Bullwinkel氏である。

 Bullwinkel氏は「クラウド市場は従来の(レガシーなどの)市場と比較し、5倍のスピードで成長している。クラウドはビジネスを支える重要なインフラであるがゆえに、そこにある資産を狙ったサイバー犯罪も増加している。そのような状況下、顧客が安心してクラウドを利用できるためには、セキュリティが万全でなければならない。Microsoftは、技術面はもちろん、政策渉外や国際的な法務の面からも顧客の資産を守り、ビジネスの成長を支援していく」と語る。

 同社は「クラウドにおける信頼のフレームワーク」を構築する要素として「セキュリティ」「透明性」「プライバシー保護/認証」「コンプライアンス」の4項目を掲げている。

クラウドにおける信頼のフレームワークの4項目
クラウドにおける信頼のフレームワークの4項目

 特に透明性に関しては、「NSA(アメリカ国家安全保障局)から顧客のデータに対して開示要請があったとしても、法的強制力のあるかどうかを精査し、妥当性があった場合でも顧客に告知したうえで厳格に対処する」と強調する。

 「われわれは『(クラウドにある)データは顧客のものである』と明言している。Microsoftは顧客からデータを預かっている立場であり、捜査機関からの情報開示要請を判断する立場にない。米国政府の捜索令状には、Microsoftが保管している顧客データを引き渡す強制力はない。第三者へのデータ開示は行っていないのは言わずもがなだ」(Bullwinkel氏)

 また、プライバシー保護/認証として実施している施策としては、「第三者認証」を挙げた。第三者からの認証で信頼を担保し、顧客に安心してもらう戦略だ。例えば、Azureは、2016年4月に欧州連合(EU)で制定された「一般データ保護規則(General Data Protection Regulation : GDPR)」(2018年5月から施行)に対応している。

 GDPRは個人データを取り扱う事業者に対し、厳格な義務を課す法律である。つまり、AzureがGDPRに対応していることで、顧客は自動的にGDPRの要求をクリアできるというわけだ。

 最後に、Bullwinkel氏は「クラウドの“ブランド”は信用だ。MicrosoftのCEO(最高経営責任者)であるSatya Nadellaは、『ビジネスユーザーも(一般)ユーザーも信用できる技術しか利用しない』と説いている。『顧客と顧客のデータを守る』ことにコミットし、サービスを提供していく」と力説した。

Microsoftシンガポールオフィスからの眺め。同国の観光名所「Marina Bay Sands Hotel」が一望できる(一等地に建っている)
Microsoftシンガポールオフィスからの眺め。同国の観光名所「Marina Bay Sands Hotel」が一望できる(一等地に建っている)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  5. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]